等級保護工作的誤區
等保,即網絡安全等級保護,是指根據信息系統在國家安全、社會穩定、經濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素,將其劃分不同的安全保護等級并采取相應等級的安全保護技術、管理措施、以保障信息系統安全和信息安全。
等級保護需要在安全技術和安全管理上選用與安全等級相適應的安全控制來實現,各種控制措施連接、交互、依賴、協調、協同,共同作用于信息系統的安全防護。在等保工作中,有哪些應該注意的地方呢?
01
不做等保只要不出事就行?
根據《中華人民共和國網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
因此,不做等保就屬于不履行相關的法律義務。國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例,所以等保工作需要被重視起來,及時開展。
02
內網不需要做等保?業務系統不對外,不需要做等保?
從技術角度而言,內網不代表安全,并且純粹的物理內網并不多見,或多或少都以直接或間接的方式與互聯網有聯系。
從法律法規的角度來說,所有非涉密系統都屬于等級保護范疇,和系統在外網還是內網沒有關系。
其次在內網的系統往往其網絡安全技術措施做的并不好,甚至不少系統已經中毒或已經有黑客潛伏,所以不論系統在內網還是外網都得及時開展等保工作。
03
已經托管到云的系統不需要做等保?
根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬于網絡運營者自己,所以還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
系統上云或托管后,并不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會有些區別,但是并不是沒有責任。
04
等保就是做個測評就可以?
等級保護工作不僅只是一個測評,而是包含定級、備案、測評、建設整改和監督審查五項內容,測評只是其中一項也是開始,更重要的是通過測評尋找出差距,分析出目前系統存在的風險,及時查漏補缺,進行安全建設整改,提高信息系統的安全防護能力,降低系統受到攻擊破壞的概率。
05
系統定級越低越好?
系統的最終定級是根據受侵害的客體以及對客體侵害的程度來確定的,以事實為根據,而不是主觀隨意定級。定級低了,表面上要求更容易滿足,但相應的防護措施也相對不足,一旦遭受攻擊,反而得不償失。
06
一個單位只要做一個等保測評就可以?
等保測評是按照信息系統來的,以一個信息系統為測評整體,并不是按照一個單位去做的。
一個完整的信息系統包括承載其的物理機房、服務器、主機、應用、數據庫、網絡設備及安全設備等,測評除了這些具體的實體對象,還包括相對應的安全管理制度。
07
等保測評只要做一次就可以?
等保工作是一個持續的工作,等保測評也是一個周期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業一般是建議兩年做一次測評。
08
等保測評做完要花很多錢去整改?
整改花多少錢取決于信息系統等級、系統現有安全防護措施狀況以及網絡運營者對測評分數的期望值,不一定要花很多錢。
整改的內容大體分為:安全制度完善、安全加固等安全服務以及安全設備的添置。
在安全制度及安全加固上網絡運營者自己可以做很多整改工作或者委托供應商進行加固。這些內容整改好,加上一定的安全技術措施,大致上可以滿足基本符合的要求,所以花多少錢要看怎么去做或者對網絡安全的期望值是多少。
09
云系統到哪里進行系統定級備案?
云系統由于部署在各類云平臺上面,而云平臺的實際物理地址往往和云系統網絡運營者不在同一地址,大型云平臺還有許多物理節點,很難確定云平臺的具體物理地址,因此從方便屬地公安機關監管的角度出發,應該在系統實際運維團隊所在地市網安部門進行系統備案。
