网约车线上能力认定申请,您需要网络安全服务商帮忙

2020-05-19 10:31:00 网络整理 65

  网约车线上能力认定申请流程小编就不在这里说明了,今天我们来看看网约车线上能力认定申请,需要一些什么网络安全相关的报告,您就知道为什么需要网络安全服务商的帮助了。

  网约车互联网平台应按照《通信网络安全防护管理办法》(工信部令11号)、《电信网和互联网安全等级保护实施指南》等通信行业网络安全防护相关法规和标准要求,开展网络安全防护工作,落实防护措施,及时消除安全隐患,保障网络与系统安全,主要包括网络与系统定级备案、网络安全符合性评测和风险评估。并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整改报告。

  网约车互联网平台网络安全定级备案可在省级通信主管部门指导下采取自主定级方式,网络安全符合性评测报告、风险及整改评估报告可由具备网络安全评估等相应安全服务能力的第三方安全检测机构提供或者企业自行开展。报告的具体内容有:

  一、网络安全定级报告内容

  1.根据《电信网和互联网安全等级保护实施指南(YD/T 1729-2008)》关于通信行业网络安全防护相关标准要求,对网约车互联网平台进行安全等级划分等活动的概述。总体原则是:按照定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和企业合法权益的损害程度,进行安全等级划分。

  2.对网络与系统(定级对象)信息的详细描述,包括:

  (1)企业特征、业务范围、安全管理基本情况以及其他基本情况;

  (2)安全技术情况,包括网络与系统所在的物理环境、网络拓扑结构、网络关键设备(包括服务器、安全设备、应用系统等)情况、服务范围、网络处理和传送的信息资产、服务范围和用户类型等信息,网络边界。

  3.说明网络安全等级定级理由、要素以及安全等级确定结果等。

  二、网络安全符合性评测报告

  1.评估任务及标准概述,其中评估标准包括:

  (1)《电信网和互联网安全防护管理指南(YD/T 1728-2008)》

  (2)《电信网和互联网信息服务业务系统安全防护要求(YD/T 2243-2016)》

  (3)《电信网和互联网信息服务业务系统安全防护检测要求(YD/T 2244-2011)》

  (4)《电信网和互联网管理安全等级保护要求(YD/T 1756-2008)》

  (5)《电信网和互联网管理安全等级保护检测要求(YD/T 1757-2008)》

  (6)《电信网和互联网安全防护基线配置要求 网络设备(YD/T 2698-2014)》

  (7)《电信网和互联网安全防护基线配置要求 安全设备(YD/T 2699-2014)》

  (8)《电信网和互联网安全防护基线配置要求 数据库(YD/T 2700-2014)》

  (9)《电信网和互联网安全防护基线配置要求 操作系统(YD/T 2701-2014)》

  (10)《电信网和互联网安全防护基线配置要求 中间件(YD/T 2702-2014)》等电信网和互联网安全防护系列标准。

  (11)《电信网和互联网安全防护基线配置要求 WEB应用系统(YD/T 2703-2014)》

  (12)《第三方安全服务能力评定准则(YD/T 2669-2013)》

  2.符合性评测活动采取的技术措施,如采用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。

  3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。技术检测对象应包括:

  (1)生产主机:检查生产运行主机的操作系统、数据库、中间件以及第三方软件,包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等;

  (2)网络设备:检查交换机、防火墙等网络设备,包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等;

  (3)安全防护设备:检查IPS、IDS、web应用防火墙、防dos设备等安全防护设备,包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等;

  (4)其他:检查与约车主要平台相连的辅助系统的安全性,包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。

  4.符合性评测结果,包括符合性评测得分、达标率、不达标项说明,系统的整体安全性是否达到标准要求。

  三、风险评估及整改报告

  1.风险评估过程的描述,包括:采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗透性测试等。

  2.风险评估分析结果说明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。

  3.总结被检网络与系统存在的主要问题,以及针对检测发现的具体问题进行整改的情况。

  看完上述的内容,就可以知道上面的内容如果要网约车平台的运营公司来完成,需要该公司的技术人员,具备一定的网络安全能力。另外,由于网络约车平台的特殊性和行业性质,找网络安全服务商除了要看对方是否具备信息安全风险评估资质,等级保护测评资质,还需要看对方是否有出具网约车平台的网络安全防护报告的成功案例。万方安全恰好有相关经验,如果您需要我们协助您完成网络防护报告的话,欢迎在线咨询或者留言。

图片关键词