等保合规,到底是什么东西?

无论是多部网络安全法律法规的出台,还是最近的“滴滴被安全审查”事件,我们听得最多的一个词,就是“等保。”

公司主营业务:成都网站制作、成都做网站、外贸营销网站建设、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。成都创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联推出荣县免费做网站回馈大家。

​​

只要你接触安全类工作,听得最多的一个词,一定是“等保。”

那么,到底什么是“等保”呢?

等保,全称叫“信息安全等级保护”,它是一种强制性的标准。简单地说,一些特定的行业或者企业,如果没有过等保,就不让经营。

比如互联网医疗行业,想取得线上诊疗资质,就必须过等保。

211、985大学的互联网+教育,比如学生管理系统、学校官网等,也必须过等保。

之所以很多行业,需要过等保,只有一个目的:保护信息安全。

试想一下,如果互联网金融行业,不过等保,会是什么后果。

​[[417358]]​

一些没有实力的企业,很轻易的进入互联网金融行业,随意搞一个漏洞百出的软件,用户所填写的姓名、手机号、身份证,甚至是人脸信息,很容易被窃取。

这些可能还不算什么,更严重的,还可能威胁国家安全。

等保的作用就体现出来了。

经过定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,全方位测评企业的信息系统安全,不合格不让经营。

虽然过等保不能保证信息系统的绝对安全。但无疑会提高遭遇攻击,以及信息泄露的门槛。

​​​​

等保到底在“保”什么?

等保评级,会从七个维度进行测评。

1. 物理安全

物理安全包含物理位置的选择、物理访问控制、防火、防盗、防破坏、防雷击、防水防潮、防静电、温湿度控制、电力供应电磁防护。

简单的举个例子,网站的服务器不能随意放置,机房必须具备防震、防风、风雨等功能,最次的也要符合当地的抗震设防标准。而且位置不能在地下室、也不能在顶层。

再比如机房的入口有没有安排专门的人员值守、控制、鉴别和记录进出的人员等等。

这些都是物理安全的评测范围。

2. 网络安全

网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几项。

这一部分比较容易理解。业务高峰期,必须拥有足够的带宽,保证服务器不会宕机。对网络系统中的网络设备运行状况、网络流量、用户行为等进行记录等等。

3. 主机安全

主机安全包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

这一部分要求企业应对登录操作系统和数据库的用户,进行身份标识和鉴别,启用访问控制功能,控制用户对资源的访问。

还要能够检测和记录对重要服务器的入侵行为,如入侵的源IP、攻击类型、攻击目的、攻击事件等等。

4. 应用与数据安全

包含应用安全和数据安全及备份恢复。

要求企业提供异地数据备份、本地数据备份等,还规定了备份频率,满足灾难恢复策略的要求。

5. 制度与人员安全

这一部分是总体要求,对于安全相关的各类活动都要有相应的制度规范,比如机房管理、保密制度等。

6. 系统建设管理

这一部分企业能做的不多。虽然企业可以自己组织专家组为系统定级,但由于成本和复杂度等因素,一般会聘请第三方专家来为系统定级。

第三方专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划等进行论证和审定。

7. 系统运维管理

等保要求企业要制定专门的人员,对机房供配电、空调等设施进行维护管理,保护机房安全。具体所需要的要求也非常多。

以上七个部分的内容,只是简单的提了一下,实际上真正的等保测评非常复杂,而且事无巨细。

​​

等保一共分五个等级,一般来说企业做最多的是二级等保和三级等保。毕竟很少有企业会涉及到国家安全层面。

当前文章:等保合规,到底是什么东西?
分享链接:http://www.gawzjz.com/qtweb/news17/193067.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联