我国的等保工作是从1994年提出的,但直至2007年才发布《信息安全等级保护管理办法》及后续的系列政策,等保工作才正式开始。2008年,《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)的公布标志着等级保护制度的标准化,等保1.0时代正式到来。随着新技术的不断精进,网络安全威胁也不断升级,等保1.0已经逐渐不能适应网络环境的变化。2019年5月13日下午,《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)正式发布,替代了原先的《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),并在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新,实施时间为2019年12月1日,标志着我国网络安全等级保护工作正式进入“2.0时代”。什么是等保2.0(等级保护)?浦东新区等保培训
在等级保护移动互联安全中整个重点是在数据和信息保护方面。第三级和第四级强调,云服务客户的数据、用户个人信息等存储于中国境内,并且只有在客户授权下,云服务商或第三方才具有云服务客户的数据的管理权限。规定也强调,在虚拟机迁移时,要保证数据的完整性,并在检测到完整性受到破坏时,采取必要的恢复措施。数据备份、恢复和删除方面,云服务客户业务数据本地保存必不可少,并且云服务商还需要有保证数据有副本存储,并且支持客户业务系统迁移。规定也强调,“保证虚拟机所使用的内存和存储空间回收时得到完全删除”和“云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除”。黄浦区二级等保咨询解读“等保2.0”(等级保护)。
等级保护工作工作误区内网不需要做等保?业务系统不对外,不需要做等保?从技术角度而言,内网不表示安全,并且纯粹的物理内网并不多见,或多或少都以直接或间接的方式与互联网有联系。从法律法规的角度来说,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒或已经有潜伏,所以不论系统在内网还是外网都得及时开展等保工作。等保不是免责的安全牌,理解、使用网络安全等级保护制度标准,结合业务的特点开展体系化的网络安全管理工作才是正确的举措。
如何开展等级保护工作?依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统。(2)应确保云计算基础设施位于中国境内。(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。公有云开展等级保护一般分为两个部分:(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。(2)是云租户信息系统,比如单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用就可以了。等级保护中移动互联的安全扩展要求。
众所周知,在等级保护2.0中涉及云计算、物联网、工业控制系统和移动互联。现在,让我们来看有关移动互联的安全扩展要求。等保2.0对移动互联这样解释:采用无线通信技术将移动终端接入有线网络的过程。典型的例子,就是我们使用智能手机上网,看新闻、刷微博、玩游戏、叫车、订外卖等等。在安全物理环境方面,主要是无线接入点的物理位置:无线接入设备的安装要避免过度覆盖和电磁干扰。然后是安全区域边界,这是一大重点,它涉及边界防护、访问控制和入侵防范。在访问控制中,要求提到“无线接入设备应开启接入认证功能,并且禁止使用WEP方式认证。”同时,在入侵防范方面,则规定更加详细,不规定了“非授权的接入行为”,而且还有针对无线接入设备的攻击行为,比如网络扫描、DDoS攻击、密钥攻击、中间人攻击和欺骗攻击。如何做好网络安全等级保护。浦东新区等保培训
等级保护中重要数据存储保密性没有保护措施的不符合。浦东新区等保培训
网络安全等级保护标准的主要特点01将对象范围由原来的信息系统改为等级保护对象(信息系统、通信网络设施和数据资源等),对象包括网络基础设施(广电网、电信网、通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。02在1.0标准的基础上进行了优化,同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。03采用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想。04强化了密码技术和可信计算技术的使用,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。浦东新区等保培训
上海旭安信息科技有限公司是一家服务型类企业,积极探索行业发展,努力实现产品创新。公司致力于为客户提供安全、质量有保证的良好产品及服务,是一家有限责任公司企业。公司业务涵盖等保测评,安全设备,SSL证书,ISO20001,价格合理,品质有保证,深受广大客户的欢迎。上海旭安顺应时代发展和市场需求,通过**技术,力图保证高规格高质量的等保测评,安全设备,SSL证书,ISO20001。