< 返回
· 最新资讯,行业动态
等保2.0正式实施,安全环境重点牢记!

12月1日,等级保护2.0 标准正式实施,很多企业都开始了等级测评的相关准备和整改工作。

对于等保2.0内容,大家早已熟知。今天,MailData就针对通用安全部分中,三级和四级系统新增且易被忽略的新要求“安全计算环境”进行主要分析。

对于安全计算环境,虽只有3点内容,但是其内在的要求含义则十分丰富:

入侵防范

1.应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

企业必须定期执行漏洞扫描工作。但这次不是只扫描就可以,还要对发现的漏洞进行验证,确认漏洞的真实性,然后对于这些真实漏洞进行整改。

重点:要验证!

2.应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

显然,这说的是IDPS ,或者具有同样能力的NGFW。因此,如果公司没有防火墙,那测评将直接被否掉。

数据备份恢复

1.应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地

在之前等保标准的基础上,等保2.0标准明确提出:实时备份至异地。虽然此项仅指向单位的重要数据,但其包含的“实时备份”“异地存储”2方面,也值得认真对待。

如果公司已有相关数据备份,虽然不能做到实时备份但有异地备份,可以算是基本符合,不会被判定否决,但会列入后期的整改计划,允许逐渐完善;如果公司完全没有相关备份或无法做到异地备份,那将会无法通过。建议需要进行邮件数据备份的企业,可尽快安装MailData邮件数据归档系统,进行单位邮件数据的实时、异地备份。

当然,中小企业或者云上系统的企业,可以将锅甩给云供应商;但大型企业和自建机房/私有云的公司,则一定要尽可能完善自身的数据备份机制,不求有功,但求无过。

个人信息保护

1. 应仅采集和保存业务必需的用户个人信息

此项明确要求,运营单位在采集个人信息时,只能采集所需的必要信息,对于这类信息运营商可以收集,但是若未授权不得随意访问和修改信息。

2.应禁止未授权访问和非法使用用户个人信息

这条是对信息收集运营商明确做出禁止要求:用户个人信息可以根据业务需求收集,但是未经授权或者相关部门同意,则禁止使用。(相关部门同意指:协助公安和相关部门处理特殊事宜时的强制配合。)

 

这条规定,很大程度上杜绝了运营商随便向其收集用户发送各种推销、广告以及恶意链接的操作,有利于我国净网活动的开展。

未来几年,数据安全是大趋势。随着我国信息安全和隐私保护立法的不断完善,后续的监控也会越来越严。因此,MailData建议,无论是企业还是事业单位,不要只考虑眼前的测评,还是要从实际出发,切实提高自身的网络安全环境和信息安全水平,才能随时满足国家相关法规,也有利于单位自身的良好发展。

参考信息:FreeBuf《等保2.0正式实施,这些重点帮你划好了》

所有文章
×

还剩一步!

确认邮件已发至你的邮箱。 请点击邮件中的确认链接,完成订阅。

好的