一、等保相关问题
1什么是等保
答:全称是“网络安全等级保护”,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,将全国的信息系统(包括网络)按照信息系统的业务信息和系统服务被破坏后,对受侵害客体的侵害程度分成五个安全保护等级(从第一级到第五级逐级增高),主要内容如下:
1对信息系统分等级进行安全保护和监督;
2对信息安全产品分等级进行管理,
3对信息安全事件分等级进行响应和处置。
像等级越高,进行保护和监管制度越高,响应和处置等级就越高。
2为什么要做等保
答:1通过做等保测评,可以发现系统网络内外部分存在的安全风险,通过测评整改提高防护水平
2广电,教育,电力等行业是由上而下有发布文件展开工作,不做就会被问责
3基本国策,17年6月1日颁布的网络安全法二十一条明确规定了等保制度的建立和实行。
3不做等保会有什么影响?
答:《中华人民共和国网络安全法》第五十九条:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
4公安部门要求什么时间完成等保测评?
答:根据公安文件要求的时间开展测评工作,如果还没有定级则根据定级要求和流程,先向公安递交定级备案文件,预算纳入下一年度工作计划,在经费未落实前,可以先进行系统了解,系统加固配合工作。
定级专家评审时间:每季度或每半年(或不定期),由公安组织专家评审。
5什么是等保2.0?
答:随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。
等保2.0全称是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
6等保1.0和等保2.0最重要的一些区别。
答:1.标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。
2.标准要求变化
等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
3.安全体系变化
等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
1)定级对象的变化
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
2)定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T)。
3)定级流程的变化
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
4)测评合格要求提高
相较于等保1.0,等保2.0测评的标准发生了变化,以前4级系统半年要测评一次,现在3级及以上系统每年做一次。1.0里60分以上算及格,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
7网络安全工作由谁监管?
答:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
8为什么要找浩基做等保?
答:湖南浩基是经湖南省信息安全等级保护工作协调小组办公室推荐,公安部信息安全等级保护评估中心审批,湖南省公安厅批准成立的湖南省内具备等级测评资质和能力的测评机构。
9浩基主要做什么
答:湖南浩基致力于帮助全国重要信息系统运营单位提升系统安全防护能力,为用户提供等级测评、可信众测、渗透测试、风险评估、安全运维、安全巡检、安全培训、安全加固、应急响应等一站式服务。公司已为全国余家金融、政府、电力、运营商、医疗、教育、广电、互联网等行业用户持续输出安全能力,并见证了用户系统安全防护能力等级逐步提升的过程。
10等保测评内容
答:等级测评主要包括安全物理环境(机房)、安全区域边界、安全通信网络(网络结构、网络设备、安全设备)、安全计算环境(操作系统、数据库、应用软件、中间件)、安全管理中心和安全管理六个层面。
11等保定级对象
答:等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,主要对象如下:
1起支撑,传输作用的基础网络,像内外网,专网和网管系统
2用于生产,调度,管理,作业,指挥,办公的应用系统
3对外发布业务主要平台
4云计算、物联网、移动互联、大数据等平台。
12等保怎么定级
答:安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
等级保护对象的级别由两个定级要素决定,按照受侵害和攻击的客体(客体指法人,单位用户或者社会人员)对社会和国家危害程度定级,总共1-5个级别:
a)受侵害的客体;
b)对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,比如一些企业的门户网站,中小企业的一些对外办公网站等等。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,如果涉及到科研成果,社会,国家等方面的系统。比如铁路网站,医保,社保等系统。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
13实际操作中如何定级?区别?
答:第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一半适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
在实际操作中,可参考备案单位自主定级分类指南。
14《定级报告》一般都包括哪些部分?
答:1、定级依据
包括与本次信息系统定级相关的法规、标准、规范和文件等,例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。
2、信息系统划分
详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等。如果定级范围内划分出多个作为定级对象的信息系统,应描述划分结果、划分方法和理由。
3、信息系统描述
描述定级信息系统的边界,包括外部边界和与其他系统相连的内部边界,定级系统的边界设备,系统内的主要设备,系统承载的业务应用。
15专家评审对象是什么?哪些系统无需专家评审的?
答:二级及二级以上的信息系统需要专家评审,但下列情况可无需专家评审:
1、信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需再进行等级专家评审。
2、主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
16整个测评周期是多长?其中现场测评时间多久?
答:整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3-4周,一个三级系统会占用4-5周(指初次测评,不包括整改和加固时间);
其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用3-4个工作日,一个三级系统会占用5-6个工作日(两组同时进行,每组两人)。
17等级保护有哪些规范标准?
答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
GB/T-信息安全技术信息系统安全等级保护实施指南
GB/T-信息安全技术网络安全等级保护安全设计技术要求
GB/T-信息安全技术网络安全等级保护测评要求
GB/T-信息安全技术网络安全等级保护基本要求
GB/T-信息安全技术信息系统安全等级保护定级指南
GB/T-信息安全技术网络安全等级保护安全管理中心技术要求
18做了等保再出安全问题可以免责吗?
答:网络安全工作是一件专业性很强的工作,需要持续进行开展。安全也没有绝对的安全,但是作为甲方,自己该做的工作都需要及时做到,在自己力所能及的情况下开展好网络安全工作,再出了事自己这块的工作首先肯定是做到位的,即使还需要进行承担的话,也不会承担主要责任。比如单位内部人员蓄意把内部资料泄露出去,那么这个责任肯定是由泄露出的人去承担。
19等保流程?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。
20等级保护测评结论不符合是不是等级保护工作白做了?
答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
21已经上了很多设备了,为什么要做等保?
信息系统安全是一个动态的工程,不能指望上一项技术,一个产品,一个方案就能一劳永逸的永远解决系统安全问题。而且,在国家没有出台信息系统安全标准(国标)前,对信息系统安全没有一个基本标准,基本方法,各单位完全是按照各个厂商或各个公司的标准来建设信息系统安全,我们不能被厂商引导
22能不能把我们单位几个系统定级成一个系统,我们经费有限?
答:等保定级后我们会对现有系统测评,测评报告有严格要求,如果要求多系统合一做成报告,在专家评审阶段无法通过,最终无法通过公安机关审核。
23我的系统已经上云或者系统托管到其他地方,系统就不归我管了,就不用做等保了?
背景:系统上云的情况越来越多,不论是公有云(阿里云、腾讯云、亚马逊云等)还是各类私有云(政务云、内部云平台等)或者就是直接托管到IDC机房,一些客户认为系统已经不在自己机房了,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
答:根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
扩展:系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
24系统定完级就有人来管了
背景:一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了,给自己的工作增加了麻烦,被人管的感觉很不好。
答:所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。
扩展:做了等保后,主管单位并不一定会对你们单位做相关安全检查,单位很多,重要的系统很多,主管单位也有自己的一些统一安排,到底会不会对你们检查取决于很多因素,但是一般单位可以不需要有这些顾虑。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。
25等级保护工作就是做个测评就可以?
背景:一些人以为等级保护工作主要就是对系统进行定级备案,然后做个测评就可以了。
答:等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
26等保测评做过一次就可以了,以后随便做不做?
背景:一些客户以为等保测评只要做过一次就行了,以后就不用做了。把等保工作当成一个形式当成应付工程去做。
答:等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
27不做等保没关系,只要不出事就行?
背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。
答:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
28系统在内网,就不需要做等保了?
背景:不少用户的系统都在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。
答:首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
29给我们单位整体做一个等保测评?
背景:一些用户或者同行搞不清等保到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等保测评就可以。
答:等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。
30你们怎么测评的?
答:信息系统单元测评主要从安全技术测评和安全管理测评两个方面来进行,这两个方面分别以A业务服务保障性,S业务信息安全性,G通用安全性三个指标来进行。其中安全技术测评分为安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心五个层面。安全管理分为安全管理制度,安全管理机构,安全人员管理,安全系统建设,安全运维管理五个层面。
31等级测评未通过,是不是就等于白做了?
答:等保首次测评不通过,不代表等级保护白做了,因为贵单位参与了等保测评,表明您已经有在履行网络安全等级保护的义务,这比不按照要求的开展等保工作的单位还是有区别的。
但是,等保测评不符合表示被测评对象还需要整改,提升网络安全的防御和应急能力。所以测评不通过的企业,请一定要抓紧时间整改。否则一旦发生网络安全问题,并且是由于这些等保测评不符合部分导致的,仍需承担相关责任。
32等级测评通过了,是不是就绝对安全了?
答:等保测评是评分制工作,目前有四种结论分别是优、中、良、差,结论为良及以上即认为本次测评通过,非优结论的测评系统仍需要进行整改,即使为优或者满分的系统,也仅证明该系统具备对应等级的安全防护能力,在面对更高级的恶意破坏时,仍存在安全风险。
所以等级测评通过了,不意味着绝对的安全,万万不可掉以轻心,毕竟安全无小事!
33等保测评多久做一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
34三级系统一年测一次,是不是一次管一年?
答:当然不是,等级测评是仅针对被测信息系统当前现状进行测试评估,也意味着此份测评报告仅对被测系统当前现状负责。
但是测评通过了,也就意味着至少咱们系统当前的安全防护能力是符合相关国家标准的,在当前情况下是具备防护对应威胁的能力。
35下级单位业务系统是上级单位统一建设的,下级单位仅通过终端访问业务系统,请问下级单位是否需要做测评。
答:如果该系统已通过等保测评,并且本地无数据留存的情况下,下级单位仅需做好本地网络安全防护工作即可,不需进行测评。
如该系统未通过等保测评,根据谁运营谁主管的原则,应由上级单位负责该系统的安全及等保测评工作。
36“等保”与“关保”有什么区别?
答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
37等保2.0安全设计技术要求的设计思想是什么?
答:等保2.0的《信息安全技术网络安全等级保护安全设计技术要求》的设计思想是以PPDR(以策略为中心,构建防护-检测-响应防护机制)为核心思想,以可信认证为基础、访问控制为核心,构建可信-可控-可管的立体化纵深防御体系。
可信
以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
可控
以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
可管
通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
38如何推动等保工作的展开?
答:1、政策驱动:年6月1日起《中华人民共和国网络安全法》正式施行,明确了网络安全等级保护的法律地位,要求各行业各单位重要业务系统必须满足等级保护要求。
2、业务驱动:通过等保工作的展开,可以发现单位业务系统存在的安全风险及时修复安全漏洞,提供单位人员信息化水平以及安全意识。
3、政绩驱动:等保工作可以作为年度汇报材料上交,是单位领导信息化工作的体现,也能增加KPI考核分数。
39满足三级等保需要上哪些安全产品?
答:互联网出口区域:下一代防火墙(启用IPS、AV模块,或采购单独的IPS、AV设备;必选)、链路负载均衡(推荐)、上网行为管理(推荐)。注意:等保三级要求关键网络设备冗余,出口区域设备要求冗余部署。
安全运维区域:日志审计(必选)、数据库审计(必选)、运维审计(必选)、主机安全(可使用公司G01产品,必选)、安全感知平台(满足安全管理中心要求,必选)、检测探针(配合安全感知平台使用,必选)、漏洞扫描(推荐)、基线核查(推荐)、终端安全管理(推荐)。
核心业务区域:Web防火墙(网站类应用必选)、下一代防火墙(推荐)、服务器负载均衡(推荐)。
40满足二级等保需要上哪些安全产品?
答:互联网出口区域:下一代防火墙(启用IPS模块,或采购单独的IPS设备;必选)、上网行为管理(推荐)。
安全运维区域:日志审计(必选)、运维审计(推荐)、主机安全(可使用公司G01产品,必选)、终端安全管理(推荐)。
核心业务区域:Web防火墙(网站类应用推荐)。
41等保工作中对数据备份有什么要求?
答:对容灾要求较高的三级系统,如金融、医疗卫生、社会保障等行业系统建议进行异地备份;对数据处理可用性要求较高的三级系统(如金融、竞拍、大数据平台等)建议对重要服务器及重要数据库热冗余。
42如何才能保证网络的物理安全?
答:物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护,物理安全措施是计算系统中必需的。
物理安全主要包括三个方面:场地安全(环境安全):是指系统所在环境的安全,主要是场地与机房;设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等);介质安全(媒体安全):包括媒体的数据的安全及媒体本身的安全。
1.场地安全
为了有效合理地对计算机机房进行保护,应对计算机机房划分出不同的安全等级,把应地提供不同的安全保护措施,根据GB-,计算机机房的安全等级分为A类、B类、C类三个基本类别。
A级机房:对计算机机房的安全有严格的要求,有完善的计算机计算机安全措施,具有最高的安全性和可靠性。
B级机房:对计算机机房的安全有严格的要求,有较完善的计算机计算机安全措施,安全性和可靠性介于A、C级之间。
C级机房:对计算机机房的安全有基本的要求,有基本的计算机计算机安全措施,C级机房具有最低限度的安全性和可靠性。
在实际的应用中,可根据使用的具体情况进行机房等级的设置,同一机房也可以对不同的设备(如电源、主机)设置不同的级别。
2.设备安全
设备安全包括设备的防盗和防毁,防止电磁信息泄露,前置线路截获、抗电磁干扰一级电源的保护。其主要内容包括:
(1)设备防盗。
可以使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护计算机系统设备和部件,以提高计算机信息系统设备和部件的安全性。
(2)设备防毁
一是对抗自然力的破坏,如使用接地保护等措施保护计算机信息系统设备和部件。二是对抗人为的破坏,如使用防砸外壳等措施。
(3)防止电磁信息泄露
为防止计算机信息系统中的电磁信息油露,提高系统内敏感信息的安全性,通常使用防止电磁信息泄露的各种涂料、材料和设备等。
(4)防止线路截获
主要防止对计算机信息系统通信线路的截获与干扰。重要技术可归纳为4个方面:预防线路截获(使线路截获设备无法正常工作);扫描线路截获(发现线路截获并报警);定位线路截获(发现线路截获设备工作的位置);对抗线路截获(阻止线路截获设备的有效使用)。
(5)抗电磁干扰
防止对计算机信息系统的电磁干扰,从而保护系统内部的信息。
(6)电源保护
计算机信息系统设备的可靠运行提供能源保障,可归纳为两个方面:对工作电源的工作连续性的保护(如使用不间断电源)和对工作电源的工作稳定性的保护。
3.介质安全
介质安全是指介质数据和介质本身的安全。介质安全目的是保护存储在介质上的信息。包括介质的前盗:介质的防毁,如防霉和防砸等。
介质数据的安全是指对介质数据的保护。介质数据的安全删除和介质的安全销毁是为了前止被删除或销毁的敏感数据被他人恢复。包括介质数据的防盗(如防止介质数据被非法复制);介质数据的销毁,包括介质的物理销毁(如介质粉碎等)和介质数据的彻底销毁(如消磁等),防止介质数据删除或销毁后被他人恢复而准露信息:介质数据的防毁,防止意外或故意的破坏使介质数据丢失。
43如何保证网络拓扑结构和系统的安全?
答:网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。
1、网络层安全平台
选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
一个完善的网络安全平台至少需要部署以下产品:
防火墙、网络的安全核心提供边界安全防护和访问权限控制;
网络防病毒系统、杜绝病毒传播提供全网同步的病毒更新和策略设置提供全网杀毒。
2、安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。在整个内网当中,根据用途可以将计算机划分为三类:内部使用的工作站与终端、对外提供服务的应用服务器以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同。
第一、重点保护各种应用服务器特别是要保证数据库服务的代理服务器的绝对安全不能允许用户直接访问。对应用服务器则要保证用户的访问是受到控制的要能够限制能够访问该服务器的用户范围使其只能通过指定的方式进行访问。
第二、数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三、内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器、WWW、E-mail等隔离开。
第四、不能允许外网用户直接访问内部网络。
上述安全需求需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全;另一方面不能对原有网络结构做太大的更改。为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。
二、信息安全基础知识
1什么是信息安全?
答:信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。也就是通过各种计算机、网络、密钥技术,保证在各种系统和网络中传输、交换和存储的信息的机密性、完整性和可用性。
2什么是系统漏洞?
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息,甚至破坏您的系统。
3产生信息安全风险的原因是?
答:信息化发展与安全投入、安全意识和安全手段的不平衡。
4信息安全的基本特征?
答:(1)完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
(2)保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
(3)可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
(4)不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
(5)可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
5信息安全的三要素是什么?
答:(1)保密性:保证信息不泄露给未经授权的用户。
(2)完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性:保证授权用户能对数据进行及时可靠的访问。
6信息、信息化、信息安全概念分别是什么?
答:信息是指任何能够传达有价值内容的资料。
信息化就是将有价值内容的资料数字化,能够在计算机网络中进行共享,使用和挖掘的过程。
信息安全是指防止网络自身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,确保经过网络传输的信息不被截获、不被破译,也不被篡改,并且能被控制和合法使用。
7企业信息安全最重要的方向是?
答:企业信息安全最重要的方面是安全意识的提高,关于信息安全,人员是最薄弱的环节,定期对相关人员开展信息安全培训尤为重要,毕竟信息安全关系到公司的每一位员工。
三、个人安全防护问题(增加到20个)
1个人如何在日常生活中如何保护自身信息安全?
答:在日益复杂的网络空间中,提高保护个人信息的意识,才是应对网络威胁的终极大法。
那么在日常生活中如何保护自身合法权益不受到侵害呢,以下给出几点建议:
(1)对于陌生的连接点,不要好奇去点击(如:陌生的
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
3工业控制系统有哪些特殊性?
1.我国绝大部分工控系统的建设过程中,大型系统集成项目都由国外厂商参与实施,并且其中集成的实现细节不予公布。目前我国工控产品的核心技术受制于国外,不排除进口的电子设备、制造设备、工控开发软件等工控产品中留有后门、木马的可能性,在未来的信息战中潜在风险巨大。
2.据ICS-CERT及DHSCSSP对工控软件脆弱性进行的评测分析,工业控制系统软件的安全脆弱性主要涉及了错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面,这些脆弱性对工业控制系统的正常运行具有极大威胁。
3.大多数工控协议在设计之初,主要