等保起源于國務(wù)院的147號令违帆,為響應(yīng)國務(wù)院147號令,公安部第三研究所(專門管IT行業(yè)的公安研究所)開始著手信息安全標(biāo)準(zhǔn)的推進(jìn),隨后出過一些指導(dǎo)性的國標(biāo)栗精,但都沒有引起很多企業(yè)和單位的ICT建設(shè)參考益老。
隨著近年來網(wǎng)絡(luò)安全法和國家層面的安全指示國標(biāo)變得越來越重要了彪蓬,各個監(jiān)管部門對安全的要求越來越大,而監(jiān)管部門要求安全建設(shè)中遵循的標(biāo)準(zhǔn)大多都是等級保護(hù)捺萌;國家網(wǎng)信辦和公安部都在主推等級保護(hù)档冬,發(fā)現(xiàn)安全事件的單位沒有落實等級保護(hù)肯定會被責(zé)令整改,甚至被處罰桃纯。
等級保護(hù)整變得越來越重要酷誓,越來越多的企業(yè)、政府部門态坦、事業(yè)單位參與到等級保護(hù)標(biāo)準(zhǔn)的制定和執(zhí)行中來盐数,使得等級保護(hù)越來越完善,越來越合理伞梯。
等級保護(hù)1.0發(fā)布時間:2008年 參考國標(biāo):GB/T 22239-2008
參與制定單位:公安部第三研究所玫氢、中國信息測評中心等
1.0技術(shù)部分:
- 物理安全
- 網(wǎng)絡(luò)安全
- 主機安全
- 應(yīng)用安全
- 數(shù)據(jù)安全及備份恢復(fù)
1.0管理部分: - 安全管理制度
- 安全管理機構(gòu)
- 人員安全管理
- 系統(tǒng)建設(shè)管理
- 系統(tǒng)運維管理
缺點:仍有些不完善的地方帚屉,甚至有些要求不符合常理,導(dǎo)致單位和企業(yè)建設(shè)的成本過高琐旁。
等級保護(hù)2.0發(fā)布時間:2019年 參考國標(biāo):GB/T 22239-2019 聲明是取代2008年的指標(biāo)涮阔,12月1日正式實行該標(biāo)準(zhǔn),之前的標(biāo)準(zhǔn)自此更新為灰殴。
參與制定單位:公安部第三研究所敬特、信息安全測評中心、華為牺陶、啟明星辰伟阔、新華三、阿里云掰伸、
為什么要做等保皱炉?
- 主動:進(jìn)行安全建設(shè)的時候等級保護(hù)是國內(nèi)最權(quán)威、最流行狮鸭、推廣力度最大的標(biāo)準(zhǔn)合搅,說白了就是做了一堆所謂的安全建設(shè),不受社會和監(jiān)管部門的認(rèn)可歧蕉,建設(shè)的方向錯了灾部,應(yīng)該先符合標(biāo)準(zhǔn),再考慮其它的安全建設(shè)惯退。
- 被動:網(wǎng)信辦的推動赌髓,網(wǎng)信辦是主管互聯(lián)網(wǎng)內(nèi)容合規(guī)政府部門,所有有網(wǎng)站和應(yīng)用的企業(yè)都受網(wǎng)信辦的監(jiān)管催跪,一旦你的網(wǎng)站傳播了不良信息都會被網(wǎng)信辦處罰锁蠕,如果是因為黑客造成的不良信息傳播該公司就會被要求限期整改落實等級保護(hù)等安全建設(shè)。
- 被動:公安部的推動懊蒸,如果企業(yè)發(fā)生安全事件或信息財產(chǎn)損失去公安網(wǎng)監(jiān)部門報案追回?fù)p失的話荣倾,首先網(wǎng)監(jiān)部門會檢查你有沒有落實等級保護(hù),如果是因為安全能力不夠造成的損失骑丸,網(wǎng)監(jiān)會在破案前先處罰企業(yè)逃呼。但如果你落實了等級保護(hù),那網(wǎng)監(jiān)就無話可說者娱。(所以一般的安全事件如果沒有財產(chǎn)損失是不會去報警的抡笼,因為網(wǎng)警會以破案優(yōu)先,不會在乎你的死活黄鳍,再者也不是什么光彩的事情推姻。)
- 被動:政府部門、事業(yè)單位等監(jiān)管部門的推動框沟,比如市政府藏古、市委增炭、衛(wèi)健委、教育局等監(jiān)管部門要求加強安全建設(shè)拧晕,但又不清楚具體怎么加強隙姿,于是要求被監(jiān)管部門按照等保標(biāo)準(zhǔn)來建設(shè)。
關(guān)于收費:
等保1.0參考《中關(guān)村信息安全測評聯(lián)盟等級測評項目收費指導(dǎo)意見(試行)》
- 整改收費:收費彈性大(視產(chǎn)品和服務(wù)的質(zhì)量不同而決定)
- 測評收費:收費固定(不同地區(qū)不一樣)
- 年檢收費:收費固定(不同地區(qū)不一樣)
費用公式:F=A×B
費用(F)取自于收費基數(shù)(A)和調(diào)節(jié)因子(B)厂捞,費用(F)四舍五入到千為單位输玷。
假設(shè)三級等保收費基數(shù)A是4w,調(diào)節(jié)因子是3.55靡馁,那么一個三級系統(tǒng)要做等保測評欲鹏,收費則應(yīng)是F=7+0*3.55=7w;如果是3個系統(tǒng)做三級等保測評臭墨,就是F=7+2*3.55=14.1w赔嚎。
如果是5個二級系統(tǒng),那就是F=4+4*2.1=12.4w胧弛。
測評機構(gòu)比較愿意接受的價格1個二級系統(tǒng)4000尤误,1個三級系統(tǒng)72000。
等級測評和年檢等級越高花費的人力越大结缚,所以收費越高袄膏。
實際上toB的商品和服務(wù)價格都是不透明的,但是能做測評的就當(dāng)?shù)貎扇移髽I(yè)和單位掺冠,價格基本沒得商量,而且當(dāng)?shù)販y評中心基本都只給政府優(yōu)先服務(wù)码党,不會先接私企的單德崭;私有的擁有測評資質(zhì)的企業(yè)往往會坐地起價。你跟他們銷售談5w就是5w揖盘,10w就是10w,降價基本是不可能,最多賣點安全服務(wù)給你提升滿意度宵距。
ps:測評機構(gòu)可以賣服務(wù)但是不能賣自己公司產(chǎn)品的岔留,這也就是安全廠商為什么拿不到測評資質(zhì)的原因,因為賣自己公司產(chǎn)品就不能客觀的做評測了箕慧。
等保2.0收費參考標(biāo)準(zhǔn):
| 信息系統(tǒng)等級 | 測評指標(biāo)項數(shù)量 | 單項收費標(biāo)準(zhǔn)(元/項) | 收費基數(shù)(萬元) |
|---|---|---|---|
| 二級 | 175 | 500 | 9 |
| 三級 | 290 | 550 | 16 |
| 四級 | 318 | 650 | 21 |
根據(jù)國泰君安的研究數(shù)據(jù)表明:目前市場上等保2.0測評服務(wù)為二級8萬元服球,三級16萬元,等保2.0咨詢服務(wù)的價格為二級5萬左右颠焦,三級8萬~10萬元(按9萬計算)斩熊。
怎么通過等保評測?
聯(lián)系當(dāng)?shù)赜匈Y質(zhì)等狈ネィ【測評機構(gòu)】(在當(dāng)?shù)鼐W(wǎng)監(jiān)備案過)
【測評機構(gòu)】收集單位和應(yīng)用系統(tǒng)信息提交給專家定級
填寫備案表粉渠,到公安局備案(需要帶上需測評方的相關(guān)材料)
進(jìn)行整改(也可以在提交備案材料前整改分冈,但最好確定等級后再整改)
【測評機構(gòu)】進(jìn)行訪談和風(fēng)險評估等測評工作(具體參照評測指南)
【測評機構(gòu)】將訪談結(jié)果提交到公安局進(jìn)行審核,審核通過后頒發(fā)等保備案證書視為通過等保霸株。
后續(xù):三級等保一年測評一次雕沉,二級等保建議兩年測評一次(暫無強制要求)。
其實流程無所謂去件,只是個大致的過程坡椒;關(guān)鍵是【測評機構(gòu)】的員工俗稱《測評師》會去現(xiàn)場訪談,問你各種這個要求做了沒有箫攀,能不能看下你做得對不對肠牲?隨后會對你需要過等保的系統(tǒng)進(jìn)行風(fēng)險評估(不能有中高危漏洞才算合格,不合格就得繼續(xù)整改到合格為止)靴跛,最后把訪談內(nèi)容和風(fēng)險評估整理成報告提交到公安網(wǎng)監(jiān)部門的系統(tǒng)上缀雳,網(wǎng)監(jiān)復(fù)核后頒發(fā)等保備案證書才算過等保了。還有關(guān)于三級等保一年評測一次的說法都是測評機構(gòu)自說自話并無相關(guān)標(biāo)準(zhǔn)和依據(jù)梢睛。
關(guān)于定級:定級誰來定肥印?要定幾級?
共分五級绝葡,通常做2級和3級(最好滿二追三)深碱;由【測評機構(gòu)】提交給【專家】定級,然后定級好后到公安部門進(jìn)行備案藏畅,做四級等保的普通企業(yè)就BAT這種級別的敷硅。
對外系統(tǒng)定級標(biāo)準(zhǔn)(互聯(lián)網(wǎng)每個人都能訪問到)
市級政府事業(yè)單位app:定兩級
市級政府事業(yè)單位網(wǎng)站:定兩級
省級政府事業(yè)單位app:定三級
省級政府事業(yè)單位網(wǎng)站:定三級
p2p金融機構(gòu):定三級
普通企業(yè)網(wǎng)站:定兩級
普通互聯(lián)網(wǎng)企業(yè)網(wǎng)站:定三級
BAT之類的國民級互聯(lián)網(wǎng):定四級
國家級公開應(yīng)用系統(tǒng)(如公安部、教育部):定五級
對內(nèi)系統(tǒng)定級標(biāo)準(zhǔn)(只有授權(quán)用戶能訪問)
基本都定二級愉阎,因為相對外部危害較小绞蹦。
國家級別的應(yīng)用系統(tǒng)可能往三級定,這就需要公安三所和國測專家來判斷了榜旦。
PS:定一級基本不用做太多整改幽七,直接叫測評機構(gòu)來就行,實際上也不會叫你定一級溅呢,起碼兩級起步澡屡。
三種安全控制點:(比如三級有一個到達(dá)3即可,如:G3S2A1咐旧、G2S3A1)
通用安全保護(hù)類要求(簡記為 G)
數(shù)據(jù)安全保護(hù)類要求(簡記為 S)
應(yīng)用系統(tǒng)保護(hù)類要求(簡記為 A)
PS:這是1.0的驶鹉,2.0改成G對應(yīng)該等級,A和S會根據(jù)企業(yè)情況變化铣墨;但必須有一個對應(yīng)等級梁厉;也就是有兩個對應(yīng)等級。
數(shù)據(jù)中心定三級,備份數(shù)據(jù)中心要三級嗎词顾?
答案:不需要八秃,只需要滿足主干網(wǎng)絡(luò)線路冗余、網(wǎng)絡(luò)硬件冗余等四項要求即可
三級等保需要網(wǎng)閘嗎肉盹?
答案:1.0需要昔驱,2.0不需要(更合理,減少不必要的開支)上忍。
1.0和2.0多少分可以過等保骤肛?
答案:1.0需要60分以上(達(dá)到60%的指標(biāo)),2.0需要75分以上窍蓝,難度增加了很多腋颠;其實2.0的指標(biāo)數(shù)變多了,達(dá)到一定比例的指標(biāo)數(shù)就可以了吓笙。
一級等保需要采購什么淑玫?
二級等保需要采購什么?
三級等保需要采購什么面睛?
1.0和2.0管理要求上的區(qū)別
1.0管理要求:
- 安全管理制度
- 安全管理機構(gòu)
- 人員安全管理
- 系統(tǒng)建設(shè)管理
- 系統(tǒng)運維管理
2.0管理要求:
- 安全管理中心
- 安全管理制度
- 安全管理機構(gòu)
- 安全管理人員
- 安全建設(shè)管理
- 安全運維管理
相對1.0來說2.0新增了安全管理中心:
[等保2.0安全管理中心要求-通用部分]
[等保2.0安全管理中心要求-云計算部分]
2.0之云計算安全部分
- 基礎(chǔ)設(shè)施位置:要求在中國境內(nèi)(未說明包不包含港澳臺絮蒿,主要是香港)
- 安全通信網(wǎng)絡(luò)
- 網(wǎng)絡(luò)架構(gòu):云計算服務(wù)商等保等級>=需要通過的等保等級;服務(wù)商支持不同客戶之間的網(wǎng)絡(luò)隔離叁鉴;服務(wù)商需提供通信傳輸土涝、邊界防護(hù)、入侵防范等安全機制和能力幌墓;服務(wù)商需支持自定義安全策略但壮;服務(wù)商需提供和開發(fā)安全接口,允許客戶在云平臺選購和安裝第三方安全產(chǎn)品和服務(wù)常侣。
- 安全區(qū)域邊界
- 訪問控制
- 入侵防范
- 安全審計
- 安全計算環(huán)境
- 身份鑒別
- 訪問控制
- 入侵防范
- 鏡頭和快照保護(hù)
- 數(shù)據(jù)完整性和保密性
- 數(shù)據(jù)備份恢復(fù)
- 剩余信息保護(hù)
- 安全管理中心(控制臺)
- 集中管控:應(yīng)能對物理和虛擬資源進(jìn)行統(tǒng)一調(diào)度和分配蜡饵,
- 安全建設(shè)管理
- 云服務(wù)商選擇
- 供應(yīng)鏈管理
- 安全運維管理
- 云計算環(huán)境管理:運維地點應(yīng)在中國境內(nèi)
2.0之移動互聯(lián)網(wǎng)安全部分(這個標(biāo)準(zhǔn)剛出來,內(nèi)容很少袭祟,很多地方不成熟,也不是很合理捞附,建設(shè)成本偏高)
- 安全物理環(huán)境:避免無線過度覆蓋和電磁干擾
- 安全區(qū)域邊界(由無線控制器或上網(wǎng)行為管理實現(xiàn))
- 邊界防護(hù):有線和無線數(shù)據(jù)交互需要通過網(wǎng)關(guān)設(shè)備(類似無線控制器)
- 訪問控制:要求支持國密巾乳,并開啟認(rèn)證,支持采用認(rèn)證服務(wù)器認(rèn)證
- 入侵防范(重點):內(nèi)容很多
- 安全計算環(huán)境(可用EMM實現(xiàn))
- 移動終端管控:需要有移動終端管理軟件鸟召,并且支持服務(wù)端遠(yuǎn)程聲明周期管理
- 移動應(yīng)用管控:對運行在移動終端的軟件做管控胆绊,只允許指定證書簽名的軟件安裝運行,有軟件白名單功能
- 安全建設(shè)管理
- 移動應(yīng)用軟件采購:來自可靠供應(yīng)商欧募,有可靠證書簽名压状,由指定供應(yīng)商開發(fā)
- 移動應(yīng)用軟件開發(fā):對開發(fā)者進(jìn)行審查,對簽名證書進(jìn)行檢查
- 安全運維管理
- 配置管理:建立合法無線終端庫(根據(jù)mac地址)
2.0之物聯(lián)網(wǎng)安全部分(大同小異,現(xiàn)階段還不完善)
- 安全物理環(huán)境
- 感知節(jié)點設(shè)備物理防護(hù)
- 安全區(qū)域邊界
- 接入控制
- 入侵防范
- 安全計算環(huán)境
- 感知節(jié)點設(shè)備安全
- 網(wǎng)關(guān)節(jié)點設(shè)備安全
- 抗數(shù)據(jù)重放
- 數(shù)據(jù)融合處理
- 安全運維管理
- 感知節(jié)點管理
2.0之工業(yè)控制系統(tǒng)安全部分(大同小異种冬,現(xiàn)階段還不完善)
- 安全物理環(huán)境
- 室外控制設(shè)備物理防護(hù)
- 安全通信網(wǎng)絡(luò)
- 網(wǎng)絡(luò)架構(gòu)
- 通信傳輸
- 安全區(qū)域邊界
- 訪問控制
- 撥號使用控制
- 無線使用控制
- 安全計算環(huán)境
- 控制設(shè)備安全
- 安全建設(shè)管理
- 產(chǎn)品采購和使用
- 外包軟件開發(fā)
