網站為什麼要做“等保”?怎麼做?

weixin_41486808發表於2018-06-21

一、等保定義

等保即資訊保安等級保護,是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開資訊在儲存、傳輸、處理這些資訊時分等級實行安全保護;對資訊系統中使用的資訊保安產品實行按等級管理;對資訊系統中發生的資訊保安事件分等級響應、處置。


二、法律要求

《中華人民共和國網路安全法》【第二十一條】國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改。

《中華人民共和國網路安全法》【第三十一條】 國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。


三、《等級保護測評要求》的測評方法:

 

1、針對應用系統:
檢查關鍵應用系統,檢視應用系統是否具有對人機介面輸入或通訊介面輸入的資料進行有效性檢驗的功能。

測試關鍵應用系統,可通過對人機介面輸入的不同長度或格式的資料,檢視系統的反應,驗證系統人機介面有效性檢驗功能是否正確。

滲透測試主要應用系統,進行試圖繞過訪問控制的操作,驗證應用系統的訪問控制功能是否不存在明顯的弱點。


2、針對資料庫系統:
①、檢查關鍵伺服器作業系統和關鍵資料庫管理系統,檢視匿名/預設帳戶的訪問許可權是否已被禁用或者限制,是否刪除了系統中多餘的、過期的以及共享的帳戶。

②、檢查關鍵伺服器作業系統和關鍵資料庫管理系統的許可權設定情況,檢視是否依據安全策略對使用者許可權進行了限制。

③、檢查關鍵伺服器作業系統和關鍵資料庫管理系統的補丁是否得到了及時更新。

④、檢查關鍵伺服器作業系統和關鍵資料庫管理系統帳戶列表,檢視管理員使用者名稱分配是否唯一。

⑤、檢查關鍵伺服器作業系統和關鍵資料庫管理系統,檢視是否提供了身份鑑別措施,其身份鑑別資訊是否具有不易被冒用的特點,如對使用者登入口令的最小長度、複雜度和更換週期進行要求和限制。

⑥、檢查關鍵資料庫伺服器的資料庫管理員與作業系統管理員是否由不同管理員擔任。


四、服務流程


系統定級→系統備案→整改實施→系統測評→運維檢查

①、系統定級:編寫定級報告、填寫定級備案表。

②、系統備案:定級備案表填寫完整後,將定級材料提交至公安機關進行備案稽核。

③、整改實施:對系統進行調研,開展差距評估,依照國家相關標準進行方案設計,完成相應裝置採購及調整、策略配置除錯、完善管理制度等工作。

④、系統測評:請當地測評機構,對系統進行全方面測評,測評評分合格後獲得合格測評報告,並最終獲得等級保護備案證。

⑤、運維檢查:系統持續運維與優化,並按照相關要求進行年檢。


六、常見問題

1、網站不做等保,出了問題將承擔什麼責任?

①、網路運營者不履行《中華人民共和國網路安全法》【第二十一條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

②、 關鍵資訊基礎設施的運營者不履行《中華人民共和國網路安全法》【第三十四條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

 

2、哪些行業需要做等保?

金融行業、遊戲行業、教育行業、電商行業、網貸行業、通訊行業、能源行業、運輸行業等。

 

3、遞交的備案資料都包括哪些內容?

①、《資訊系統安全等級保護備案表》(一式兩份)

②、《資訊系統安全等級保護定級報告》(一個系統一份)

③、《系統定級評審意見》(或上級主管部門定級稽核意見)

④、相關電子資料等

 

4、整改會不會涉及到要購置裝置?如果有些不符合專案不能馬上關閉能不能通過備案?

根據《GB T22239-2008資訊保安技術資訊系統安全等級保護基本要求》,三級系統有如下要求:

  ①、應提供主要網路裝置、通訊線路和資料處理系統的硬體冗餘,保證系統的高可用性;

  ②、應建立備用供電系統;

  以上檢查項需要購置裝置,對二級系統沒有此要求,但在二級系統中,構成系統網路安全的必要硬體則必須有;

 

5、整個週期是多長?其中現場測評時間多長?

整個測評週期包括前期調研、現場測評、後期報告編寫等,一般情況下一個二級系統會佔用3~4周,一個三級系統會佔用4~5周(指初次測評,不包括整改和加固時間);

②、 其中現場測評(指在被測系統單位現場的測評)的時間根據系統的數量而定:一般一個二級系統會佔用3~4個工作日,一個三級系統會佔用5~6個工作日(兩組同時進行,每組兩人)。

 

6、等保測評檢查週期是多長?

二級系統每2年進行一次測評檢查,三級系統每年檢查一次。


相關文章