中(zhong)国(guo)银(yin)行(xing)业(ye)从(cong)业(ye)人(ren)员(yuan)资(zi)格(ge)认(ren)证(zheng),中(zhong)国(guo)银(yin)行(xing)业(ye)从(cong)业(ye)人(ren)员(yuan)资(zi)格(ge)认(ren)证(zheng)证(zheng)书(shu)
谁需要通过等保?
2017年6月1日起实施的《中华人民共和国网络安全法》,#网络安全#法主要章节包含:网络运行安全、网络信息安全、监测预警与应急处置,其中第二十一条、第三十一条对网络运营者、国家重要行业和领域的安全保障做了规定,等级保护作为其中基本内容。
- 政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等。
- 金融行业:金融监管机构、各大银行、证券、保险公司等。
- 通信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商。
- 能源行业:电力公司、石油公司等。
- 企业单位:大中型企业、央企、上市公司、烟草公司等。
- 其它:有信息系统测评需求的行业与单位等。
“等保三级”的概念很多人都听过,但并不知道具体是什么。本文中科三方针对等保三级的概念以及一些技术要求做下介绍。
什么是等级保护?
在认识等保三级之前,首先要了解我国的等级保护。等级保护是指对国家重要信息以及存储、传输、处理这些信息的系统进行分等级安全保护,对系统中使用信息安全产品实行按等级管理,对系统中发生的安全事件分等级响应处置。
根据保护对象的重要程度,我国将网络安全保护划分为五个级别,从一级到五级,级别越高,要求越严格。
等保一级,自主保护级,一般适用于小型企业、个体企业、县级单位中一般的信息系统。
等保二级,指导保护级,系统遭到破坏会对社会秩序和公共利益造成损害,但不损害国家安全,一般适用于县级单位系统或市级单位内部一般系统。
等保三级,监督保护级,系统遭到破坏会对国家安全造成损害,一般适用于市级单位重要系统,省部委的门户网站等。
等保四级,强制保护级,系统遭到破坏会对国际安全造成严重损害,适用于国家重要部门、重要领域的重要系统,如电力、电信、铁路、银行等。
等保五级,专控保护级,系统遭到破坏会对国家安全造成特别严重的损害,适用于国家重要领域、重要部门中极端重要的系统。
就我国的实际情况来看,最常见的是等保二级和等保三级。
等保三级是指信息系统经过定级、备案后,确定为第三级的信息系统,那么就需要做三级等保。
三级等保,是我国对非银行机构的最高等级保护认证,定级为等保三级的系统包括互联网医院平台、P2P金融平台、云(服务商)平台和其他重要系统。通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。
等保三级技术要求
等保三级技术要求主要包括物理、网络、主机、应用、数据5个方面。
1、物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火、备用发电机;
2、网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;应配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提供冗余性设计。
3、主机安全:服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器(应用和数据库服务器)应具有冗余性,例如需要双机热备或集群部署等;服务器和重要网络设备需要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞(例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);应配备专用的日志服务器保存主机、数据库的审计日志。
4、应用安全:应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;应用处应考虑部署网页防篡改设备;应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);应用系统产生的日志应保存至专用的日志服务器。
5、数据安全:应提供数据的本地备份机制,每天备份至本地,且场外存放;如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份;三级等保的管理制度要求安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
等保三级办理流程
等保三级认证是具有等保资质测评的公司对要进行等保测评的单位进行定级并测评,测评后提出整改意见并针对性进行整改,最终达到并通过测评,等保三级需要每年测评一次。
具体认证流程如下:
(1)摸底调查信息系统底数:包括业务类型、应用或范围、系统结构等基本情况;
(2)确立定级对象:按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象;
(3)系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础;
(4)评审:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审;
(5)备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续;
(6)备案审核:受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核;
(7)系统测评:三级以上信息系统按《信息系统安全等级保护备案表》要求提交材料;
(8)整改实施:根据测评结果进行安全要求整改。
《网络安全法》
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
不做等保能会怎么样?
不做等保工作就是违法!不做等保工作就是违法!
《网络安全法》
第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《刑法》
第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的,单位犯前款罪的,对单位判处罚金。并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
如果企事业单位违反《网络安全法》、《刑法》,不按相关法规进行网络安全保护义务的,企业责任人将会被直接约谈、罚款,并被要求限期整改。不仅对单位经济造成无法弥补的损失,还会对单位在业界形象造成损害,得不偿失,督促相关责任人对软件项目做好等保测评工作。
1
3
4
8