什么是等保测评
等保测评的全称是信息安全等级保护测评。
是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进⾏检测评估的活动。
信息系统如果没有按照网络安全法进行等保建设,一旦网站受到恶意攻击没有按照要求整改,会对企业及负责人处以罚款,具体金额依据情况而定。
国家对很多类型的信息系统进行了强制要求(如下图),总而言之只要是涉及到机密信息或者用户信息的系统都需要等保建设。
信息安全划分等级
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会⽣活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法⼈和其他组织的合法权益的危害程度等因素确定,分为五级:
信息等级保护实施流程
系统定级
业务系统定级
系统备案
提交备案材料
建设整改
依据等级保护标准进行安全建设整改
等级测评
配合测评机构测评,接收报告
监督检查
安全运营、维护,保障日常系统合规
市场 CMS 系统现状
目前市场大部分 CMS 系统软件本身存在一定的安全问题。 原因很多,比如用户量少,非真正开源等导致系统得不到全面的验证, 如果遭到不法分子破解,很有可能窃取相关资料, 同时很多不法分子会把病毒伪装成文件上传到服务器来危害 CMS 系统的正常工作,损害公司财产和形象。
缺乏安全意识
很多CMS系统提供者只是认为能把网站展现出来即可,没有网站安全概念,甚至不知道等保测评
缺乏相关知识
没有接触过相关用户,也没有学习过等保评测的系统知识,也就没机会把等保测评集成到系统
缺乏相关技术
有些系统即使暴露出很多严重的bug,由于本身技术能力,也没能得到及时有效的修复
安全漏洞多
很多决策者在选型的时候发现,目前CMS系统良莠不齐,安全漏洞层出不穷,更别说过等保测评
功能不切实际
功能是由程序员设计,没有站在企业角度去考虑,造成很多功能鸡肋,没有实际用途
JPress 的努力
JPress 定位是成为企业门户首选,亦服务过多个大型金融,教育,汽车等行业。
我们深知企业对安全方面的迫切需求,所以我们将网站安全贯穿在系统的方方面面,
保障网站免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
尽可能保证自身功能符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等,如果遇到个别无法通过的问题,我们会免费升级,帮助企业顺利渡过测评。
安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);
应用系统产生的日志应保存至专用的日志服务器。
这是等保要求,也是我们对系统自身安全的要求。
更多不一一列举
我们还在努力
