无论是多项网络安全法规的出台,还是最近的“滴滴安全被审查”事件,我们听到最多的词就是“等待保护”。只要是从事安全工作,听到最多的词一定是“等级保护”。那么,究竟什么是“等级保护”?等级保护的全称是“信息安全等级保护”,是一项强制性标准。简单来说,就是一些特定的行业或企业没有通过保险就不能经营。比如在互联网医疗行业,要想获得在线诊疗资质,就必须通过一级保险。211、985大学的互联网+教育,如学生管理系统、学校官网等,也必须通过一流保障。很多行业之所以需要超等级保护,目的只有一个:保护信息安全。试想一下,如果互联网金融行业不等保险,会发生什么。一些没有实力的企业轻易进入互联网金融行业,随意打造漏洞百出的软件。用户填写的姓名、手机号、身份证,甚至人脸信息都容易被窃取。这些未必不算什么,更严重的是,还可能威胁到国家安全。等待保护的作用体现出来。经过定级、备案、安全建设与整改、信息安全等级评估、信息安全检查五个阶段,对企业信息系统安全进行综合评估。不合格的,一律不准经营。虽然越级保护并不能保证信息系统的绝对安全。但无疑会增加遭遇攻击和信息泄露的门槛。担保的“保障”是什么?担保评级将从七个维度进行评估。1.物理安全物理安全包括物理选址、物理门禁、防火、防盗、防破坏、防雷、防水防潮、防静电、温湿度控制、电源电磁防护等。.举个简单的例子,网站的服务器是不能随便放的。机房必须具备防震、防风、防风雨等功能。而且位置不能在地下室,也不能在顶层。又如机房入口处是否有专人值守、控制、识别、记录进出人员等,这些都是物理安全的评价范围。2.网络安全网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防御、网络设备保护等。这部分比较容易理解。在业务高峰期,必须有足够的带宽可用,以确保服务器不会宕机。记录网络系统中网络设备的运行状态、网络流量、用户行为等。3、主机安全主机安全包括身份认证、访问控制、安全审计、残留信息保护、入侵防御、恶意代码防御、资源控制等。这部分要求企业对登录操作系统和数据库的用户进行识别和认证,启用访问控制功能,控制用户对资源的访问。还需要能够对重要服务器的入侵进行检测和记录,例如入侵的来源IP、攻击类型、攻击目的、攻击事件等。4、应用和数据安全包括应用安全、数据安全和备份恢复。要求企业提供异地数据备份、本地数据备份等,并规定备份频率以满足灾难恢复策略的要求。5.制度和人员安全这部分是一个总体要求,对于各种安全相关的活动,如机房管理、保密制度等,都必须有相应的制度规范。6.企业能做的不多系统建设和管理的一部分。虽然企业可以组织自己的专家组对系统进行评分,但由于成本和复杂性等因素,一般会聘请第三方专家对系统进行评分。第三方专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划进行论证和审批。7、系统运行维护管理等保障要求企业指定专人对机房内的供配电、空调等设施进行维护管理,保障机房安全。还有很多具体要求。以上七部分的内容只是简单的提一下。事实上,平等保护的真正评价是非常复杂的,没有任何细节。保险有五个等级,一般来说,公司做的大多是二三级的保险。毕竟,很少有公司涉及国家安全。
