事实上,等保测评只是一个基线要求,大多数安全风险可以通过评估、纠正和实施分级保护制度来避免。
然而,就目前的评估结果而言,几乎没有一个经过测试的系统能够完全满足等保要求的。正常情况下,在当前等级保护的评估过程中,只要没有发现高风险安全隐患,就可以通过评估。然而,安全是一个动态的过程,而不是静态的,它可以一劳永逸。
企业通过落实安全要求,严格执行各项安全管理规章制度,基本上可以实现系统的安全稳定运行。然而,系统的安全性不能得到100%的保证。因此,更重要的是提高企业的安全防护能力,使工作能够及时完成。如果工作完成了,自然会相对安全。
许多用户的系统运行在内部网或专用网络中。不要以为就一直是安全的,别人攻击不进去,就好像你不出去打仗,自己的国家就不会有人来侵犯你的领地。
首先,所有非保密系统都属于分级保护的范畴,与系统是在外部网络上还是在内部网络上无关;《网络安全法》规定,分级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络和信息系统。因此,无论是内部网还是外部网系统,都需要满足级别保护和安全性的要求。
①有利于建立长效机制,保证信息安全保护工作稳固、持久地进行下去。
②有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。
③有利于突出重点,加强对涉及信息安全、关键任务的基础信息网络和重要信息系统的安全保护和管理监督。
④有利于明确信息系统、单位、个人的安全责任,强化相关部门监管职能,共同落实各项安全建设和安全管理措施。
⑤有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善。
⑥有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高信息系统整体安全保护水平;等级化使得管理者关注的安全问题通过安全情况等级化、决策指令等级化有效解决;通过等级保护有可能实现宏观层面的管理。
⑦有利于保障信息系统安全正常运行,保障传输信息的安全,进而保障各单位的职能与业务安全、高速、高效地运转。
其次,内部网系统中的网络安全技术措施往往做得不好,甚至许多系统已经中毒。2017年肆虐全球的永恒蓝色软件攻击导致大量内网系统瘫痪,提醒我们内网系统的安全防护不能马虎。因此,无论系统是在内网还是外网,都有必要及时开展保险工作。
目前,越来越多的小型企业客户更喜欢将系统部署在云平台和1DC机房。这些云平台和国际数据中心的计算机房一般都通过了等级评估。但是,根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,系统责任的主体仍然属于网络运营商自身,因此有必要承担相应的网络安全责任,有必要对系统进行分级,有必要做好此类保险。
部署在云平台的系统也需要购买云平台的安全服务或第三方安全服务,部署在IDC机房的系统也需要购买相应的安全设备来满足安全需求。