网络安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
目前进行信息系统安全等级保护测评的主要是银行等金融机构,通常商业银行网银系统的等级保护要求是第三级。在测评过程中,等级保护测评首要测下列十个层面:技术层面5个,物理安全、主机安全、网络安全、应用安全和数据安全与备份;管控方面五个,安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。全方位评估平台信息系统的安全状况。
一、等级保护工作流程是怎样的?
1. 系统定级:系统检测;自主定级;新系统建设同时同步确定等级
2. 等级评审:专家评审;定级报告;市级党政机关到市信息办备案,区县党政机关到区县信息办备案
3. 定级备案:涉密系统报市和区县国家保密工作部门、其他到公安机关办理备案手续、受理单位备案审核
4. 评估和整改建设:评估和现状检测(可请评估或检测机构);制定整改方案;开展安全建设或改建,建立基础安全设施以及等级保护管理制度
5. 等级测评:开展等级测评;三级每年至少一次,四级至少每半年一次
6.监督检查:监督、检查、自查;整改;违法违规情况,依法处理
二、等级保护测评项目具体实施过程
1.项目启动
业务部门同事拿到项目之后,会通知做技术的同事,一起去客户现场做调研,收集相关的资料。
2.简要版差距分析
前期做调研的时候,会简单看下客户的机房、网络结构等,出简单的差距分析报告。
3.定级备案
收集系统或者网站的相关资料,完成定级报告和备案表,送给公安部备案,等待拿回备案号,同时和客户确定技术同事进场检查的时间。
4.现场测评
物理、网络、主机、应用、数据、管理等安全测评,以及主机和应用的漏洞扫描和验证测试,出差距分析报告。
5.整改
客户根据差距分析报告进行整改。
6. 复测
整改完成之后,技术同事进行复测。
7.最终报告
复测完成之后,处最终的等保报告,等保报告中需要从公安拿回的备案号。
等级测评人员需持等级测评师证上岗。分为初级等级测评师、中级等级测评师和高级等级测评师三级。报考人员需要具备信息安全理论基础,具有信息安全理论、信息安全技术的研究和实践经验,从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。
等级保护测评,可以理解为一种合规性的评测。无论是高中低测评师,建议大家多了解一下网络安全,学习网络安全的渗透测试、攻防测试。尝试了解攻击者的思维模式,去发现系统的安全弱点。如果你想从事网络安全测评师可以多学习一下网络安全知识,练习一下实战,提升一下技能。在知了堂有许多培训网络安全的学员都成功拿到了等级保护测评师岗位的offer!