等保評測的含義
等保評測的全稱是信息安全等級保護(hù)測評��。是經(jīng)公安部認(rèn)證的具有資質(zhì)的測評機(jī)構(gòu)���,依據(jù)國家信息安全等級保護(hù)規(guī)范規(guī)定,受有關(guān)單位委托�����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動
信息系統(tǒng)的安全保護(hù)等級分為以下五級:
第一級�,信息系統(tǒng)受到破壞后,會對公民�����、法人和其他組織的合法權(quán)益造成損害����,但不損害國家安全、社會秩序和公共利益����。
第二級,信息系統(tǒng)受到破壞后�,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害�,或者對社會秩序和公共利益造成損害�����,但不損害國家安全��。
第三級���,信息系統(tǒng)受到破壞后�����,會對社會秩序和公共利益造成嚴(yán)重?fù)p害��,或者對國家安全造成損害����。
第四級,信息系統(tǒng)受到破壞后����,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害�����。
第五級�����,信息系統(tǒng)受到破壞后��,會對國家安全造成特別嚴(yán)重?fù)p害���。
為什么要開展等級保護(hù)工作
1����、通過等級保護(hù)工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足,進(jìn)行安全整改之后��,提高信息系統(tǒng)的信息安全防護(hù)能力��,降低系統(tǒng)被各種攻擊的風(fēng)險��,維護(hù)單位良好的形象�����。
2�、等級保護(hù)是我國關(guān)于信息安全的基本政策,國家法律法規(guī)����、相關(guān)政策制度要求單位開展等級保護(hù)工作。如《信息安全等級保護(hù)管理辦法》和《中華人民共和國網(wǎng)絡(luò)安全法》��。
3�����、很多行業(yè)主管單位要求行業(yè)客戶開展等級保護(hù)工作�,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力��、廣電���、醫(yī)療��、教育等行業(yè)��,還有一些主管單位發(fā)過相關(guān)文件或通知要求去做�。
4����、落實個人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù),合理規(guī)避風(fēng)險���。
等保評測的主要內(nèi)容
1����、物理安全:包括物理位置的選擇�����、物理訪問控制和防盜、防火����、防水、防雷����、溫濕度控制、電力供應(yīng)�����、防靜電和電磁防護(hù)���。
2�����、網(wǎng)絡(luò)安全:包括結(jié)構(gòu)安全��、安全審計��、訪問控制��、邊界完整性檢查�、惡意代碼防范��、入侵防范和網(wǎng)絡(luò)設(shè)備防護(hù)等�。三級要求主要增強(qiáng)點:結(jié)構(gòu)安全擴(kuò)展到對重要網(wǎng)段采取可靠的技術(shù)隔離,在網(wǎng)絡(luò)邊界增加對惡意代碼檢測和清除���;安全審計增強(qiáng)審計數(shù)據(jù)分析和保護(hù)�,生成審計報表��;訪問控制擴(kuò)展到對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容過濾���;
3�、主機(jī)安全:包括身份鑒別�����、訪問控制����、安全審計、入侵防范��、惡意代碼防范和資源控制等�����。三級要求主要增強(qiáng)點:身份鑒別要求對管理用戶采用組合鑒別技術(shù);
4�����、應(yīng)用安全:包括身份鑒別��、訪問控制��、安全審計��、通信完整性��、通信保密性��、抗抵賴��、軟件容錯和資源控制等�。三級要求主要增強(qiáng)點:身份鑒別要求組合鑒別技術(shù);訪問控制和安全審計基本同主機(jī)安全增強(qiáng)要求�����;要求對通信過程中的整個報文或會話過程進(jìn)行加密;
5���、數(shù)據(jù)安全:包括數(shù)據(jù)完整性和保密性�、數(shù)據(jù)的備份和恢復(fù)����。三級要求主要增強(qiáng)點:對系統(tǒng)管理數(shù)據(jù)����、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程和傳輸過程中完整性進(jìn)行檢測和恢復(fù),采用加密或其他有效措施實現(xiàn)以上數(shù)據(jù)傳輸和存儲的保密性��;提供異地數(shù)據(jù)備份等����。
