事實上,等保測評只是一個基線要求,大多數安全風險可以通過評估、糾正和實施分級保護制度來避免。
然而,就目前的評估結果而言,幾乎沒有一個經過測試的系統能夠完全滿足等保要求的。正常情況下,在當前等級保護的評估過程中,只要沒有發現高風險安全隱患,就可以通過評估。然而,安全是一個動態的過程,而不是靜態的,它可以一勞永逸。
企業通過落實安全要求,嚴格執行各項安全管理規章制度,基本上可以實現系統的安全穩定運行。然而,系統的安全性不能得到100%的保證。因此,更重要的是提高企業的安全防護能力,使工作能夠及時完成。如果工作完成了,自然會相對安全。
許多用戶的系統運行在內部網或專用網絡中。不要以為就一直是安全的,別人攻擊不進去,就好像你不出去打仗,自己的國家就不會有人來侵犯你的領地。
首先,所有非保密系統都屬于分級保護的范疇,與系統是在外部網絡上還是在內部網絡上無關;《網絡安全法》規定,分級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網絡和信息系統。因此,無論是內部網還是外部網系統,都需要滿足級別保護和安全性的要求。
①有利于建立長效機制,保證信息安全保護工作穩固、持久地進行下去。
②有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調。
③有利于突出重點,加強對涉及信息安全、關鍵任務的基礎信息網絡和重要信息系統的安全保護和管理監督。
④有利于明確信息系統、單位、個人的安全責任,強化相關部門監管職能,共同落實各項安全建設和安全管理措施。
⑤有利于提高安全保護的科學性、針對性,推動網絡安全服務機制的建立和完善。
⑥有利于采取系統、規范、經濟有效、科學的管理和技術保障措施,提高信息系統整體安全保護水平;等級化使得管理者關注的安全問題通過安全情況等級化、決策指令等級化有效解決;通過等級保護有可能實現宏觀層面的管理。
⑦有利于保障信息系統安全正常運行,保障傳輸信息的安全,進而保障各單位的職能與業務安全、高速、高效地運轉。
其次,內部網系統中的網絡安全技術措施往往做得不好,甚至許多系統已經中毒。2017年肆虐全球的永恒藍色軟件攻擊導致大量內網系統癱瘓,提醒我們內網系統的安全防護不能馬虎。因此,無論系統是在內網還是外網,都有必要及時開展保險工作。
目前,越來越多的小型企業客戶更喜歡將系統部署在云平臺和1DC機房。這些云平臺和國際數據中心的計算機房一般都通過了等級評估。但是,根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,系統責任的主體仍然屬于網絡運營商自身,因此有必要承擔相應的網絡安全責任,有必要對系統進行分級,有必要做好此類保險。
部署在云平臺的系統也需要購買云平臺的安全服務或第三方安全服務,部署在IDC機房的系統也需要購買相應的安全設備來滿足安全需求。
收藏
400-668-6638
取消收藏