等保的完整名称叫信息安全等级保护,属于《网络安全法》规定的强制执行项目,是维护公民、社会以及国家利益的关键举措。
官方定义:等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
通俗理解:凡是涉及互联网的相关系统,都需依照特定技术标准开展等级评定,再按对应级别的要求对该系统实施全面检测与整改,最大程度减少系统风险,强化抵御外部网络病毒、黑客团伙、敌对势力攻击的防御能力与应急能力,从而保障互联网系统安全、平稳运行。
大白话讲:企业或单位既然要接入互联网,可网上坏人不少。为了防骗、防坑、防毒、防偷、防抢、防攻击,咱们得定期检查自家”院墙”(硬件设备)有没有漏洞,考核”保镖”(系统软件)能不能扛事、有没有内鬼,监督”管家、工人”(管理人员)有没有忘锁门、没关灯、乱抽烟。每隔一段时间就做一轮检查、打分,发现问题立刻整改,保障自家人员和资产的安全。
为什么要开展等级保护?
1. 法律层面:不做等于违法
网络安全等级保护是国家信息安全保障的基本制度、基本策略与基本方法。《中华人民共和国网络安全法》清楚规定,信息系统的运营、使用单位须按照等级保护制度的要求,履行安全保护职责,倘若拒绝履行,将面临相应处罚。
换言之,不开展等保工作就等同于触犯法律。
2. 行业层面:很多行业已是硬性要求
等保已成为众多行业的标配。不少行业主管部门已明确要求下属机构的信息系统必须落实等保工作,例如金融、电力、广电、医疗、教育等领域。
3. 安全层面:查隐患、补短板
信息系统的运营、使用单位通过推进等保工作,能够排查系统内部的安全隐患与薄弱环节,借助安全整改增强系统的安全防护水平,降低遭受攻击的概率。
等级保护包含五大流程
第一步:系统定级。 围绕业务、资产、安全技术与安全管理展开调研,确定定级系统,编制定级报告,提供协助定级服务,帮助用户完成定级报告,并组织专家评审。
第二步:系统备案。 携带定级报告与备案表前往当地公安网监部门办理备案,全云在线提供备案指导服务,协助用户备齐材料、完成备案。
第三步:建设整改。 依照定级要求与标准,对信息系统实施整改加固。全云在线可指导用户进行系统安全加固,帮助用户搭建安全管理体系,提供满足等保合规需求的安全产品。
第四步:等级测评。 由测评机构对信息系统开展等级测评并形成测评报告。全云在线提供等保测评服务,出具阿里云平台的合规资质证明,指导用户完成测评整改。整改完毕后,测评机构对系统等级符合性进行测评,出具正式测评报告。
第五步:合规监督检查。 向当地公安网监提交测评报告,用户配合完成检查。全云在线将协助客户进行检查与整改,最终由公安机关对等级保护工作实施监督检查。
系统定级的五个等级
“系统定级”细分为五个级别:自主保护(1级)、指导保护(2级)、监督保护(3级)、强制保护(4级)、专控保护(5级)。
定级依据:遭受侵害后,对受侵害客体造成的损害程度。
受侵害客体分为三类:公民、法人、其他组织等;公共秩序、公共利益;国家安全。
各等级的损害程度说明:
- 第一级(自主保护级):会对公民、法人和其他组织的合法权益造成损害,但不会损害国家安全、社会秩序和公共利益。
- 第二级(指导保护级):会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不会损害国家安全。
- 第三级(监督保护级):会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级(强制保护级):会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级(专控保护级):会对国家安全造成特别严重损害。
损害程度的三档划分:
| 程度 | 说明 |
|---|---|
| 一般损害 | 工作职能受到局部影响,业务能力有所下降但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 |
| 严重损害 | 工作职能受到严重影响,业务能力明显下降且严重影响主要功能执行,出现严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成比较严重损害。 |
| 特别严重损害 | 工作职能受到严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 |
定级流程
确定定级对象 → 初步确定定级对象 → 专家评审 → 主管部门核准 → 备案审核
作为定级对象的信息系统须具备以下基本特征:
- 拥有明确的主要安全责任主体
- 承载具有相对独立的业务应用
- 包含相互关联的多个资源
- 工业控制系统主要涵盖现场采集/执行、现场控制、过程控制和生产管理等特征要素
其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
等保就跟人要做体检一个道理
有人偶尔做一回体检,有人一年、两年、三年甚至五年做一次。你不能说体检越频繁出问题的概率越高吧,恰恰相反,查得越勤,出问题的概率越低。这跟不同人对身体健康的要求不同是一个逻辑。
对应来看,三级业务系统的等保测评每年做一次,二级业务系统的测评每两年做一次。
这就跟对网络安全性要求分为特别高、极高、较高、一般、较差是一样的——体检做得多了,及时发现问题,尽早解决问题。
体检的时候我们肯定会查心肝脾肺肾,对应到等保就是物理、应用、数据、主机、网络等,你能说这些不重要吗?重要性可想而知。
为什么要做等保?跟你为什么要体检是同样的道理
你担心自己身体出状况,所以愿意花钱主动去体检。那等保呢?等保是国家明文要求你必须去体检,不体检就是违反法律,违反法律就要受处罚,罚完了还是得去体检。
工作流程对照:
| 等保环节 | 体检类比 |
|---|---|
| 预测评前期工作 | 预约挂号 |
| 信息系统整理 | 跟医生描述症状 |
| 专家评审 | 医生判断病情 |
| 测评机构检测 | 去各科室做检查 |
| 出具测评报告 | 建立病历 |
| 差距整改 | 住院治疗 |
| 复评 | 出院确认 |
通过等保后你会获得什么?
一张年度测评备案证,注明从某年某月某日至某年某月某日对某单位二级或三级信息系统进行年度等级测评。
备案证与年度测评备案证均盖有公安部印章,个人无法在网上自行查询自己的备案及测评情况,只能委托测评公司代为查询。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2955.html