等保即网络安全等级保护测评,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息安全等级保护要求不同安全等级的信息系统应用具有不同的安全保护能力。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。网络安全等级保护已是网络运营者的刚需!金融、游戏、教育、医疗、互联网、政府、交通行业以及财税系统、经贸系统、电信系统、供水系统、国防建设系统等都需要做网络安全等级保护。信息安全等级保护评估内容涵盖组织的重要信息资产,分为两个主要级别:技术和管理。 技术水平主要是衡量和分析网络和主机上存在的安全技术风险,包括物理环境,网络设备,主机系统和应用系统等硬件和软件设备; 管理水平包括人员,组织结构,管理体系,系统运行保证措施以及其他运行管理标准,分析业务运行和管理中的安全缺陷。 通过对上述安全威胁的分析和总结,形成了组织的安全评估报告。 根据组织的安全评估报告和安全状况,提出相应的安全整改建议,以指导下一步的建设。等级评估的两个主要标准是“ GB / T28448-2012评估要求”和“ GB / T28449-2012评估过程指南”。 其中,“评估要求”描述了“基本要求”中每个要求项的具体评估方法,步骤和判断依据,用于评估信息系统的安全保护措施是否满足“基本要求”。 《评估过程指南》规定了等级评估工作的基本过程,过程,任务和工作成果,规范了评估机构的等级评估工作,并提供了如何在等级中使用“测量要求”的指导性建议。 评估过程。 。 两者共同指导水平评估工作。 等级评估的评估对象是已确定等级的信息系统。 特定级别评估项目所面对的评估系统是一种信息系统,由一个或多个不同安全保护级别的评估对象组成。 等级评估实施中常用的评估方法是访谈,文档审查,配置检查,工具测试和现场检查。二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、审计、网络入侵防范、边界完整性检查、审计、主机资源控制、应用资源控制、审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、管理、变更管理和应急预案管理等控制点。三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。要求项增多,如对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”,三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加,要求增强。范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。


本文转自华为云开发者社区