有客户咨询,单位运营的网站和软件系统,被当地监管部门通知,需要做等保测评。这个等保测评是什么,必须做吗?如何做呢?今天丁老师给你解答。
等保测评介绍
等保全称信息安全等级保护,是我国对网络和信息系统安全的强制性保护制度,旨在通过分不同的级别,来保护信息系统、规范安全措施,保障网络系统的重要信息和安全性。其核心是根据系统的重要程度、承载数据的敏感级别、受破坏后的影响范围等因素,将信息系统划分为五个安全等级(从1到5级),并按对应等级的安全标准进行建设、测评和整改,确保系统达到相应的安全防护能力。比如,2级等保适用于“信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害”的场景,而3级等保则覆盖“对社会秩序和公共利益造成严重损害”的系统。
而等保测评,全称为信息安全等级保护测评,是依据我国《信息安全等级保护管理办法》及相关规范和技术标准,由经公安部认证的具有资质的测评机构,对信息系统、数据资源、云计算、物联网、工业控制系统等对象的安全等级保护状况进行全面检测和评估的过程。
等保测评必须做吗?
必须做。根据《中华人民共和国网络安全法》第21条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。其中,3级及以上的信息系统,等保测评是强制性的;对于2级及以下的信息系统,虽一般不强制进行等保测评,但也建议遵循相关要求以提高安全性。
根据《网络安全法》第五十九条规定,如果企业拒不改正、或者导致危害网络安全等后果,将对企业处以罚款。一般网络运营者处一万元以上十万元以下罚款,关键信息基础设施的运营者处十万元以上一百万元以下罚款。对于直接负责的主管人员和其他直接责任人员,一般网络运营者的直接责任人员处五千元以上五万元以下罚款,关键信息基础设施运营者的直接责任人员处一万元以上十万元以下罚款。在情节严重的情况下,企业可能会被暂停相关业务、关闭网站,甚至吊销相关业务许可证或营业执照。
等保测评怎么做?
等保测评可由具备相关资质的第三方测评机构来做。按照国家标准,对信息系统(如网站、APP、内部软件系统等)的安全防护能力进行全面检测和评估的过程,最终出具《等级测评报告》。
等保测评的开展具体分为以下几个步骤:
一、确定测评范围和等级
• 确定要测评的系统是什么,是企业的官网、APP,还是企业内部的OA、CRM、ERP等管理系统。
• 确认需要评测的等级,如果不清楚,可先查阅《网络安全等级保护定级报告》,或者直接咨询第三方测评机构。
二、自查并整改基础安全问题
查看对应等级的《网络安全等级保护基本要求》,自行排查可能出现的安全问题:
1.网络层:是否安装软硬件防火墙、是否关闭了非必要的端口。
2.主机层:服务器是否打了最新补丁、是否安装杀毒软件、弱密码是否整改。
3.应用层:对网站进行扫描,查看是否有sql注入、xss等漏洞,是否有安全漏洞,后台登录是否有验证码双因素认证。
4.数据层:敏感数据是否加密存储、是否定期备份、是否异地备份。
5.管理层:是否有基本的安全制度(如账号管理制度、应急响应预案等)。
三、准备相关材料清单
1.企业营业执照、法人身份证复印件(加盖公章)。
2.系统拓扑图(如服务器、网络设备位置之间的联系关系)。
3.服务器配置信息(IP地址、操作系统版本、部署位置等信息)。
4.已有的安全设备证明(如防火墙、WAF的购买合同或配置截图)。
5.安全制度文件(电子版纸质版盖章)。
四、选择测评机构
• 资质要求:必须选择公安部推荐的等级保护测评机构,可在全国网络安全等级保护测评机构推荐目录查询,各省公安厅官网也有本地机构名单。无资质的机构出具的报告无效。
• 费用及流程:
1.联系第三方测评机构说明测评需求,对方会派工程师初步评估系统复杂度并报价。价格为按系统规模收费,通常为几万到几十万不等。
2.签订测评服务合同,明确测评范围、时间和交付物(需包含正式的《等级测评报告》)。
五、开始测评
测评由第三方测评机构进行主导,甲方只需要进行配合即可。测评周期一般在1-2周左右,具体视系统复杂度而定。
测评分为技术测评和管理测评两部分。
• 技术测评(现场远程检测),包含:
1.网络安全:扫描防火墙、路由器配置,检查是否有违规端口开放、日志是否完整(需保存个6月以上)。
2.主机安全:远程登录服务器,检查操作系统补丁、账号权限、杀毒软件病毒库是否更新。
3.应用安全:用专业工具(如AWVS、BurpSuite)扫描网站漏洞,测试登录接口是否防暴力破解、数据传输是否加密(安装SSL证书)。
4.数据安全:检查数据库敏感字段是否加密(如手机号、身份证号),备份文件是否可正常恢复(会随机抽查次恢复测试)。
• 管理测评(文档审核+人员约谈)
1.审核安全制度是否完整,如是否有员工安全培训记录、应急演练计划等。
2.约谈技术负责人,询问日常漏洞修复流程、数据备份频率等,询问内容及答复需与相关制度文件一致。
六、整改/合格
1.收到初测报告:在测评完成后,第三方测评机构会出具《等级测评问题清单》,列出不达标项。
2.针对问题整改:根据清单对问题进行整改,整改后提交《整改报告》给评测机构。
3.再次测评:机构会复查整改情况,确认所有关键问题解决后,出具正式的《网络安全等级保护测评报告》,报告结论为符合即通过。
七、注意事项
1.云服务器用户:可提前联系IDC服务商获取安全责任划分证明,部分安全项(如物理安全、底层主机防护)由云主机服务商负责,测评时需提供相关的合规证明(如阿里云的等保合规白皮书等)。
2.时间安排:建议提前个月启动,预留整改时间(初测不通过很常见,复测可能需要周)。
3.报告用途:拿到合格报告后,需在日内到当地公安机关网安部门备案,完成最终的等保合规流程。
丁老师建议:
针对等保测评,如果是第一次做,建议直接联系本地的第三方测评机构,他们会提供详细的材料清单和流程指引,其实就相当于代办,你什么也不用管,只需要配合就好。从发现问题到解决问题,第三方评测机构都能解决,他们也有对应的技术团队,当然,这也会增加费用成本,据丁老师了解第三方测评技术团队工程师收费在1500-2500/天左右,成本颇高。如果想节约成本,可提前安排技术人员对系统进行自查,然后整改,这样不但能减少复测次数、节省时间,而且也能降低评测的费用成本。
针对网站/系统等保测评问题,欢迎联系丁老师进行咨询和交流。
丁老师团队今年承接了几个医院的项目,在做医院的HIS和LIS系统,这个属于医疗体系的软件系统,好多同学可能还不是很了解,今天丁老师介绍一下。HIS系统介绍HIS系统,全称为Hospital Information System,即医院信...
很多同学一直搞不懂,这个Schema.org到底是什么,是干什么用的?现在都进入AI时代了,这玩意儿还有用吗?还重要吗?今天丁老师就关于Schema.org做一个介绍。一、Schema.org是什么?其实所谓的Schema.org(斯基...
随着AI技术的应用普及,诞生了一个新词GEO,这个GEO是什么意思,为什么说和AI有关?和SEO有什么区别呢?今天丁老师介绍一下。什么是GEO?所谓的GEO,是英文Generative Engine Optimizationde的缩写,...
今年有很多企业做产品的客户,要搭建自己的外贸B2B/2C电商网站,在搭建时经常会被问及需要的材料,流程、相关要求及注意事项。今天丁老师来介绍一下关于外贸电商网站搭建的相关事宜。搭建外贸电商网站需要什么?1.一个国际域名,最好是.com后...
Google Stitch是Google推出AI设计工具,可以用文字的方式向AI下发指令,生成UI设计图,包括草图、原型图、Logo等效果图,并且还支持将设计图自动转为网页或APP界面,包含可以输出对应的前端代码。Stitch是一款非常强大...
经常有同学在群里问丁老师,“我们要开发个业务中台系统,用什么技术栈,选择什么技术架构呢?”、“我们要做一个电商平台项目,用什么技术好呢,丁老师能不能指导一下”,诸如此类等等。今天丁老师就这个问题进行一下说明。一、根据需求决定软件技术路线及架...
ComfyUI是一款免费和开源的专业级AI图像/视频生成工具,比普通的网页端生成AI图片和视频更专业、更强大。能做什么?1.AI生成图片:以文生图:用文字描述生成高清海报、插画、广告图、设计图。以图生图:支持用参考图生成图片。图片修复:支持...
经常有朋友在群里咨询,域名的SSL证书分什么OV/DV/EV之类的,根本搞不懂什么意思,SSL证书该如何购买啊?今天丁老师就针对这个问题做一下介绍。证书介绍首先,SSL证书的全程是Secure socket layerSSL,是数字加密安全...