交通運輸部在9月27日釋出的貫徹落實《交通運輸部國家稅務總局關於印發<網路平臺道路貨物運輸經營管理暫行辦法>的通知》(交運規〔2019〕12號)的有關要求,明確了網路貨運平臺企業應符合資訊系統安全等級保護的要求,建議取得三級及以上資訊系統安全等級保護備案證明及相關材料。
一石激起千層浪,很多平臺企業感到疑惑,我們現在已經租用了阿里雲的伺服器,難道阿里雲的伺服器還達不到國家的三級及以上資訊系統安全等級保護?難道企業自建機房還比阿里的機房安全?阿里雲服務已經獲得了三級資訊保安等級保護,為何還需要網路貨運平臺企業申辦?是不是讓平臺企業在做無用功?增加企業的經營成本?在這裡小編做個簡單的科普,解答一下各平臺企業的疑惑。
一、什麼是三級安全等級保護?
資訊保安等級保護分為以下五級:
第一級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級資訊系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行指導。
第三級,資訊系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行監督、檢查。
第四級,資訊系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行強制監督、檢查。
第五級,資訊系統受到破壞後,會對國家安全造成特別嚴重損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行專門監督、檢查。
二、三級等級保護的認證流程有哪些?
認證流程是具有等保測評資質的公司(經過相關部門認可的)對要進行等保測評的單位進行定級並測評,測評後提出整改意見並對被測評單位進行整改,就是一個測評整改再測評再整改的過程,最終達到並通過測評,例如等保三級需要每年測評一次。
關於三級等保的技術要求如下:
技術要求:包括物理、網路、主機、應用、資料五個方面:
物理安全部分:
1、機房應區域劃分至少分為主機房和監控區兩個部分;
2、機房應配備電子門禁系統、防盜報警系統、監控系統;
3、機房不應該有窗戶,應配備專用的氣體滅火、ups供電系統;
網路安全部分:
1、應繪製與當前執行情況相符合的拓撲圖;
2、交換機、防火牆等裝置配置應符合要求,例如應進行Vlan劃分並各Vlan邏輯隔離,應配置Qos流量控制策略,應配備訪問控制策略,重要網路裝置和伺服器應進行IP/MAC繫結等;
3、應配備網路審計裝置、入侵檢測或防禦裝置。
4、交換機和防火牆的身份鑑別機制要滿足等保要求,例如使用者名稱密碼複雜度策略、登入訪問失敗處理機制、使用者角色和許可權控制等;
5、網路鏈路、核心網路裝置和安全裝置,需要提供冗餘性設計。
主機安全部分:
1、伺服器的自身配置應符合要求,例如身份鑑別機制、訪問控制機制、安全審計機制、防病毒等;
2、伺服器(應用和資料庫伺服器)應具有冗餘性,例如需要雙機熱備或叢集部署等;
3、伺服器和重要網路裝置需要在上線前進行漏洞掃描評估,不應有中高級別以上的漏洞(例如windows系統漏洞、apache等中介軟體漏洞、資料庫軟體漏洞、其他系統軟體及埠漏洞等);
4、 應配備專用的日誌伺服器儲存主機、資料庫的審計日誌。
應用安全部分:
1、應用自身的功能應符合等保要求,例如身份鑑別機制、審計日誌、通訊和儲存加密等;
2、應用處應考慮部署網頁防篡改裝置;
3、應用的安全評估(包括應用安全掃描、滲透測試及風險評估),應不存在中高階風險以上的漏洞(例如SQL注入、跨站指令碼、網站掛馬、網頁篡改、敏感資訊洩露、弱口令和口令猜測、管理後臺漏洞等);
4、應用系統產生的日誌應儲存至專用的日誌伺服器。
資料安全備份:
1、應提供資料的本地備份機制,每天備份至本地,且場外存放;
2、如系統中存在核心關鍵資料,應提供異地資料備份功能,通過網路等將資料傳輸至異地進行備份;
管理制度要求,應包括以下5方面的制度和記錄:
1、安全管理制度
2、安全管理機構
3、人員安全管理
4、系統建設管理
5、系統運維管理
三、為何已經租用了阿里的伺服器還要辦理三級等級保護?
當今我們的資訊系統處理能力和連線能力在不斷的提高。同時,基於網路連線的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理安全等。雖然網路貨運平臺企業已經租用了阿里雲或其他雲服務,但也只是解決了其中的物理安全、網路系統安全這兩項,與其同等重要的結構安全、平臺系統安全、管理安全這三大項依然成為監管飛地。
現在在申請網路貨運平臺的企業或已成為網路貨運平臺的企業應提高資訊保安保障能力和水平,維護社會穩定和公共利益,保障和促進資訊化建設,平臺企業應保障資訊系統受到破壞後,不會對社會秩序和公共利益造成嚴重損害,不會對國家安全造成損害。平臺企業應積極配合國家資訊保安監管部門的監督和檢查。
在平臺系統搭建過程中,系統開發單位、平臺使用單位應當按照《計算機資訊系統安全保護等級劃分準則》(GB17859-1999)、《資訊系統安全等級保護基本要求》等技術標準,參照《資訊保安技術 資訊系統通用安全技術要求》(GB/T20271-2006)、《資訊保安技術 網路基礎安全技術要求》(GB/T20270-2006)、《資訊保安技術 作業系統安全技術要求》(GB/T20272-2006)、《資訊保安技術 資料庫管理系統安全技術要求》(GB/T20273-2006)、《資訊保安技術 伺服器技術要求》、《資訊保安技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準建設符合資訊保安和監管要求的網路貨運平臺。