县级融媒体中心信息安全等级保护应该做几级?覆盖哪些内容?
网络安全等级保护是我国网络与信息安全的重要防线,也是中国最权威的网络和信息系统安全等级资格认证。信息安全等级保护是对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
目前,信息系统的安全保护等级分为以下五级,一至五级等级逐级增高。县级融媒体属于非银行金融机构,最高能获得第三级“监管级别”的信息安全认证。诸如福建广电网络融媒体中心,中科闻歌红旗融媒体中心均已通过三级等保认证。像这类通过认证的平台,代表其具有较高的安全技术水平,管理流程、数据保护、技术系统和信息安全达到标准,可有效保护等级保护对象资产安全。
图3 :“红旗”融媒体平台操作界面
目前,市面上有一些可选择的信息安全等级保护建设模式。
模式一:本地化
所有的硬件和软件都需要部署在本地,如果遵循第三级安全标记保护级标准,对物理机房、网络安全、主机系统安全、应用安全和数据安全进行全方位建设,必须投入大量的成本,才能达到第三级指标。
由于各个县级融媒体中心的自身情况和条件存在差异,部分县对于融媒体中心建设的预算很难满足以三级等保为标准的建设要求,基于此,以通过等保三级为目标,循序渐进,首先完成遵循第二级系统审计保护级为标准的县级融媒体中心建设工作,满足等级保护建设的最低标准,未来再一步一步达到三级等保要求的分步式建设方案,成为现阶段很多县级融媒体中心在建设中的最佳选择。
模式二:云端化
云端化这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算机资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供。既然提到服务,云厂商提供有偿的第三级安全标记保护服务,可供选择,更安全、省钱、省事。
模式三:本地+云
利用本地利旧资源,将核心数据存储在本地资源,省去了大部分的硬件成本,而服务由云提供,企业按需、按量采购付费即可,那么针对这种模式,本地需要最低按照最低的第二级系统审计保护去建设,云需要购买厂商的第三级安全标记保护服务。目前,以中科闻歌、拓尔思为代表的大数据服务商,据采用“云+本地化”的部署模式,实现在系统安全、数据安全、管理安全等指标上实现了三重升级。
另外,以下是县级融媒体中心信息安全等级保护建设中必须覆盖的内容,可供参考:
技术要求项
物理安全
物理位置的选择
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
防静电
温湿度控制
电力供应
电磁防护
网络安全
结构安全与网段划分
网络访问控制
拨号访问控制
网络安全审计
边界完整性检查
网络入侵防范
恶意代码防范
网络设备防护
主机系统安全
身份鉴别
自主访问控制
强制访问控制
安全审计
系统保护
剩余信息保护
入侵防范
恶意代码防范
资源控制
应用安全
身份鉴别
访问控制
安全审计
剩余信息保护
通信完整性
抗抵赖
通信保密性
软件容错
资源控制
代码安全
数据安全
数据完整性
数据保密性
数据备份和恢复
