国产免费观看青青草原网站_久久精品视频色悠悠_影音先锋激情5566_日本一區二區三區免費高清在線_麻豆精品一区综合av_丰满的大屁股一区二区_男女啪啪免费网站_草莓视频app在线观看下载_午夜寂寞少妇AA片_混乱的生物课月老师后续视频

安全建設(shè)整改是指在符合等級保護的要求的基礎(chǔ)上，對新建或已經(jīng)建的信息系統(tǒng)進行建設(shè)和整改；目的是使確定了等級的信息系統(tǒng)能夠達到相應(yīng)等級的基本的保護水平和滿足自身需求的安全保護能力。安全建設(shè)整改工作是開展等級保護工作的核心和落腳點。無論是定級、測評還是監(jiān)督檢查工作最終都要服從和服務(wù)于安全建設(shè)整改工作。

問：安全建設(shè)整改都包括什么？

答：包括技術(shù)體系建設(shè)和安全管理體系建設(shè)兩大維度。安全技術(shù)體系的設(shè)計內(nèi)容主要涵蓋“一個中心、三重防護”，即安全管理中心、計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全。安全管理體系的建設(shè)內(nèi)容既從全局高度考慮為每個等級信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個信息系統(tǒng)的實際需求出發(fā)，選擇和調(diào)整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系。

問：安全建設(shè)整改的工作流程？

答：信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署——信息系統(tǒng)安全保護現(xiàn)狀分析——確定安全策略，制定安全建設(shè)整改方案——開展信息系統(tǒng)安全自查和等級測評。

劃重點：

● 系統(tǒng)規(guī)劃：在整個規(guī)劃中要堅持安全三同步原則：同步規(guī)劃、同步建設(shè)、同步運行，即是需要在不同階段均需要考慮安全需求，并且需要提供相關(guān)記錄文檔。新系統(tǒng)在規(guī)劃中要先定級，先想好是準備定幾級系統(tǒng)，不論對外互聯(lián)網(wǎng)服務(wù)，還是對內(nèi)服務(wù)（如果內(nèi)部是和主營業(yè)務(wù)影響不大不用定級），如果是三級系統(tǒng)，騰訊等大型互聯(lián)網(wǎng)公司，業(yè)務(wù)面向全國范圍內(nèi)，均需要行業(yè)主管部門統(tǒng)一審批（應(yīng)該是公安部，非省公安廳）。

● 系統(tǒng)建設(shè)中包含2個產(chǎn)品和服務(wù)必須要做的：態(tài)勢感知平臺（做全量數(shù)據(jù)采集、分析、上傳、存儲）；等保合規(guī)服務(wù)（包含規(guī)劃、建設(shè)、運行等）。

● 系統(tǒng)運行：三級核心系統(tǒng)的日志等信息需要上傳到公安部門，以進行實時監(jiān)控，通過態(tài)勢感知等平臺進行統(tǒng)一管理和上傳。如果發(fā)生了重大安全事件，必須要一鍵關(guān)停業(yè)務(wù)。

問：我們單位已經(jīng)按照ISO27000標準建立合規(guī)體系，那么還有必要開展建設(shè)整改工作嗎？

答：等保2.0是ISO 27000標準的升級版，二者在網(wǎng)絡(luò)安全等級分類標準等方面有很大的差異，等級保護2.0的各項標準無論是從監(jiān)管內(nèi)容、范圍還是手段都更為嚴格。貴單位雖然通過了ISO 27000標準認證，但并不能說明滿足等級保護2.0的各方面要求。而且，開展等級保護工作是《網(wǎng)絡(luò)安全法》的規(guī)定，不開展等保工作就是違法。所以，無論什么信息系統(tǒng)，目前已按照ISO 27000標準構(gòu)建了合規(guī)體系仍有必要且應(yīng)當依法開展等級保護2.0的工作（被認定為第一級的除外）。

問：多久組織一次自查合適？

答：制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統(tǒng)安全狀況進行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應(yīng)當進一步開展整改。

問：等保2.0時期，設(shè)計建設(shè)整改方案時，要重點注意什么？

答：等保2.0標準采用“一個中心、三重防護” 的理念，從等保1.0標準被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變，注重全方位主動防御、安全可信、動態(tài)感知和全面審計。

下面從物理安全設(shè)計、主機系統(tǒng)安全設(shè)計、備份與恢復(fù)設(shè)計這三個方面重點說明：

● 物理安全設(shè)計

對于不同安全保護等級子系統(tǒng)各自獨立使用機房或獨立使用某個部分（區(qū)域）的情況，其獨立部分可根據(jù)不同安全保護等級的要求和需求獨立設(shè)計。對不同安全保護等級子系統(tǒng)共用機房或共用某些部分（區(qū)域）的情況，其共用部分按照最高原則進行設(shè)計，也就是就高不就低的原則。

● 主機系統(tǒng)安全設(shè)計

主機系統(tǒng)安全設(shè)計，內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的安全配置，主機入侵防范、惡意代碼防范、資源使用情況監(jiān)控等功能的實現(xiàn)。

主機安全設(shè)計需要明確規(guī)定操作系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的名稱與版本、應(yīng)安裝的最小化組件與必要補丁、基本的安全配置規(guī)范。

合理的安全配置是確保主機系統(tǒng)具備的安全功能在業(yè)務(wù)環(huán)境中充分、有效對抗威脅的保證。主要配置內(nèi)容應(yīng)包括身份鑒別（鑒別方式、強度、失敗處理）、訪問控制（控制范圍、嚴格程度以及實現(xiàn)方式）、安全審計（實現(xiàn)方式、對象和項目的選擇、日志存儲與保護、數(shù)據(jù)查詢與報警）等。

● 備份與恢復(fù)設(shè)計

針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時間間隔、實現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求。

針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計要考慮連續(xù)性保證方式（設(shè)備冗余、系統(tǒng)級冗余直至遠程集群支持）與實現(xiàn)細節(jié)，包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機制的選擇、硬件設(shè)備的功能/性能指標以及軟硬件的部署形式與參數(shù)配置等。

問：建設(shè)整改時，新老網(wǎng)絡(luò)如何區(qū)別對待？是要按照標準統(tǒng)一執(zhí)行嗎？

答：各單位在開展網(wǎng)絡(luò)安全建設(shè)整改時，雖然是按照有關(guān)標準要求對每個業(yè)務(wù)系統(tǒng)進行定級的，但實際開展工作時，對新老系統(tǒng)還是要區(qū)別對待的，切記一刀切。新建網(wǎng)絡(luò)，在規(guī)劃設(shè)計時就應(yīng)確定其保護等級，按照網(wǎng)絡(luò)等級同步設(shè)計、同步建設(shè)、同步實施的三同步原則保護技術(shù)措施和管理措施；已有的網(wǎng)絡(luò)，可以采取“分區(qū)”、“分域”的方法，按照“整體保護、綜合防控”的原則進行安全建設(shè)方案或整改方案的設(shè)計，對已有系統(tǒng)進行加固改造，缺什么就補什么。

問：選擇信息安全產(chǎn)品要注意什么？

答：首先要選擇獲得銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品；其次不同等級的信息系統(tǒng)，應(yīng)該使用相應(yīng)等級的網(wǎng)絡(luò)安全產(chǎn)品。國家針對具體的網(wǎng)絡(luò)安全產(chǎn)品類別，制定了一系列等級保護標準。網(wǎng)絡(luò)安全產(chǎn)品標準，從網(wǎng)絡(luò)安全產(chǎn)品的安全功能要求和安全保證要求兩個方面，將每類網(wǎng)絡(luò)安全產(chǎn)品劃分為不同的等級，安全等級越高，安全功能要求越多，安全功能范圍越廣，安全功能粒度越細，安全保證要求越高。信息系統(tǒng)的等級越高，安全防護能力的要求越高，信息系統(tǒng)的安全防護能力，歸根到底必須由具體的網(wǎng)絡(luò)安全產(chǎn)品來實現(xiàn)。最后要優(yōu)先選擇國產(chǎn)品，你懂的！

問：建設(shè)過程中對人員有什么要求？

答：建設(shè)過程中，無論是甲方還是乙方的實施人員，均需要持證上崗（CISP、等保測評師、CISSP三種的一種）。要制定包含管理、技術(shù)體系的標準化，并且要確實落地。

問：整改后達到什么效果算合格？

答：以第三級信系統(tǒng)為例：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災(zāi)害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應(yīng)處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。

綜上：

等級保護進入2.0時代，政策驅(qū)動、監(jiān)管加強，企業(yè)信息安全合規(guī)將變得更加重要。接下來的等級保護建設(shè)整改工作，絕不是花錢買產(chǎn)品和服務(wù)就能解決的，測評通過的難度也會增加，在做建設(shè)整改中，等級保護制度將作為首要因素，合規(guī)才能合法，合法就合規(guī)！

（本文屬知識庫及科普性質(zhì)，資料來源互聯(lián)網(wǎng)，版權(quán)歸原作者所有）