Mit der rasanten Entwicklung der Netzwerk-Informationstechnologie fordert der Staat Händler und Unternehmen zur weiteren Standardisierung der Verwaltung von Websites auf, Gleichbehandlungsprüfungen durchzuführen . Was bedeutet es, auf die Garantiebeurteilung zu warten? Als nächstes werfen wir einen Blick auf Long Yixin'an yanga7609.
1. Was bedeutet Equal Guarantee Evaluation?
Der vollständige Name von Equal Guarantee Evaluation ist Information Security Graded Protection Evaluation, eine qualifizierte Bewertungsorganisation, die vom Ministerium für öffentliche Sicherheit zertifiziert ist Aktivitäten zur Erkennung und Bewertung des Schutzniveaus.
Artikel 7 der Maßnahmen zur Verwaltung des abgestuften Schutzes der Informationssicherheit legt Folgendes fest:
Das Sicherheitsschutzniveau des Informationssystems wird in die folgenden fünf Stufen eingeteilt:
Die erste Ebene, wenn das Informationssystem beschädigt wird, wird es den legitimen Rechten und Interessen von Bürgern, juristischen Personen und anderen Organisationen schaden, aber nicht der nationalen Sicherheit, der sozialen Ordnung und dem öffentlichen Interesse.
Die zweite Ebene, wenn das Informationssystem beschädigt wird, wird es die legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen ernsthaft schädigen oder der sozialen Ordnung und den öffentlichen Interessen schaden, aber nicht die nationale Sicherheit beeinträchtigen.
Die dritte Ebene, nachdem das Informationssystem beschädigt ist, wird es der sozialen Ordnung und den öffentlichen Interessen ernsthaften Schaden zufügen oder der nationalen Sicherheit schaden.
Die vierte Ebene, wenn das Informationssystem beschädigt ist, wird es der sozialen Ordnung und den öffentlichen Interessen besonders schweren Schaden zufügen oder der nationalen Sicherheit schweren Schaden zufügen.
Die fünfte Ebene, wenn das Informationssystem beschädigt ist, wird die nationale Sicherheit besonders schwer schädigen.
2. Warum hierarchische Schutzarbeit leisten?
1. Durch die hierarchische Schutzarbeit werden die potenziellen Sicherheitsrisiken und Mängel im Informationssystem der Einheit entdeckt.Nach der Sicherheitsbehebung wird die Informationssicherheitsschutzfähigkeit des Informationssystems verbessert, das Risiko, dass das System durch verschiedene Angriffe angegriffen wird reduziert und das gute Image des Gerätes erhalten bleibt.
2. Hierarchischer Schutz stellt die grundlegende Politik meines Landes zur Informationssicherheit dar. Nationale Gesetze und Vorschriften sowie relevante Richtlinien und Systeme verlangen von Einheiten, hierarchische Schutzmaßnahmen durchzuführen. Zum Beispiel die Maßnahmen zur Verwaltung des abgestuften Schutzes der Informationssicherheit und das Gesetz zur Cybersicherheit der Volksrepublik China.
3. Viele Industrieaufsichtseinheiten verlangen, dass Industriekunden abgestufte Schutzarbeiten durchführen. Derzeit wurden Industrieanforderungsdokumente herausgegeben: Finanzen, Elektrizität, Radio und Fernsehen, medizinische Versorgung, Bildung und andere Industrien, und einige Aufsichtseinheiten haben relevante herausgegeben Dokumente oder Mitteilungen dazu.
4. Umsetzung der Netzsicherheitsschutzverpflichtungen von Einzelpersonen und Einheiten und Vermeidung von Risiken in angemessener Weise.
3. Was sind die wesentlichen Inhalte der Garantieprüfung?
1. Physische Sicherheit: einschließlich der Auswahl des physischen Standorts, der physischen Zugangskontrolle und des Diebstahlschutzes, des Brandschutzes, der Wasserdichtigkeit, des Blitzschutzes, der Temperatur- und Feuchtigkeitskontrolle, der Stromversorgung, des antistatischen und elektromagnetischen Schutzes.
2. Netzwerksicherheit: einschließlich struktureller Sicherheit, Sicherheitsaudit, Zugriffskontrolle, Grenzintegritätsprüfung, Schutz vor bösartigem Code, Schutz vor Eindringlingen und Schutz von Netzwerkgeräten usw. Die wichtigsten Verbesserungspunkte der Anforderungen der dritten Ebene: Die strukturelle Sicherheit wird erweitert, um eine zuverlässige technische Isolierung für wichtige Netzwerksegmente einzuführen, und die Erkennung und Entfernung von bösartigem Code wird an der Netzwerkgrenze hinzugefügt; die Sicherheitsprüfung verbessert die Analyse und den Schutz von Prüfdaten und generiert eine Prüfung Berichte, Zugriffskontrolle erstreckt sich auf Inhaltsfilterung von Informationen in und aus dem Netzwerk;
3. Host-Sicherheit: einschließlich Identitätsauthentifizierung, Zugriffskontrolle, Sicherheitsprüfung, Intrusion Prevention, Malware-Prävention und Ressourcenkontrolle usw. Die wichtigsten Verbesserungspunkte der Anforderungen der dritten Ebene: Identitätsauthentifizierung erfordert die Verwendung einer kombinierten Authentifizierungstechnologie für Verwaltungsbenutzer;
4. Anwendungssicherheit: einschließlich Identitätsauthentifizierung, Zugriffskontrolle, Sicherheitsaudit, Kommunikationsintegrität, Vertraulichkeit der Kommunikation, Unbestreitbarkeit, Softwarefehlertoleranz und Ressourcenkontrolle usw. Die wichtigsten Verbesserungspunkte der Anforderungen der dritten Ebene: Identitätsauthentifizierung erfordert eine Kombination von Authentifizierungstechnologien; Zugriffskontrolle und Sicherheitsüberprüfung sind im Grunde die gleichen wie die Anforderungen der Host-Sicherheitsverbesserung; der gesamte Nachrichten- oder Sitzungsprozess im Kommunikationsprozess muss sein verschlüsselt;
5. Datensicherheit: einschließlich Datenintegrität und -vertraulichkeit, Datensicherung und -wiederherstellung. Die wichtigsten Verbesserungspunkte der Anforderungen der dritten Ebene: Erkennung und Wiederherstellung der Integrität von Systemverwaltungsdaten, Authentifizierungsinformationen und wichtigen Geschäftsdaten während des Speichervorgangs und des Übertragungsprozesses sowie Verwendung von Verschlüsselung oder anderen wirksamen Maßnahmen zur Gewährleistung der Vertraulichkeit der über Datenübertragung und -speicherung; Bereitstellung von Remote-Datensicherung usw.