網(wǎng)絡安全等級保護不僅是我國的基本國策���,更是保障我國網(wǎng)絡安全的重要舉措����,是各個單位都應高度重視��,并持續(xù)投入改進的重要工作����。
近年來�,社會各界對網(wǎng)絡安全等級保護工作的重視和了解程度不斷提高,但仍有一部分網(wǎng)絡運營者因為對等保制度不夠了解與重視�,而導致嚴重后果。在近日廣州警方發(fā)布的“2022年廣州市網(wǎng)絡安全十大典型案例”中�,就有近半數(shù)案例與等保有關(guān)。
案例1:某科技公司未履行數(shù)據(jù)安全保護義務����,導致存在數(shù)據(jù)泄露風險隱患被處罰
2022年3月�,廣州警方工作發(fā)現(xiàn)����,廣州某科技公司向各地駕校提供的某駕培平臺,儲存處理了駕校培訓學員的個人信息數(shù)據(jù)�,這些數(shù)據(jù)被掛在外網(wǎng)售賣。經(jīng)查��,該公司沒有建立數(shù)據(jù)安全管理制度和操作規(guī)程���,對采集到的個人信息未采取去標識化和加密措施�����,存在未授權(quán)訪問漏洞���,未落實網(wǎng)絡安全等級保護制度,存在數(shù)據(jù)泄露的重大風險隱患���。廣州警方依據(jù)法律條款規(guī)定�����,對該公司作出警告并處罰款人民幣5萬元�。
案例2:某公司信息系統(tǒng)僅備案,未按規(guī)定開展等級保護測評被處罰
2022年7月�,廣州警方工作發(fā)現(xiàn),廣州某教育科技有限公司運營使用的“某在線1對1系統(tǒng)”確定為第二級信息系統(tǒng)�,且在2021年7月到公安機關(guān)進行了網(wǎng)絡安全等級保護備案。但該系統(tǒng)上線運行前及運行之后��,該公司一直未按規(guī)定對系統(tǒng)的安全等級狀況開展等級保護測評���,未充分落實網(wǎng)絡安全等級保護制度�����,未履行網(wǎng)絡安全保護義務��。廣州警方對該公司作出行政處罰,并責令其限期改正���。
案例3:某醫(yī)院第三級等保系統(tǒng)未落實“每年至少進行一次等級保護測評”法定義務而被處罰
2022年9月���,廣州警方工作發(fā)現(xiàn),廣州某醫(yī)院建設(shè)運營的“電子病歷EMR系統(tǒng)”確定為三級網(wǎng)絡���,并按規(guī)定到公安機關(guān)進行了等保備案�。但該系統(tǒng)自投入運行以來,醫(yī)院一直未按規(guī)定對其安全等級狀況開展等級保護測評�,經(jīng)公安機關(guān)督促整改后仍未進行改正,未落實網(wǎng)絡安全等級保護制度��,未履行網(wǎng)絡安全保護義務����。廣州警方對該醫(yī)院作出行政處罰,并責令其限期改正��。
案例4:某醫(yī)療門診機構(gòu)信息系統(tǒng)上線運行前��,未按規(guī)定開展等級保護測評被處罰
2022年12月��,廣州警方工作發(fā)現(xiàn)��,廣州某醫(yī)療門診機構(gòu)運營使用的“互聯(lián)網(wǎng)醫(yī)院系統(tǒng)”確定為三級網(wǎng)絡����,雖到公安機關(guān)進行了等保備案,但該系統(tǒng)上線運行前及運行之后�����,該機構(gòu)一直未按規(guī)定對系統(tǒng)的安全等級狀況開展等級保護測評,未充分落實網(wǎng)絡安全等級保護制度�����,未履行網(wǎng)絡安全保護義務�����。廣州警方對該醫(yī)療門診機構(gòu)作出行政處罰��,并責令其限期改正�����。
由以上案例可知�����,當網(wǎng)絡安全和等級保護義務沒有履行到位�����,不僅會導致數(shù)據(jù)丟失���、信息泄露���、業(yè)務中斷等難以估量的經(jīng)濟損失,還將面臨公安執(zhí)法機關(guān)的行政處罰�。因此,網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求�,履行相關(guān)的安全保護義務。
但現(xiàn)實是��,許多單位并未配備專業(yè)的信息安全管理人員����,也沒有適配的等保合規(guī)產(chǎn)品,不具備相關(guān)安全能力���,對網(wǎng)絡安全等級保護的開展無從入手��。尤其在網(wǎng)絡安全等級保護2.0標準正式實施后���,在安全管理中心、安全計算環(huán)境��、安全區(qū)域邊界等多方面提出了更為細致和嚴格的專業(yè)性要求��。
正因如此,等級保護工作離不開專業(yè)�、負責的網(wǎng)絡安全廠商來參與建設(shè)。世安智慧團隊依據(jù)國家網(wǎng)絡安全等級保護政策和標準���,整理等保2.0實施思路��,集合旗下產(chǎn)品矩陣�,可為客戶提供完善的網(wǎng)絡安全加固及等級保護定制化解決方案���。
在安全管理中心層面:
通過部署世安日志審計系統(tǒng)��,實現(xiàn)對網(wǎng)絡設(shè)備�、安全設(shè)備�、主機操作系統(tǒng)、中間件���、數(shù)據(jù)庫�����、應用系統(tǒng)等IT資產(chǎn)的全面日志審計與分析�����。系統(tǒng)以ELK大數(shù)據(jù)架構(gòu)為核心���,兼容300多類主流品牌IT資產(chǎn),可以快速對海量異構(gòu)日志進行標準化編譯�、存儲和統(tǒng)一管理,低成本解決日志留存����、風險定位問題。滿足等保2.0中針對網(wǎng)絡安全���、主機安全���、應用安全、安全管理制度方面的日志采集��、集中管控��、智能分析等要求����。
除此之外,還可部署世安Octopus安全運維管理平臺�����,通過集中賬號管理、身份認證�、權(quán)限控制、操作審計�、單點登錄、自動改密等功能���,實現(xiàn)對系統(tǒng)運維的統(tǒng)一安全監(jiān)管���,滿足等保2.0中的身份認證、賬號管理���、授權(quán)控制��、安全審計等相關(guān)要求���。
在安全區(qū)域邊界層面:
通過部署世安網(wǎng)絡準入控制系統(tǒng),結(jié)合多重準入技術(shù)與自動化運維技術(shù)���,可對所有接入內(nèi)網(wǎng)的人員及終端進行強身份認證及接入條件限制��,確保來源及來源環(huán)境可信可控���。同時��,世安網(wǎng)絡準入支持無客戶端和有客戶端兩種模式的違規(guī)外聯(lián)發(fā)現(xiàn)技術(shù)�,滿足等保2.0中檢測非法外聯(lián)并有效阻斷的相關(guān)要求���。
在安全計算環(huán)境層面:
可以安排部署世安終端安全管理系統(tǒng),對可能產(chǎn)生泄密的移動存儲設(shè)備�����,以及網(wǎng)絡訪問行為進行嚴格的智能控制���,有效監(jiān)控單位內(nèi)網(wǎng)環(huán)境的使用情況��,從而提升內(nèi)網(wǎng)的安全性與保密性����,滿足等保2.0中的數(shù)據(jù)保密性要求�。
等保工作必須高度重視,等保建設(shè)需要專業(yè)配合�。十余年來,世安智慧的產(chǎn)品與解決方案已經(jīng)在數(shù)千家政法�、財政����、稅務����、交通、醫(yī)療����、教育等行業(yè)單位成功應用。世安不僅能夠助力客戶單位通過“等保大考”�����,更能貼近實際的安全需求���,幫助客戶建立綜合安全防護體系�����,實現(xiàn)“持續(xù)安全�,不止合規(guī)”的最大化價值�����。
在線咨詢
