行业动态

了解最新公司动态及行业资讯

当前位置:首页>等保测评资讯>行业动态
全部 104 公司动态 8 行业动态 51 等保资讯 47

等保测评的问题及解决方案

时间:2021-06-11   访问量:1064
关于我们:-等保测评,为您解答在网络安全等级保护测评中有任何得疑问,如等保测评,网络安全等级保护测评。在费用和时间方面上得流程问题都可以咨询,等保测评网为您提供专业的网络安全等级保护测评交流学习平台。

    中小企业在开展等级保护测评,多多少少都会出现些问题,笔者结合自身工作经历,对所遇的主要问题进行了一个归纳。

   

01
1、管理层缺乏意识。


单位管理层在网络安全方面缺乏意识,认为业务系统能正常运行,并未出现故障,网络安全等级保护的建设没有开展的必要。又或者认为业务系统在内网运行,未开放互联网访问,可不开展网络安全等级保护建设。

   

02
2、资产管理混乱。


管理人员对信息系统的资产管理缺乏完整的交接,没有清晰全面的资产清单,造成资产管理的混乱。

   

03
3、缺乏专业人员。


单位未配备专业的信息安全管理人员,单位内部可能相关IT管理人员就1至2个,负责网络管理及桌面运维,说起网络安全等级保护,可能是一头雾水,对网络安全等级保护如何开展没有概念,无从入手。

   

04
4、系统整改难度大


整改周期长。单位业务系统维保过期,主机层面漏洞、数据库层面漏洞、应用层面漏洞及网络层面的漏洞整改需要专业技术人员;业务系统存在的漏洞,整改会对生产业务造成影响,或是造成系统使用的不便,如密码复杂度、定期改密、超时退出等,在整改推行上会有较大的阻力。

   

05
5、经费缺乏。


此问题与管理层缺乏意识也有相关,整改过程中难免会需要采购一些安全设备,比如网络必须具备入侵检测手段,在经费缺乏的条件下,无法进行入侵检测或入侵防御设备采购,无法满足该测评项,会导致最终无法通过等保测评。

    测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍,但是我们的等级保护工作又不得不做。

06
那怎样合情合理地开展呢?


    1、针对管理层缺乏意识、经费缺乏方面,信息化部门负责人必须肩负起信息安全管理的责任,在公司内部不管是管理层还是普通员工,都要做好信息安全意识宣贯,网信部、网监部门会有定期开展信息安全检查及通报,信息化负责人可收集此类通报情况,开展管理层信息安全意识宣贯,分析网络安全等级保护建设的必要性及未开展的严重性,落实项目经费。

    2、针对资产管理混乱方面,需加强制度与流程建设,开展变更后及时更新资产清单,定期对资产进行梳理。

    3、针对专业人员缺乏与系统整改困难方面,单位可在开展项目采购时,采购第三方安全服务,协助单位开展等保测评与整改,整改过程中单位管理人员需关注变更的风险,做好风险评估与回退计划,在某些测评点无法满足要求的条件下,非一票否决项的,可采取纵深防御的思路,例如主机层面配置登录失败限制等,linux服务器在配置此项时容易导致ssh登录出现故障,此项如网络中具备运维审计系统,可通过运维审计系统实现主机登录管理的登录失败限制,前提是网络做好访问控制策略限制主机只允许运维审计系统进行登录管理,当然如果主机能配置该项策略是更为安全的,分别从网络层及主机层对服务器的登录失败进行限制。针对缺乏应用系统维保的,应用系统漏洞无法开展整改的,可以请第三方开发商进行二次开发,或者采用安全设备进行防护,如缺乏日志审计功能,可采用数据库审计设备,从网络层对应用层风险进行降低,通过网络中数据库操作流量进行抓取记录,满足审计要求。



END


关键词:等保测评,网络安全等级保护测评,等保测评网,等保测评方案,等保测评公司,等保测评方案,等保测评机构,等保测评登记,,网络安全等级保护测评

上一篇:中小企业等保合规的痛点是什么

下一篇:等保测评的流程、要点、项目的立项与采购

发表评论:

评论记录:

未查询到任何数据!

在线咨询

点击这里给我发消息 售前咨询专员

点击这里给我发消息 售后服务专员

在线咨询

免费通话

24小时免费咨询

请输入您的联系电话,座机请加区号

免费通话

微信扫一扫

微信联系
返回顶部