关于我们

广东恒升泰豪信息工程有限公司
地址:东莞市城区莞太路34号东莞创意产业园8栋205
电话:0769-22880166
传真:0769-22990566
客户服务热线:400-688-7098
E-mail:wuxiaoshuai@gd-hsth.com
行业动态
等级保护:是甜蜜,还是负担?(上)
时间:2016-06-14 14:38  来源:未知   作者:管理员
 

等级保护最早来源于1994年的国务院147号令《中华人民共和国计算机信息系统安全保护条例》,在条例的第九条中指出“计算机信息系统实行安全等级保护”,随后在2004年的《关于信息安全等级保护工作的实施意见》中提出“信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。”,在2005年公安部公布了等级保护的四大标准之后,各行业等级保护建设开始兴起。

 

从这些条款及标准来看,等级保护的核心思想是指导用户在开展信息安全建设的时候,既不要不保护,也不要过度保护,而是适度的保护,即分等级进行保护。

 

在信息安全工作中,我们常常谈到有这样一个点,就是安全事件的损失曲线与安全控制成本曲线的交点,这个点我们常常称为最小化总成本。超过这个点后,即使增加安全成本,那么安全事件损失的降低(即安全能力的提高)也会变得迟缓。所以这个点,往往是大部分用户追求的安全目标,即采用最小的安全成本获得最大的安全保护能力。

我们结合等级保护的核心指导思想可以发现,实际上等级保护是在帮助用户利用最佳实践更简单地找到最小化的总成本,明确安全目标。

 

由此来看,利用等级保护开展安全建设的好处包括:以帮助用户明确安全目标,明确安全要求,明确安全建设内容和步骤,用户只要根据等级保护的具体要求逐步开展安全评估、安全规划和安全建设工作,就能达到对信息系统进行保护的目标。

 

然而,曾几何时,等级保护成为用户进行信息安全建设的双刃剑。一方面,企业用户希望通过开展等级保护建设完善信息安全保障体系,另外一方面又担心开展等级保护建设时,针对各方面都要进行安全保障,还需要进行定级、备案、建设、测试等复杂的建设流程,同时可能会影响业务的运行效率。尤其是三级等级保护系统,每年都需要进行一次自查和测评,需要付出大量的精力。



 

实际上,等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现,等级保护建设势在必行

 

为了解决用户建设复杂、成本高的问题,深信服提出了全生命周期的等级保护解决方案,从系统定级、备案、差距分析、方案设计、安全整改、系统测评和定期评估整个流程中,为用户提供等保建设所需的一切服务和产品,用户只要通深信服一家公司,就能完成整个等级保护的建设,极大地简化了用户的建设过程。此外,深信服等级保护解决方案能够帮助用户采用尽量少的安全产品达到等级保护建设的需求,帮助用户节省大量的时间、人力等成本,让等级保护建设不再成为负担。

 

此外信服君认为,除了帮助用户满足合规性需求之外,还应该为用户提供更高的安全价值。这个安全价值包括:为用户建立一个清晰可视的安全平台,在这个平台上可以展现用户目前所遇到的威胁、攻击,需要处理的安全事件等,让用户对当前的安全状况一目了然;其次建立一套可以持续检测并快速响应的安全机制,针对内网已经被黑客控制的服务器或PC,能够通过安全设备进行持续地风险检测,并指导用户快速的开展应急响应。

 

当然,考虑到用户等保建设中运维的复杂性,深信服提出简化运维的概念,通过等级保护建设为用户建立一套简单易管理的安全运维体系,帮助用户在现有人力水平下就能较好地完成安全运维工作。

 

深信服等级保护建设方案的全面性、更高的安全价值,以及帮助用户简化运维的特点,也受到了众多企业用户的认可,让我们听一听来自用户的声音:

 

某省财政厅用户:深信服打造的等级保护整体解决方案,合规只是最基本的要求,他们更关注来自我们用户方的安全需求。我们虽然是安全岗位的工作人员,但我们并非安全专家,我们希望安全系统能够直观的展现当前系统的安全状况,不需要我们自己进行复杂的日志分析,同时能够切实做到当下各类攻击的防范,即使出现安全事件也能快速响应解决。深信服的解决方案完全满足了我们的需求。

 

浙江某学院用户:做等级保护建设的时候我们有一定的忧虑,担心一次建设完成后,每年都要自查测评,工作量会很大。没有想到,深信服给出的等级保护解决方案把我们的问题都解决了,他们并没有单纯的考虑如何通过等级保护测评,而是提供了一整套的解决方案,让我们的安全处于一个动态的、持续的合规状态,同时也让我们安全建设和运维的价值能够充分体现出来。