網站為什麼要做“等保”?怎麼做?
一、等保定義:
等保即資訊保安等級保護,是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開資訊在儲存、傳輸、處理這些資訊時分等級實行安全保護;對資訊系統中使用的資訊保安產品實行按等級管理;對資訊系統中發生的資訊保安事件分等級響應、處置。
二、法律要求:
《中華人民共和國網路安全法》【第二十一條】國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改。
《中華人民共和國網路安全法》【第三十一條】 國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。
三、《等級保護測評要求》的測評方法:
1、針對應用系統:
①檢查關鍵應用系統,檢視應用系統是否具有對人機介面輸入或通訊介面輸入的資料進行有效性檢驗的功能。
②測試關鍵應用系統,可通過對人機介面輸入的不同長度或格式的資料,檢視系統的反應,驗證系統人機介面有效性檢驗功能是否正確。
③滲透測試主要應用系統,進行試圖繞過訪問控制的操作,驗證應用系統的訪問控制功能是否不存在明顯的弱點。
2、針對資料庫系統:
①、檢查關鍵伺服器作業系統和關鍵資料庫管理系統,檢視匿名/預設帳戶的訪問許可權是否已被禁用或者限制,是否刪除了系統中多餘的、過期的以及共享的帳戶。
②、檢查關鍵伺服器作業系統和關鍵資料庫管理系統的許可權設定情況,檢視是否依據安全策略對使用者許可權進行了限制。
③、檢查關鍵伺服器作業系統和關鍵資料庫管理系統的補丁是否得到了及時更新。
④、檢查關鍵伺服器作業系統和關鍵資料庫管理系統帳戶列表,檢視管理員使用者名稱分配是否唯一。
⑤、檢查關鍵伺服器作業系統和關鍵資料庫管理系統,檢視是否提供了身份鑑別措施,其身份鑑別資訊是否具有不易被冒用的特點,如對使用者登入口令的最小長度、複雜度和更換週期進行要求和限制。
⑥、檢查關鍵資料庫伺服器的資料庫管理員與作業系統管理員是否由不同管理員擔任。
四、服務流程:
系統定級→系統備案→整改實施→系統測評→運維檢查
①、系統定級:編寫定級報告、填寫定級備案表。
②、系統備案:定級備案表填寫完整後,將定級材料提交至公安機關進行備案稽核。
③、整改實施:對系統進行調研,開展差距評估,依照國家相關標準進行方案設計,完成相應裝置採購及調整、策略配置除錯、完善管理制度等工作。
④、系統測評:請當地測評機構,對系統進行全方面測評,測評評分合格後獲得合格測評報告,並最終獲得等級保護備案證。
⑤、運維檢查:系統持續運維與優化,並按照相關要求進行年檢。
六、常見問題:
1、網站不做等保,出了問題將承擔什麼責任?
①、網路運營者不履行《中華人民共和國網路安全法》【第二十一條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
②、 關鍵資訊基礎設施的運營者不履行《中華人民共和國網路安全法》【第三十四條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
2、哪些行業需要做等保?
金融行業、遊戲行業、教育行業、電商行業、網貸行業、通訊行業、能源行業、運輸行業等。
3、遞交的備案資料都包括哪些內容?
①、《資訊系統安全等級保護備案表》(一式兩份)
②、《資訊系統安全等級保護定級報告》(一個系統一份)
③、《系統定級評審意見》(或上級主管部門定級稽核意見)
④、相關電子資料等
4、整改會不會涉及到要購置裝置?如果有些不符合專案不能馬上關閉能不能通過備案?
根據《GB T22239-2008資訊保安技術資訊系統安全等級保護基本要求》,三級系統有如下要求:
①、應提供主要網路裝置、通訊線路和資料處理系統的硬體冗餘,保證系統的高可用性;
②、應建立備用供電系統;
以上檢查項需要購置裝置,對二級系統沒有此要求,但在二級系統中,構成系統網路安全的必要硬體則必須有;
5、整個週期是多長?其中現場測評時間多長?
①、整個測評週期包括前期調研、現場測評、後期報告編寫等,一般情況下一個二級系統會佔用3~4周,一個三級系統會佔用4~5周(指初次測評,不包括整改和加固時間);
②、 其中現場測評(指在被測系統單位現場的測評)的時間根據系統的數量而定:一般一個二級系統會佔用3~4個工作日,一個三級系統會佔用5~6個工作日(兩組同時進行,每組兩人)。
6、等保測評檢查週期是多長?
二級系統每2年進行一次測評檢查,三級系統每年檢查一次。
相關文章
- 為什麼要做介面測試?怎麼做?
- 【等保小知識】內網或專網需要做等保測評嗎?為什麼?內網
- 等保複測需要重新定級?為什麼要做等保測評?
- 為什麼要做等級保護?等級保護包含哪些內容?
- 網站等保三級怎麼做?手續是怎樣的?網站
- 內網是什麼意思?指什麼網?內網需要做等保測評嗎?內網
- 網站建設之企業為什麼要做網站?網站
- 企業為什麼要做等保整改?主要整改哪些內容?
- 什麼是外網?外網需要做等保嗎?與內網的區別是什麼?內網
- 什麼是等保測評?哪些單位需要做等保測評?
- 【二級等保】二級等保怎麼做?價格怎麼樣?貴嗎?
- 等保測評師是做什麼的?工資怎麼樣?
- 等保費用是什麼?為什麼這麼貴?
- 網路安全中等保是什麼?為什麼要進行等保測評?
- 什麼是等級保護?為什麼要開展等級保護?
- 政府網站為什麼要做IPv6升級改造?網站
- 為什麼有的網站需要做CDN加速?好處多多!網站
- 【網路安全】什麼是等保?等保2.0與1.0有什麼差異?
- 【等保小知識】等保二級是否需要做密評?什麼是密評?
- 網站被挾持了需要做什麼網站
- 我為什麼要做IT
- 網付資訊:為什麼要做收款碼代理?又要怎麼申請?
- 為什麼要進行等保測評?
- 怎麼用python django做網站?PythonDjango網站
- 【等保測評】等保測評師怎麼考,前景怎麼樣?
- 【等保】等保3.0是什麼意思?有等保3.0嗎?
- 為什麼網站做https改造 SEO排名反而下降呢?網站HTTP
- 為什麼要進行等保?企業不進行等保有什麼影響?
- 0基礎學Linux你需要學習什麼,你需要做什麼,該怎麼做。Linux
- 什麼是等級保護?一級等保和三級等保有什麼區別?
- 為什麼要開展等級保護工作?有什麼好處?
- 網站要怎麼做才能有流量網站
- 政企網站為什麼要做IPv6升級改造?-中科三方網站
- 二、三級等保申請流程,二、三級等保怎麼申請?二、三級等保是什麼?等保測評需要多少錢?
- 為什麼要做Redis分割槽?Redis
- 為什麼要做自動化?
- 為什麼要做聚合支付代理?
- 【等級保護】等級保護共分為幾級?保護物件是指什麼?物件