AMD与Nvidia比较
|
第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改,对单位来说能掌握更多的主动权,时间上也相对充裕许多,在项目管理的角度上来讲,时间管理、质量管理及成本管理更加可控。 第三、安全管理体系化,防护能力提升。通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,在相关管理流程上会更体系化。 二、难点:等保测评的问题及解决方案 中小企业在开展等级保护测评,多多少少都会出现些问题,笔者结合自身工作经历,对所遇的主要问题进行了一个归纳。
测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍,但是我们的等级保护工作又不得不做,那怎样合情合理地开展呢? (1) 针对管理层缺乏意识、经费缺乏方面,信息化部门负责人必须肩负起信息安全管理的责任,在公司内部不管是管理层还是普通员工,都要做好信息安全意识宣贯,网信部、网监部门会有定期开展信息安全检查及通报,信息化负责人可收集此类通报情况,开展管理层信息安全意识宣贯,分析网络安全等级保护建设的必要性及未开展的严重性,落实项目经费。 (2) 针对资产管理混乱方面,需加强制度与流程建设,开展变更后及时更新资产清单,定期对资产进行梳理。 (3) 针对专业人员缺乏与系统整改困难方面,单位可在开展项目采购时,采购第三方安全服务,协助单位开展等保测评与整改,整改过程中单位管理人员需关注变更的风险,做好风险评估与回退计划,在某些测评点无法满足要求的条件下,非一票否决项的,可采取纵深防御的思路,例如主机层面配置登录失败限制等,linux服务器在配置此项时容易导致ssh登录出现故障,此项如网络中具备运维审计系统,可通过运维审计系统实现主机登录管理的登录失败限制,前提是网络做好访问控制策略限制主机只允许运维审计系统进行登录管理,当然如果主机能配置该项策略是更为安全的,分别从网络层及主机层对服务器的登录失败进行限制。针对缺乏应用系统维保的,应用系统漏洞无法开展整改的,可以请第三方开发商进行二次开发,或者采用安全设备进行防护,如缺乏日志审计功能,可采用数据库审计设备,从网络层对应用层风险进行降低,通过网络中数据库操作流量进行抓取记录,满足审计要求。 三、要点:项目的立项与采购 等保建设项目的立项,需要先梳理好单位信息系统资产,明确需要开展等保测评的信息系统,管理人员对系统出现问题后的严重程度、影响范围要做到心里有数,才能确定信息系统需按照哪个级别的要求来开展测评及整改。 在梳理完系统资产后,进行风险的评估,评估系统中仍缺乏哪些防护,需要采购的新设备及服务等,预留好相关的经费与整改时间。如管理人员确实对网络安全等级保护的开展无相关概念,可以对测评机构或者信息安全服务商进行咨询及售前的调研,了解相关概念及流程,由安全服务商给出完善的解决方案。单位对安全服务商给出的解决方案中需要采购的产品,仍需开展选型工作。产品的选型对管理人员具有极大的意义,可让管理人员对产品有详细的认知,避免安全产品完成采购后却无法实现相关安全需求,且方便管理人员后续对设备的运维管理。 项目的立项极为重要,涉及系统等级的确定、经费预算、整改时间的确定,对后续的系统整改有较大的影响。建议单位开展前可多与安全服务商进行沟通咨询。
等保测评项目的采购,可直接向具有测评资质的测评机构采购,此类对单位技术人员的要求较高,需要单位具备专业安全管理人员且熟悉等保测评标准及流程。如单位缺乏专业安全管理人员,可向安全服务商进行采购,由安全服务商提供全套的解决方案,此处仍建议安全产品的采购经过充分的选型,可以由安全服务商推荐产品,但品牌在经过充分选型后再进行采购。 (编辑:盐城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
