等保2.0已于2019年12月1日开始正式实施,企业新备案和复测的系统,都面临着等保2.0的测评和过检的挑战。本文整理了等保测评一些常见问题。
1.什么是等保测评?
等保测评是经公安部认证的具有资质的第三方测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
2.等保2.0测评内容有哪些?
等保2.0安全要求包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
3.等保测评合格标准有哪些?
等保2.0通过测评需满足以下两个条件:
○ 测评分在75以上
○ 无高危风险项
高危测评项有一票否决权,这也充分说明了安全建设的水桶原则,只要有一块短板,水桶就会漏水。企业在测评合格后会获取等级保护备案证明和纸质的测评报告,三级及以上系统需每年进行测评。
4.等保测评的安全通用要求有哪些?
等保测评的安全通用要求分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个部分。以三级系统为例,针对重点测评项进行对标解读。
5.等级保护操作流程是什么样的?
等级保护实施过程一般包括系统定级、系统备案、整改建设、等级测评和监督检查五项工作。
6.对于等保测评对象有哪些建议?
(1)根据服务器角色和重要性,对网络进行安全域划分,
(2) 在内外网的安全域边界设置防火墙;设置访问控制策略,并要求颗粒度到端口级别;
(3)在网络边界处应当部署入侵防范手段,例如HIDS/WAF等防御,并记录入侵行为;
(4)通过诸如堡垒机等,对网络中的用户行为日志和安全事件信息进行记录和审计,同时避免账号共享。PS:记录和审计运维操作行为是最基本的安全要求;
(5)通过建立统一的管理中心,对安全设备、网络设备和服务等进行集中管理;
(6)在应用数据安全方面,需要考虑数据的完整性与保密性,加密是必要且常用手段;
(7)应对系统定期进行安全渗透、风险评估,进行漏洞和风险管理,采用科学的安全保障体系模型,形成完整、动态的安全闭环。
相关阅读: