等保2.0 | 二、三級(jí)系統(tǒng)所需安全設(shè)備及常見問題
等級(jí)保護(hù)二級(jí)系統(tǒng)
(一)物理和環(huán)境安全層面安全措施需求如下:
1、防盜報(bào)警系統(tǒng)
2、滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)
3、水敏感檢測儀及漏水檢測報(bào)警系統(tǒng)
4、精密空調(diào)
5、備用發(fā)電機(jī)
(二)網(wǎng)絡(luò)和通信安全及設(shè)備和計(jì)算安全層面需要部署的安全產(chǎn)品如下:
1、防火墻或者入侵防御系統(tǒng)
2、上網(wǎng)行為管理系統(tǒng)
3、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)
4、審計(jì)平臺(tái)或者統(tǒng)一監(jiān)控平臺(tái)(可滿足主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面的監(jiān)控需求,在條件不允許的情況下,至少要使用數(shù)據(jù)庫審計(jì))
5、防病毒軟件
(三)應(yīng)用及數(shù)據(jù)安全層面需要部署的安全產(chǎn)品如下:
1、VPN
2、網(wǎng)頁防篡改系統(tǒng)(針對(duì)網(wǎng)站系統(tǒng))
3、數(shù)據(jù)異地備份存儲(chǔ)設(shè)備
4、主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余(關(guān)鍵設(shè)備雙機(jī)冗余)。
(一)物理和環(huán)境安全層面安全措施需求如下:
1、需要使用彩鋼板、防火門等進(jìn)行區(qū)域隔離
2、視頻監(jiān)控系統(tǒng)
3、防盜報(bào)警系統(tǒng)
4、滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)
5、水敏感檢測儀及漏水檢測報(bào)警系統(tǒng)
6、精密空調(diào)
7、除濕裝置
8、備用發(fā)電機(jī)
9、電磁屏蔽柜
(二)網(wǎng)絡(luò)和通信安全及設(shè)備和計(jì)算安全層面需要部署的安全產(chǎn)品如下:
1、入侵防御系統(tǒng)
2、上網(wǎng)行為管理系統(tǒng)
3、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)
4、統(tǒng)一監(jiān)控平臺(tái)(可滿足主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面的監(jiān)控需求)
5、防病毒軟件
6、堡壘機(jī)
7、防火墻
8、審計(jì)平臺(tái)(滿足對(duì)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的審計(jì),在條件不允許的情況下,至少要使用數(shù)據(jù)庫審計(jì))
(三)應(yīng)用及數(shù)據(jù)安全層面需要部署的安全產(chǎn)品如下:
1、VPN
2、網(wǎng)頁防篡改系統(tǒng)(針對(duì)網(wǎng)站系統(tǒng))
3、數(shù)據(jù)異地備份存儲(chǔ)設(shè)備
4、主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余(關(guān)鍵設(shè)備雙機(jī)冗余)
5、數(shù)據(jù)加密軟件(滿足加密存儲(chǔ),且加密算法需獲得保密局認(rèn)可)
主要有三大原因:法律法規(guī)要求、行業(yè)要求、企業(yè)系統(tǒng)安全需求。
但嚴(yán)格來說,最主要的原因是:法律法規(guī)要求——《網(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,履行安全保護(hù)義務(wù),如果拒不履行,將會(huì)受到相應(yīng)處罰。做了等保,某些安全防護(hù)薄弱的企業(yè),其相應(yīng)的安全防護(hù)能力會(huì)有一定程度的改善。
反過來理解,如果達(dá)到了法律法規(guī)要求的條件,不做等保就是違法!??!
“信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測評(píng)。”
三級(jí)——每年一次。四級(jí)——半年一次。五級(jí)——視特殊要求而定(事實(shí)上,五級(jí)還沒有在真實(shí)場景中出現(xiàn)過,或許只是理論上的等級(jí))。其中二級(jí)比較模糊,沒有強(qiáng)制明文要求,一般都是2年一次。
事實(shí)上,由于某些行業(yè)特殊性,如果等保沒做,有可能拿不到營業(yè)執(zhí)照或者無法正常開業(yè),也有可能受行業(yè)監(jiān)管部門處罰。不做等保有可能遭遇罰款,事態(tài)嚴(yán)重的,有可能遭網(wǎng)監(jiān)等相關(guān)部門勒令停止運(yùn)營,萬一發(fā)生了敏感事故,這個(gè)安全責(zé)任必須自己去承擔(dān),不論你的安全工作平時(shí)做的有多么好。這一點(diǎn)看來,一般是IT部門或者運(yùn)維部門的主管首先擔(dān)責(zé)。輕則罰款關(guān)機(jī),重則牢獄之災(zāi)也是有的。