网络安全等级保护制度详解,一文掌握核心要点!

news2024/12/28 5:53:46

一、等级保护制度发展情况

等级保护制度的法律依据

Ø《计算机信息系统安全保护条例》(1994年General Office of the State Council第147号令)

公安部主管全国计算机信息系统安全保护工作。

计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

Ø《中华人民共和国警察法》(1995,2012)

人民警察履行“监督管理计算机信息系统的安全保护工作”职责。

Ø 2008年General Office of the State Council“三定”方案

赋予公安部“监督、检查、指导信息安全等级保护工作”的法定职责。

Ø《中华人民共和国网络安全法》(2016)

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

等级保护制度发展的政策依据

Ø《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。

Ø《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

进一步明确公安机关负责全国信息安全等级保护工作的监督、检查和指导工作,并指出“要建立专门的等级保护监督检查机构和技术支撑体系,组织研制、开发科学、实用的检查、评估工具、充实力量、加强建设、切实承担信息安全等级保护监督、检查和指导的职责”。

Ø《信息安全等级保护管理办法》(公通字[2006]43号)

公安部牵头,会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。同时,公安机关还承担信息安全等级保护监督、检查、指导的任务。

等级保护的主管部门

全国公安机关网络安全保卫部门机构和职责:

机构

部分职责

公安部:网络安全保卫局

各省:网络警察总队

地市:网络警察支队

区县:网络警察大队

制定信息安全政策

打击网络违法犯罪

互联网安全管理

重要信息系统安全监察

网络与信息安全信息通报

 

等级保护的定义和内涵

Ø 什么是等级保护?

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实施按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

简单说,信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个安全保护等级。(从第一级到第五级,逐级增高)

Ø 等级保护工作包括哪些?

等级保护工作主要分为五个环节,分别是定级、备案、系统建设/整改、开展等级测评和监管部门定期监督检查

Ø 如何落实?

落实等级保护工作需要多方面的努力和措施,其中监管部门指导网络安全等级保护标准体系落地是两个重要的方面。

等级保护2.0

2017年6月1日,《网络安全法》的颁布,标志着等级保护进入2.0时代。

Ø 网络安全等级保护2.0新内涵

新内涵主要体现在新的法律、政策体系;新的标准体系;新的技术支撑体系;新的人才队伍体系;新的教育训练体系;新的保障体系。

一方面将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。将互联网企业纳入等级保护管理,保护互联网企业健康发展。

另一方面完善等级保护工作措施。将风险评估、安全监测、通报预警、 事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度实施。

此外修订等级保护基本要求、安全建设要求、测评要求等基本标准;组织起草云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用等级保护技术标准,指导各单位、各部门开展新技术、新应用网络安全保护工作。

Ø《网络安全等级保护条例(征求意见稿)》对监管职责分工的新划分

中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。

General Office of the State Council公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。

国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。

国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。

General Office of the State Council其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。

县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。

二、网络安全等级保护标准体系

主要标准情况

等级保护2.0标准体系包括以下主要标准:

等级保护2.0标准体系实施过程可参考下图:

图片参考:计算机与网络安全《等保2.0标准体系解读》“网络安全等级保护定级指南”图

Ø 核心标准是网络安全等级保护基本要求(GB/T22239-2019)

基本要求包含安全通用要求安全扩展要求

安全通用要求

安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。

安全通用要求包括:

技术类五项

管理类五项

安全物理环境

安全通信网络

安全区域边界

安全计算环境

安全管理中心

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

安全拓展要求

1. 云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。

2. 移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。

3. 物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。

4. 工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

三、网络安全等级保护工作过程

等级保护工作内容

一是:定级;二是:备案;三是:系统建设、整改;四是:开展等级测评;五是:监管部门定期开展监督检查。

等级保护工作过程可以参考下图:

图片参考:计算机与网络安全《等保2.0标准体系解读》“等级保护规定动作”图

等级的概念

信息系统重要程度等级

安全保护能力等级

备案要求

第二级以上信息系统需要备案。

备案时应当提交《信息系统安全等级保护备案 表》(一式两份)及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

附:《信息系统安全等级保护备案表》:

  1. 单位基本情况

  2. 信息系统情况

  3. 信息系统定级情况

  4. 第三级以上信息系统提交材料情况

定级备案流程:

建设整改

核心:使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。

第三级安全保护能力:信息系统在统一的安全保护策略下具有抵 御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能 力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、 报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行 集中控管的能力。

测评定义:

等级测评是测评机构依据国家信息安全 等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

测评频率:

三级系统每年一次;二级系统推荐每两年一次。

监督检查

主管监管部门会定期对等级保护工作情况进行监督检查。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1831452.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

夏季河湖防溺水新举措:EasyCVR+AI视频智能监控系统保障水域安全

近日一则新闻引起大众关注,有网友发布视频称,假期在逛西湖时,发现水面上“平躺”漂浮着一名游客在等待救援。在事发3分钟内,沿湖救生员成功将落水游客救到了岸边。 随着夏季的到来,雨水增多,各危险水域水位…

ensp模拟器USG6000V1配置DCHP功能

接着上一篇配置,继续本篇的内容。开启DHCP功能非常简单,只需几个命令即可。实验拓扑图也非常简单,如下: 开启防火墙DHCP功能: [USG6000V1]dhcp enable 选择DHCP接口并设置接口IP地址,这里给g1/0/0配置2网…

Chromium 开发指南2024 Mac篇-编译前的准备工作(一)

1.引言 Chromium 是一款开源的网页浏览器项目,作为 Google Chrome 浏览器的基础,其卓越的性能和广泛的应用使其成为众多开发者研究和学习的对象。对于希望深入了解浏览器内核,或是计划在 Chromium 基础上开发自定义浏览器的开发者来说&#…

【leetcode刷题】面试经典150题 88.合并两个有序数组

leetcode刷题 面试经典150 88. 合并两个有序数组 难度:简单 文章目录 一、题目内容二、自己实现代码2.1 实现思路2.2 实现代码2.3 结果分析 三、 官方解法3.1 直接合并后排序3.1.1 算法实现3.1.2 代码实现3.1.3 代码分析 3.2 双指针3.2.1 算法实现3.2.2 代码实现3.2…

Android ViewModel实现和原理

ViewModel实现和原理 前言1. 使用1.1 gradle准备1.2 模拟场景1.3. LiveData和ViewModel1.4 更新数据 2. 原理与源码解读2.1 添加观察者2.2 setValue2.3 post 参考资料 前言 ViewModel的主要基于观察者的设计模式,他主要分为两个部分: 提供者Provider&a…

Codesys 获取系统年、月、日、时、分、秒、星期几 +解决时区问题+ ST语言编程实现代码

一、 效果如图所示 二、功能说明 发现获取的时间比北京时间多一个时区(8个小时),解决时区问题获取时间后,单独把年月日时分秒提取出来,单独保存在变量中获取星期几,保存在变量中 三、Codesys用ST语言实现…

【MySQL统计函数count详解】

MySQL统计函数count详解 1. count()概述2. count(1)和count(*)和count(列名)的区别3. count(*)的实现方式 1. count()概述 count() 是一个聚合函数,返回指定匹配条件的行数。开发中常用来统计表中数据,全部数据,不为null数据,或…

【C++】模板初级

【C】模板初级 泛型编程函数模板函数模板的概念函数模板格式函数模板的原理函数模板的实例化模板参数的匹配原则 类模板类模板格式类模板的实例化 泛型编程 当我们之前了解过函数重载后可以知道,一个程序可以出现同名函数,但参数类型不同。 //整型 voi…

如何获得一个Oracle 23ai数据库(vagrant box)

准确的说,是Oracle 23ai Free Developer版,因为企业版目前只在云上(OCI和Azure)和ECC上提供。 前面我博客介绍了3种方法: Virtual ApplianceRPM安装Docker 今天介绍最近新出的一种方法,也是我最为推荐的…

如何使用任意浏览器远程访问本地搭建的Jellyfin影音平台

文章目录 前言1. Jellyfin服务网站搭建1.1 Jellyfin下载和安装1.2 Jellyfin网页测试 2.本地网页发布2.1 cpolar的安装和注册2.2 Cpolar云端设置2.3 Cpolar本地设置 3.公网访问测试4. 结语 前言 本文主要分享如何使用Windows电脑本地部署Jellyfin影音服务并结合cpolar内网穿透工…

Linux---系统的初步学习【项目一:Linux操作系统的安装与配置】

项目一 Linux操作系统的安装与配置 1.1 项目知识准备 1.1.1 操作系统是什么? ​ 操作系统(Operating System,OS)是管理计算机硬件与软件资源的计算机程序。操作系统需要处理如管理硬件、决定程序运行的优先次序、管理文件系统等…

遗传算法浅理解

1. 什么是遗传算法? ​ 遗传算法,又称为 Genetic algorithm(GA)Genetic algorithm(GA)。其主要思想就是模拟生物的遗传与变异。它的用途非常广泛,可以用于加速某些求最大或者最小值的算法(换句话说就是加速算法收敛,最…

月球全月地质图和4.5亿像素月面标注地图

嫦娥六号都在月球挖到土特产了,那你知道月球到底长什么样子吗? 现在我们就为你分享一下月球的全月地质图,以及4.5亿像素月面带标注的地图,你可以在文末查看该数据的领取方法。 月球全月地质图 对于月球的探索,美国和…

如何高效使用大型语言模型 LLMs 初学者版本 简单易上手

第一条也是最重要的一条规则是 永远不要要求LLM提供你无法自己验证的信息, 或让它完成你无法验证其正确性的任务。 唯一例外的情况是那些无关紧要的任务, 例如,让大型语言模型提供公寓装修灵感之类的是可以的 。 首先请看两个范例 不佳示范&#xff1a…

SAP 采购订单 价格 条件权限控制 授权账户

采购订单 价格 条件权限控制 授权账户 1、事务代码 me21/22/23/N 2、权限对像如下几个 M_BEST_BSA/EKG/EKO/WRK ACTVT 09 SELECT DISTINCT a.* FROM ( SELECT DISTINCT agr_users.uname FROM agr_1251INNER JOIN agr_users ON agr_1251.agr_name agr_users.agr_name AND…

智能制造uwb高精度定位系统模块,飞睿智能3厘米定位测距芯片,无人机高速传输

在科技日新月异的今天,定位技术已经渗透到我们生活的方方面面。从手机导航到自动驾驶,再到无人机定位,都离不开精准的定位系统。然而,随着应用场景的不断拓展,传统的定位技术如GPS、WiFi定位等,因其定位精度…

WPF 深入理解一、基础知识介绍

基础知识 本系列文章是对个人 B站 up 微软系列技术教程 记录 视频地址 https://www.bilibili.com/video/BV1HC4y1b76v/?spm_id_from333.999.0.0&vd_source0748f94a553c71a2b0125078697617e3 winform 与 wpf 异同 1.winform 项目结构 编辑主要是在 Form1.cs(页面)&#…

Go基础编程 - 09 - 通道(channel)

通道(channel) 1. 声明2. channel的操作3. 无缓冲通道4. 有缓冲通道5. 如何优雅的从通道循环取值6. 单向通道7. 异常总结 上一篇:结构体 Go语言的并发模式:不要通过共享内存来通信,而应该通过通信来共享内存。 Go语言…

Spring框架永远滴神之SpringAI玩转大模型

文章目录 一、SpringAI简介1.什么是SpringAI2.SpringAI支持的大模型类型(1)聊天模型(2)文本到图像模型(3)转录(音频到文本)模型(4)嵌入模型(5&…

报错:C1189#error: The <experimental/filesystem> header providing 解决方案

今天开发过程中,需要使用文件系统experimental/filesystem,报错C1189#error: The <experimental/filesystem> header providing ,通过以下解决方案,成功运行程序。 目录 一、打开项目下的属性 二、选择C/…