安全資訊

信息安全等級保護，是對信息和信息載體按照重要性等級分級別進(jìn)行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。

在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統安全等級保護。

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個(gè)階段。

信息系統安全等級測評是驗證信息系統是否滿(mǎn)足相應安全保護等級的評估過(guò)程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過(guò)在安全技術(shù)和安全管理上選用與安全等級相適應的安全控制來(lái)實(shí)現；另一方面分布在信息系統中的安全技術(shù)和安全管理上不同的安全控制，通過(guò)連接、交互、依賴(lài)、協(xié)調、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

以下是信息安全等級保護工作十大誤區：

1、云系統到哪里進(jìn)行系統定級備案？

背景：云系統由于部署在各類(lèi)云平臺上面，而云平臺的實(shí)際物理地址往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址，大型云平臺還有許多物理節點(diǎn)，很難確定云平臺的具體物理地址，那么這種情況下云系統到底到云平臺所在注冊地址進(jìn)行系統備案，還是到自己所在注冊地址進(jìn)行備案，如果自己的運維團隊和注冊經(jīng)營(yíng)地址不一致怎么辦？到底去哪里備案？不少人以為是到注冊經(jīng)營(yíng)地進(jìn)行備案。

答：云系統應當在系統實(shí)際運維團隊所在地市網(wǎng)安部門(mén)進(jìn)行系統備案，因為這樣方便屬地公安對系統進(jìn)行監管。

擴展：在云計算環(huán)境中，應將云服務(wù)方側的云計算平臺單獨作為定級對象定級，云租戶(hù)側的等級保護對象也應作為單獨的定級對象定級。

2、我的系統已經(jīng)上云或者系統托管到其他地方，系統就不歸我管了，就不用做等保了？

背景：系統上云的情況越來(lái)越多，不論是公有云（阿里云、騰訊云、亞馬遜云等）還是各類(lèi)私有云（政務(wù)云、內部云平臺等）或者就是直接托管到IDC機房，一些客戶(hù)認為系統已經(jīng)不在自己機房了，所以系統的相應安全運維就不歸自己管了，自然等保工作就不需要做了。

答：根據“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則，該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己，所以還是得承擔相應的網(wǎng)絡(luò )安全責任，該進(jìn)行系統定級的還是得定級，該做等保的還是得做等保。

擴展：系統上云或托管后，并不是安全責任主體轉移，只是系統所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會(huì )有些區別，但是并不是沒(méi)有責任。

3、系統定級越低越好？

背景：一些客戶(hù)擔心系統定級定高了后期給自己工作增加麻煩，一方面等級高了，技術(shù)要求高了，需要做的工作多了；另一方面三級系統需要每年都做測評，也覺(jué)得麻煩。所以想著(zhù)系統定個(gè)二級就可以了，自己省事。

答：首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來(lái)確定的，是以事實(shí)為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒(méi)有落實(shí)好網(wǎng)絡(luò )安全保護義務(wù)的直接表現，系統等級低了相應的安全防護要求也低了，那么萬(wàn)一你的系統不小心被攻擊破壞造成一定不良影響，在主管部門(mén)進(jìn)行責任認定追查時(shí)，很有可能就會(huì )因為系統定級不合理，安全責任沒(méi)有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。

擴展：系統定級按照等保1.0的要求是自主定級，有主管部門(mén)的需要主管部門(mén)審核，最終報送公安機關(guān)進(jìn)行審核。所以定級并不是想定幾級就定幾級的。2019年發(fā)布的等保2.0里定級流程新增了“專(zhuān)家評審”和“主管部門(mén)審核”兩個(gè)環(huán)節，定級過(guò)程變得更加規范，定級也更加準確。

4、系統定完級就有人來(lái)管了

背景：一些客戶(hù)會(huì )覺(jué)得系統定了級以后相關(guān)主管單位就會(huì )不時(shí)地來(lái)安全檢查了，給自己的工作增加了麻煩，被人管的感覺(jué)很不好。

答：所有非涉密系統都屬于等級保護范疇，沒(méi)有定級不代表不需要被監管，相反如果沒(méi)有被納入監管，反而會(huì )比較危險，哪天出了事就比較難收拾殘局。定級后或者被監管，主管單位會(huì )在重點(diǎn)時(shí)刻對我們的重要信息系統進(jìn)行一定掃描及保護，會(huì )及時(shí)告知發(fā)現的一些問(wèn)題，避免發(fā)生網(wǎng)絡(luò )安全攻擊事件；同時(shí)一些重要的政策要求或者行業(yè)會(huì )議，也會(huì )通知你們過(guò)來(lái)參會(huì )，方便大家及時(shí)了解最新的網(wǎng)絡(luò )安全形勢，有利于大家開(kāi)展好網(wǎng)絡(luò )安全工作。

擴展：做了等保后，主管單位并不一定會(huì )對你們單位做相關(guān)安全檢查，單位很多，重要的系統很多，主管單位也有自己的一些統一安排，到底會(huì )不會(huì )對你們檢查取決于很多因素，但是一般單位可以不需要有這些顧慮。來(lái)檢查是好事，可以及時(shí)發(fā)現問(wèn)題，督促指導大家開(kāi)展好網(wǎng)絡(luò )安全工作。

5、等級保護工作就是做個(gè)測評就可以？

背景：一些人以為等級保護工作主要就是對系統進(jìn)行定級備案，然后做個(gè)測評就可以了。

答：等級保護工作不僅是一個(gè)測評而是包含：定級、備案、測評、建設整改和監督審查五項內容，測評只是其中一項。

擴展：測評只是開(kāi)始，更重要的是我們通過(guò)測評尋找出差距，分析出目前我們的系統存在的風(fēng)險，及時(shí)查漏補缺，進(jìn)行安全建設整改，提高信息系統的安全防護能力，降低系統受到攻擊破壞的概率。

6、等保測評做過(guò)一次就可以了，以后隨便做不做？

背景：一些客戶(hù)以為等保測評只要做過(guò)一次就行了，以后就不用做了。把等保工作當成一個(gè)形式當成應付工程去做。

答：等保工作是一個(gè)持續的工作，等保測評也是一個(gè)周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業(yè)明確要求每?jì)赡曜鲆淮?，沒(méi)有明確要求的行業(yè)建議大家兩年做一次測評。

擴展：做等保測評不應當抱著(zhù)應付的心態(tài)去做，如果大家的系統真能按照等級保護的要求去做好，那么你的系統安全防護水平還是很高的。做了等保，一方面是合規，更多的是切切實(shí)實(shí)協(xié)助我們做好單位的網(wǎng)絡(luò )安全工作。

7、不做等保沒(méi)關(guān)系，只要不出事就行？

背景：一些用戶(hù)以為做不做等保不要緊，關(guān)揵的是不要出網(wǎng)絡(luò )安全事件，只要不出事都沒(méi)問(wèn)題。

答：《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：（五）法律、行政法規規定的其他義務(wù)。不做等保就屬于第五個(gè)行為，國內目前已經(jīng)有公開(kāi)報道的因沒(méi)有落實(shí)等級保護制度而被處罰的真實(shí)案例。所以等保及時(shí)去做，不要等。

擴展：網(wǎng)絡(luò )安全技術(shù)發(fā)展日新月異，什么叫安全？買(mǎi)什么產(chǎn)品做什么服務(wù)就能安全？絕對的安全是不可能的，我們不能百分百保證我們的系統是安全的，但是我們得把我們能做的工作及時(shí)做到位，該做的工作做到了，自然也就相對安全了。

8、系統在內網(wǎng)，就不需要做等保了？

背景：不少用戶(hù)的系統都在單位內網(wǎng)或者專(zhuān)網(wǎng)中，覺(jué)得系統不對外相對安全，所以就可以不做等保了。

答：首先所有非涉密系統都屬于等級保護范疇，和系統在外網(wǎng)還是內網(wǎng)沒(méi)有關(guān)系；其次在內網(wǎng)的系統往往其網(wǎng)絡(luò )安全技術(shù)措施做的并不好，甚至不少系統已經(jīng)中毒不淺。所以不論系統在內網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作。

擴展：內網(wǎng)不代表安全，而且現在純粹的物理內網(wǎng)很少了，大部分或多或少都與互聯(lián)網(wǎng)有些連接。內網(wǎng)一旦中毒，擴散很快，而且很難清除，因為很多技術(shù)措施都沒(méi)有，幾乎在裸奔狀態(tài)，一旦中毒很容易就垮了。

9、給我們單位整體做一個(gè)等保測評？

背景：一些用戶(hù)或者同行搞不清等保到底是個(gè)什么情況，以為是按照整個(gè)單位去做，天真地認為一個(gè)單位做一個(gè)等保測評就可以。

答：等保測評是按照信息系統來(lái)的，以一個(gè)信息系統為測評整體，并不是按照一個(gè)單位去做的。

擴展：一個(gè)完整的信息系統包括承載其的物理機房、服務(wù)器、主機、應用、數據庫、網(wǎng)絡(luò )設備及安全設備等，測評除了這些具體的實(shí)體對象，還包括相對應的安全管理制度。

10、等保測評做完就得花很多錢(qián)去整改？

背景：一些客戶(hù)有疑慮：測評是沒(méi)有多少錢(qián)，但是測評后需要進(jìn)行安全建設整改，需要花很多錢(qián)。

答：整改花多少錢(qián)取決于你的信息系統等級、系統現有的安全防護措施狀況以及網(wǎng)絡(luò )運營(yíng)者對測評分數的期望值，不一定要花很多錢(qián)甚至不花錢(qián)。

擴展：整改的內容大體分為：安全制度完善、安全加固等安全服務(wù)以及安全設備的添置。在安全制度及安全加固上網(wǎng)絡(luò )運營(yíng)者自己可以做很多整改工作或者委托系統集成方進(jìn)行加固，往往這是不需要額外付費的或者是包含在你和系統集成方合同約定中的，這兩塊內容整改好，加上你有一定的安全技術(shù)措施，基本上是可以達到基本符合的結論的。所以花多少錢(qián)看你怎么去做或者你的期望值是多少。