V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ixiaofeng
V2EX  ›  信息安全

关于等级保护的疑问

  •  
  •   ixiaofeng · 123 天前 · 2638 次点击
    这是一个创建于 123 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在给一个客户做业务系统,系统着急上线,客户要求系统上线之前必须的先做信息安全等级保护测评,否则坚决不让上线。可是如果要测评的话,最少要三个月才行。现在我就有点纳闷了,想上线就必须先测评,那如果系统不上线,怎么测评呢?感觉成了转圈圈了。。。有没有懂的人给解释一下。

    21 条回复    2022-05-22 19:46:24 +08:00
    storyxc
        1
    storyxc  
       123 天前
    我们公司一个客户要求过等保二级,项目去年 11 月上线的,客户内网部署,上个月我们才找测评的机构,这周一测评的结果已经出来了。
    ixiaofeng
        2
    ixiaofeng  
    OP
       123 天前
    @storyxc #1 我们的服务必须的面向公网,而且十分紧迫,而且本地的测评机构测评效率和排队情况看,三个月是乐观的,头疼。。。
    cpstar
        3
    cpstar  
       123 天前   ❤️ 9
    首先,你对等保测评工作不熟悉,等保测评中技术测评只是一小部分
    其次,运行≠上线,通过封闭外部访问的途径,一样可以投入运行,但并没有上线
    最后,不做完等保不能上线,这是硬规定,时间紧迫是另外一个管理问题,并不是技术问题,是需要甲方自己完成的工作——等保的责方是甲方
    LaGeNanRen
        4
    LaGeNanRen  
       123 天前
    @cpstar 能分清楚技术问题、项目问题和管理问题的明白人不多啦,给老哥个赞:)我见过太多搞技术的钻牛角尖了
    ixiaofeng
        5
    ixiaofeng  
    OP
       123 天前
    @cpstar #3 嗯。。。。专业👍
    liuliangyz
        6
    liuliangyz  
       123 天前
    @ixiaofeng 看你测评公司和当地网安的关系,如果和你说要排队,你就换一家就是了,当然,小地方的话,基本就一家,没有的换。
    ixiaofeng
        7
    ixiaofeng  
    OP
       123 天前
    @liuliangyz #6 看来也是过来人
    unclemcz
        8
    unclemcz  
       123 天前
    先试运行(还未验收前的运行都可以算是试运行,不算正式上线,虽然实际上和上线没区别),然后试运行过程中做等保测评,拿到测评报告后报客户验收,然后正式上线。一般是这么操作的,可以和客户沟通一下。
    ixiaofeng
        9
    ixiaofeng  
    OP
       123 天前
    @unclemcz #8 这个就得看甲方是不是愿意担责了,其实就是个概念的问题,如果甲方本身很敏感,这个就很难办
    zinging
        10
    zinging  
       123 天前
    系统不复杂的话,现场的技术,一周就能搞完,然后就是写报告,和在网安排队走流程的时间,和测评机构商量,1 个月差不多就能出来。
    kuner0614
        11
    kuner0614  
       123 天前
    换个思路,让他们把业务系统布在可信云上做个异地双活,有预算的话再上两地三中心。数据库安全评测就直接可以过,整个工期至少可以缩短一半。顺便做个广告,BC/DR 我司湖北最牛逼,需要方案可以给你赶 MTU5Mjc0NDA4NzE=
    ( 9:00-17:30 )
    mikywei
        12
    mikywei  
       123 天前
    我之前跟等级保护测评机构的人聊过,谈下我的理解。
    首先你的客户已经要求做等级保护测评了,这个没得商量,具体几级要测评机构帮忙找专家评估(一般面向互联网的基本都得三级,等级越高要做的东西越多);
    其次其实你的问题找测评机构就行了,网络上一群服务商 js 说这说那儿,都是从自己的角度出发(不是想卖产品就是想卖服务),都没有测评机构专业和客观。
    关于时间上的问题:当地网安部门对待大家都是一样的,这个不可能优化,唯一能优化的就是这个测评机构的时间安排,这个就需要你认识的测评机构销售去安排了,让他签合同或卖个人情,一般 2 个月不是问题,如果整改得快 1 个月也不是不可能。注意这里签合同的可以限制测评机构的测评时间,比如第一次测评签合同后几天来,几天内完成,整改后几天内来第二次测评。(当然整改这个时间就看你们自己了)
    关于系统未上线的问题:可以先部署在内网不发布在公网先做测评的,这都是基本操作,一问测评机构就知道了;
    关于测评机构的选择:
    1 、当地测评中心(事业单位)基本只给政府单位测评,其它单位和私企没戏,人家大爷得很。
    2 、当地具有测评资质的私有企业(优先选择,当地人多,服务速度,专业性也会比外地的好,但有些本地机构可能接单很多排班排不过来,可以按我上面说的签合同要求他们,虽然他们大概率选择讨价还价)
    3 、外地具有测评资质的私有企业(首先差旅是个问题,其次有些地方需要测评机构先在网警那儿备案过,所以要核实外地机构是不是在你们当地做过项目;但这种外地机构为了扩张你们的要求基本都会应下来,至于能不能完成就不得而知了)
    等保测评这东西很复杂的,测评机构的基层也不见得能完全吃透,还要回去各种请示中高层和查资料,所以趁早找测评机构去吧!
    Sor
        13
    Sor  
       123 天前
    三个月也太久了,等保测评我们可以做
    sozengtao
        14
    sozengtao  
       123 天前
    @Sor 能否大概说一下费用呢 ?
    libook
        15
    libook  
       122 天前
    可以部署测试环境,然后测评的时候驻场或连 VPN 测评。

    等保测评内容涵盖开发和运营的单位,客户运营的话其实很多关于安全管理方面的测评都是测你的客户;网站技术部分扫一扫漏洞,密码策略之类的符合要求就行。当然开发方还得提供一些开发管理制度和设计文档。

    客户着急上线,客户要求过等保,其实是客户自己赶自己。如果客户在管理制度方面不完善,那得让客户自己去完善,或者让客户自己找咨询公司去完善,你们记住不要替客户去做就行,这应该不属于你们的合同范围。
    fffang
        16
    fffang  
       122 天前
    等保到底是啥东西?有段时间在公司经常听别人说
    defunct9
        17
    defunct9  
       122 天前
    过个等保 10 万吧
    yanest
        18
    yanest  
       122 天前
    需要等那么久吗,如果放我们机房,一个月内拿证了,费用的话,安全服务加测评费都不到十万。
    manyeechen
        19
    manyeechen  
       121 天前
    过的速度主要还是跟安全策略到底做的怎样有关系,不然整改就会耗费很多时间,当然还有系统的大小,服务器数量也有关系
    wolfmei
        20
    wolfmei  
       118 天前
    三级等保做过三年了,只要你的业务系统符合等保的要求就可以了,至于能不能过等保,并不是你的业务系统能说了算,因为这个等保测评还有一部分跟你业务系统没关系。
    maichaide
        21
    maichaide  
       83 天前
    等保、密保、关保、分保都有专业机构在做,有经验的和监管机构关系密切的更容易过
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2440 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 07:19 · PVG 15:19 · LAX 00:19 · JFK 03:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.