隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,為了進一步規(guī)范對網(wǎng)站的管理����,國家要求商家及企業(yè)進行等保測評。那等保測評是什么意思�����?下面���,就跟小編一起來看看吧��。
等保測評是什么含義
等保測評的全稱是信息安全等級保護測評�����,是經(jīng)公安部認證的具有資質(zhì)的測評機構(gòu)�����,依據(jù)國家信息安全等級保護規(guī)范規(guī)定�,受有關(guān)單位委托����,按照有關(guān)管理規(guī)范和技術(shù)標準�,對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動�。
《信息安全等級保護管理辦法》第七條規(guī)定:
信息系統(tǒng)的安全保護等級分為以下五級:
第一級����,信息系統(tǒng)受到破壞后,會對公民��、法人和其他組織的合法權(quán)益造成損害���,但不損害國家安全�����、社會秩序和公共利益���。
第二級,信息系統(tǒng)受到破壞后�����,會對公民����、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害����,或者對社會秩序和公共利益造成損害���,但不損害國家安全��。
第三級���,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害�����,或者對國家安全造成損害�����。
第四級�����,信息系統(tǒng)受到破壞后���,會對社會秩序和公共利益造成特別嚴重損害����,或者對國家安全造成嚴重損害。
第五級�����,信息系統(tǒng)受到破壞后����,會對國家安全造成特別嚴重損害��。
為什么要開展等級保護工作
1���、通過等級保護工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足�,進行安全整改之后�����,提高信息系統(tǒng)的信息安全防護能力�����,降低系統(tǒng)被各種攻擊的風險�,維護單位良好的形象��。
2���、等級保護是我國關(guān)于信息安全的基本政策,國家法律法規(guī)���、相關(guān)政策制度要求單位開展等級保護工作���。如《信息安全等級保護管理辦法》和《中華人民共和國網(wǎng)絡(luò)安全法》。
3����、很多行業(yè)主管單位要求行業(yè)客戶開展等級保護工作,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融��、電力����、廣電、醫(yī)療�、教育等行業(yè),還有一些主管單位發(fā)過相關(guān)文件或通知要求去做���。
4�、落實個人及單位的網(wǎng)絡(luò)安全保護義務(wù),合理規(guī)避風險�����。
等保測評的主要內(nèi)容是什么
1��、物理安全:包括物理位置的選擇����、物理訪問控制和防盜�����、防火��、防水��、防雷����、溫濕度控制、電力供應(yīng)���、防靜電和電磁防護�����。
2���、網(wǎng)絡(luò)安全:包括結(jié)構(gòu)安全�、安全審計�����、訪問控制�����、邊界完整性檢查��、惡意代碼防范�����、入侵防范和網(wǎng)絡(luò)設(shè)備防護等��。三級要求主要增強點:結(jié)構(gòu)安全擴展到對重要網(wǎng)段采取可靠的技術(shù)隔離����,在網(wǎng)絡(luò)邊界增加對惡意代碼檢測和清除���;安全審計增強審計數(shù)據(jù)分析和保護,生成審計報表����;訪問控制擴展到對進出網(wǎng)絡(luò)的信息內(nèi)容過濾;
3��、主機安全:包括身份鑒別����、訪問控制、安全審計�����、入侵防范�、惡意代碼防范和資源控制等�����。三級要求主要增強點:身份鑒別要求對管理用戶采用組合鑒別技術(shù)�;
4、應(yīng)用安全:包括身份鑒別、訪問控制�����、安全審計����、通信完整性、通信保密性�、抗抵賴、軟件容錯和資源控制等����。三級要求主要增強點:身份鑒別要求組合鑒別技術(shù);訪問控制和安全審計基本同主機安全增強要求�;要求對通信過程中的整個報文或會話過程進行加密;
5���、數(shù)據(jù)安全:包括數(shù)據(jù)完整性和保密性�����、數(shù)據(jù)的備份和恢復���。三級要求主要增強點:對系統(tǒng)管理數(shù)據(jù)�����、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程和傳輸過程中完整性進行檢測和恢復����,采用加密或其他有效措施實現(xiàn)以上數(shù)據(jù)傳輸和存儲的保密性����;提供異地數(shù)據(jù)備份等。
有途網(wǎng)
