網絡安全等級保護不僅是我國的基本國策,更是保障我國網絡安全的重要舉措,是各個單位都應高度重視,并持續投入改進的重要工作。
近年來,社會各界對網絡安全等級保護工作的重視和了解程度不斷提高,但仍有一部分網絡運營者因為對等保制度不夠了解與重視,而導致嚴重后果。在近日廣州警方發布的“2022年廣州市網絡安全十大典型案例”中,就有近半數案例與等保有關。
案例1:某科技公司未履行數據安全保護義務,導致存在數據泄露風險隱患被處罰
2022年3月,廣州警方工作發現,廣州某科技公司向各地駕校提供的某駕培平臺,儲存處理了駕校培訓學員的個人信息數據,這些數據被掛在外網售賣。經查,該公司沒有建立數據安全管理制度和操作規程,對采集到的個人信息未采取去標識化和加密措施,存在未授權訪問漏洞,未落實網絡安全等級保護制度,存在數據泄露的重大風險隱患。廣州警方依據法律條款規定,對該公司作出警告并處罰款人民幣5萬元。
案例2:某公司信息系統僅備案,未按規定開展等級保護測評被處罰
2022年7月,廣州警方工作發現,廣州某教育科技有限公司運營使用的“某在線1對1系統”確定為第二級信息系統,且在2021年7月到公安機關進行了網絡安全等級保護備案。但該系統上線運行前及運行之后,該公司一直未按規定對系統的安全等級狀況開展等級保護測評,未充分落實網絡安全等級保護制度,未履行網絡安全保護義務。廣州警方對該公司作出行政處罰,并責令其限期改正。
案例3:某醫院第三級等保系統未落實“每年至少進行一次等級保護測評”法定義務而被處罰
2022年9月,廣州警方工作發現,廣州某醫院建設運營的“電子病歷EMR系統”確定為三級網絡,并按規定到公安機關進行了等保備案。但該系統自投入運行以來,醫院一直未按規定對其安全等級狀況開展等級保護測評,經公安機關督促整改后仍未進行改正,未落實網絡安全等級保護制度,未履行網絡安全保護義務。廣州警方對該醫院作出行政處罰,并責令其限期改正。
案例4:某醫療門診機構信息系統上線運行前,未按規定開展等級保護測評被處罰
2022年12月,廣州警方工作發現,廣州某醫療門診機構運營使用的“互聯網醫院系統”確定為三級網絡,雖到公安機關進行了等保備案,但該系統上線運行前及運行之后,該機構一直未按規定對系統的安全等級狀況開展等級保護測評,未充分落實網絡安全等級保護制度,未履行網絡安全保護義務。廣州警方對該醫療門診機構作出行政處罰,并責令其限期改正。
由以上案例可知,當網絡安全和等級保護義務沒有履行到位,不僅會導致數據丟失、信息泄露、業務中斷等難以估量的經濟損失,還將面臨公安執法機關的行政處罰。因此,網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。
但現實是,許多單位并未配備專業的信息安全管理人員,也沒有適配的等保合規產品,不具備相關安全能力,對網絡安全等級保護的開展無從入手。尤其在網絡安全等級保護2.0標準正式實施后,在安全管理中心、安全計算環境、安全區域邊界等多方面提出了更為細致和嚴格的專業性要求。
正因如此,等級保護工作離不開專業、負責的網絡安全廠商來參與建設。世安智慧團隊依據國家網絡安全等級保護政策和標準,整理等保2.0實施思路,集合旗下產品矩陣,可為客戶提供完善的網絡安全加固及等級保護定制化解決方案。
在安全管理中心層面:
通過部署世安日志審計系統,實現對網絡設備、安全設備、主機操作系統、中間件、數據庫、應用系統等IT資產的全面日志審計與分析。系統以ELK大數據架構為核心,兼容300多類主流品牌IT資產,可以快速對海量異構日志進行標準化編譯、存儲和統一管理,低成本解決日志留存、風險定位問題。滿足等保2.0中針對網絡安全、主機安全、應用安全、安全管理制度方面的日志采集、集中管控、智能分析等要求。
除此之外,還可部署世安Octopus安全運維管理平臺,通過集中賬號管理、身份認證、權限控制、操作審計、單點登錄、自動改密等功能,實現對系統運維的統一安全監管,滿足等保2.0中的身份認證、賬號管理、授權控制、安全審計等相關要求。
在安全區域邊界層面:
通過部署世安網絡準入控制系統,結合多重準入技術與自動化運維技術,可對所有接入內網的人員及終端進行強身份認證及接入條件限制,確保來源及來源環境可信可控。同時,世安網絡準入支持無客戶端和有客戶端兩種模式的違規外聯發現技術,滿足等保2.0中檢測非法外聯并有效阻斷的相關要求。
在安全計算環境層面:
可以安排部署世安終端安全管理系統,對可能產生泄密的移動存儲設備,以及網絡訪問行為進行嚴格的智能控制,有效監控單位內網環境的使用情況,從而提升內網的安全性與保密性,滿足等保2.0中的數據保密性要求。
等保工作必須高度重視,等保建設需要專業配合。十余年來,世安智慧的產品與解決方案已經在數千家政法、財政、稅務、交通、醫療、教育等行業單位成功應用。世安不僅能夠助力客戶單位通過“等保大考”,更能貼近實際的安全需求,幫助客戶建立綜合安全防護體系,實現“持續安全,不止合規”的最大化價值。