经典案例
免费咨询热线
020-85167070
您现在的位置:首页 >> 新闻资讯 >> 行业新闻 >> 如何合情合理地开展等级保护工作?

如何合情合理地开展等级保护工作?

日期:2017年6月19日 13:54
   最近经常遇到一些朋友和不得不等说:“等级保护工作我知道,很重要,我们也想做,但是没有经费。”不得不等交待他们:“没有经费,这事我们控制不了,但是我们能做的是把等级保护工作这个事的重要性及紧迫性及时地传达给领导,告诉他们,等保工作我们要及时开展,不然各种安全隐患比较大,风险太大。”对,我们把该我们做的做了,该汇报的汇报了,这样至少在我们具体负责网络安全具体负责等保的同志们这里是没有问题的,有没有钱,批不批钱,这事交给领导更合适,不得不等相信领导们站的高度比我们更高,他们比我们看的更远,等保工作,网络安全工作他们会支持的。剩下的就是如何利用这来之不易的经费去更好地开展等保工作,今天不得不等和大家捋一捋。
 
   首先等保工作的第一步,定级。定级是整个等保工作里最有艺术性的工作。为什么这么说,因为等保定级指南太抽象,系统侵害的客体有:公民、法人和其他组织的合法权益、社会秩序和公共利益及国家安全;侵害的程度有:一般损害、严重损害和特别严重损害。客体相对好理解些,侵犯普通公民的利益那客体肯定是公民、法人和其他组织的合法权益,但是当大量公民的利益受破坏后,会不会导致群体性事件,进而引发群众游行,上访等情况,那么是不是又会造成对社会秩序的损害,如果事情得不到有效控制,再闹得更大,万一被不法分子从中利用,导致政治事件,是不是有可能上升到破坏国家安全?所以客体看似好理解,好确定但是其中又充满不确定性。再说侵害的程度,一般损害那简单理解就是受到侵害的程度小,影响小,那么达到什么程度算是严重损害呢?有200个人还是2000人受到了侵害?是手机号码泄露了还是所有敏感信息泄露,且被利用了才能算严重损害?这些都没有确定,也很难每种情况去量化,所以定级指南说的这些都是定性的而非定量的,这就给大家带来了很大的定级余地。这个系统可以定二级也可以定三级,往往取决于用户对该系统的重要性判断及对网络安全的重视程度。那是不是把系统等级定的越低越好呢?定的低,测评费用及测评周期上要求不一样,相对来说在等保上投入的经费会减少。或者我们把系统等级定的更高点?把二级系统定成三级系统。这样必然导致测评费用的增加及安全技术防护要求的提高,系统相对来说确实是更安全了,但是投入的费用确实也更高了。不得不等认为:合情合理地开展定级工作最好,既不推荐大家降低系统等级也不希望大家随意提高系统等级,该是几级就是几级。降低系统等级可能存在的问题:1、系统安全防护等级及防护措施不够,不能有效地对重要系统进行防护,容易导致一些安全事件;2、万一该系统出了安全事件,事后进行追责,当初大家的定级就存在不合理的地方,降低了对系统的防护,这个板子可能要打到网路安全负责人和经办人的身上,本来想着替单位省点经费的,出发点很好,但是效果一点都不好,回头领导还责怪你。提高系统等级存在的主要问题就是造成经费的浪费。
 
   另外一个需要说明的是单位有好多系统,是不是每个系统都要定级。先来一个官方的回答:理论上所有的信息系统都需要及时进行定级备案。但是基本上所有系统都定级备案是不现实的,没那么多经费,一些单位所有系统加起来有上百个甚至更多,每个系统都测评,几百万费用,显然是不可能的,这事这样做不下去,但是我们的等级保护工作又不得不做,那怎样合情合理地开展呢?不得不等建议大家:1、先把单位最重要的那么两三个系统等保工作开展起来,最重要的两三个一般是:门户网站,这是一个单位对外宣传自己,展示自己的门面,同时也是黑客想入侵到用户单位的首要入口,自己家大门被搞坏了肯定不行,再者每年的主管单位(公安、网信办、通管、保密、工信等)对网站的检查是必不可少的,所以网站一定要做。另外就是单位的核心业务系统,每个单位的核心业务系统不一样,但是你们最清楚。把这么两三个系统开展起来,压力会小很多;2、一些功能相近的系统或者大的平台系统(里面整合了很多功能模块)可以进行合理整合成一个大系统,比如数字化校园系统、网站集群系统。前提是主管单位接受的你定级申请;3、单位建的私有云平台一定要及时开展定级备案测评,云平台是基础,承载了很多应用系统,平台基础都有问题,如何确保平台上的应用安全?
 
   讲完定级再说说测评的事。经常有人问我,测评测一次管多久。这里先纠正下,测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。所以,测评不能说测一次管多久,目前测评周期是这样的:四级系统每半年需要测一次,三级系统每年需要测一次,二级系统大部分行业没有明确测评周期,教育和电力记得没错的话,是明确了二级系统测评周期是两年一次,目前主流的观点也是二级系统每两年测评一次,比较合适。另外还有用户说,如果我只定级备案不测评,或者三级今年测了,后面不测,行不行?不得不等只能说:这样很不合适,对信息系统不负责,对自己、对领导不负责,安全责任和安全义务没有履行到位。没有人能吵醒一个假装睡觉的人,你真的不想做测评,你会有各种不去做的理由,你真的想做测评,你也会有办法能够做测评。
 
 
 
   最后谈谈整改工作。开展等级保护工作的意义不局限于发现问题,最终的目的一定是解决问题,所以整改工作一定要做。好多用户担心啊,测评是没多少钱,但是后期整改可能要花一大笔钱,这个不得不等在之前一篇《等保测评完了,我是不是要花很多钱去整改?》文章中已经做过阐述,这里简单说下,测评不一定要花很多钱甚至不花钱,另外就是有多少钱办多少事,量力而行,整改不要求一步到位,持续在改进就可以,还有就是高危漏洞高危风险需要及时消除。

所属类别: 行业新闻

该资讯的关键词为:如何合情合理地开展等级保护工作? 

此处为可编辑区