freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全新规下等保怎么做?安全狗一站式方案告诉你!
2018-05-25 17:05:58

信息安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。

等级保护需要在安全技术和安全管理上选用与安全等级相适应的安全控制来实现,各种控制措施连接、交互、依赖、协调、协同,共同作用于信息系统的安全防护。在等保工作中,有哪些应该注意的地方呢?

01 云系统到哪里进行系统定级备案?

上云的系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,因此从方便属地公安机关监管的角度出发,应该在系统实际运维团队所在地市网安部门进行系统备案

02 已经托管的云系统是否需要等保?

根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。

系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。

03 系统定级越低越好?

最终定级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为根据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,一旦遭受攻击,反而得不偿失。

04 内网需不需要做等保?

从技术角度而言,内网不代表安全,并且纯粹的物理内网并不多见,或多或少都以直接或间接的方式与互联网有联系。而从法律法规的角度来说,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。所以不论系统在内网还是外网都得及时开展等保工作。

05 等保测评做一次就够了吗?

等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业一般是建议两年做一次测评。

06 没有出事为什么一定要做等保?

根据《中华人民共和国网络安全法》第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

……

(五)法律、行政法规规定的其他义务。

不做等保就属于不履行相关的法律义务,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例,所以等保这件事,只争朝夕,赶紧去做吧!

07 如何做一次完整的等保?

等级保护工作不仅是一个测评,而是包含:定级、备案、测评、建设整改和监督审查五项内容。等级保护制度已经进入了“2.0”的时代,需求越来越细致,对安全的要求越来越高,部署有效的综合防空系统的工作越来越复杂,有没有一种解决方案可以一站式地满足这些需求?

安全狗依据国内相关的法律法规,比如《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等要求,制定了一整套等保服务流程,可以满足用户的安全防护和等保合规需求!


1、合规保障

依托完善的云安全产品体系和服务,安全狗可以为云平台和云租户提供从网络层、主机层、应用层到数据层的立体式安全防护。

我们对国家等级保护规范进行了详细整理,并依托完善的产品体系和专业的服务水平,把技术标准落实到每一种应用的配置检查工作上,同时结合等级保护工作过程,对业务系统资产进行等保定级跟踪,根据资产定级自动进行对应级别的安全配置检查,对合规情况出具等保符合性报告,保证系统建设符合等保要求,促使等保监督检查工作高效执行。

2、安全设计

安全狗拥有集安全监测、检测、防御、审计和事件响应于一体的综合性云安全防护平台,可以为云平台管理方和云租户提供从虚拟网络层、虚拟主机层、宿主机层、应用层到数据层的立体式纵深云安全防御,满足平台和租户自身的安全需求和等保合规需求。

3、安全能力支持

安全狗的云安全管理平台提供了多样的各类云安全服务,可以让用户根据需求方便地将所需的安全能力纳入云安全服务资源池内,包括新一代混合式web防火墙、防篡改、入侵监测、云主机安全防护等。

我们将依据国家网络安全等级保护合规标准及安全狗最佳实践,结合系统现状出具等保整改或建设方案,帮助完善企业网络安全防护体系,提高信息系统的安全保障能力和防护水平,达到国家网络安全等级保护相关标准要求,促使企业业务信息系统安全、稳定并且持续运行。

安全狗作为国内领先的云安全服务与解决方案提供商,与国内各大主流云平台已经建立了紧密的合作关系,兼容适配多数主流云平台,有能力构建综合立体的云安全防护体系,满足云平台和云租户的安全防护和等保合规需求,我们将持续输出专业高效的云安全产品和服务,帮助用户实现安全管理的合规性与可知、可控、可管!


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者