关键词:
网络安全等级保护 等级保护 网络 信息系统
旧话重提,一直以来,我们不断强调“等级保护”制度是我国的网络安全领域的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
什么是等级保护或安全等级保护?在谈等级保护过程中,我们此前也常常被信息安全等级保护和网络安全等级保护这两个术语困扰,以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事?那么如何区分呢?在谈论等级保护之前,我们有必要把这个问题先解答一下,这是众多运营者曾经在《网络安全法》颁布不久比较疑惑的地方,甚至是很多做等级测评工作的机构人员与单位也曾经疑惑的地方。
“安全等级保护”这个关键词,我们可以到1994年发布的《计算机信息系统安全保护条例》去寻找,另外该条例在2011年根据《国务院关于废止和修改部分行政法规的决定》做了一次修订。这是公开文件中,最具权威最早的描述**“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”**
在2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)中明确“实行信息安全等级保护”。提出了要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南,要重视信息安全风险评估工作等要求。
在2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字**〔2004〕**66号)中,是这样描述的:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这是第一次对等级保护有个较为全面的描述,此时公安部门已经出台多个GA标准支撑等级保护工作,如《计算机信息系统安全等级保护操作系统技术要求》GA/T 388-2002、《计算机信息系统安全等级保护管理要求》GA/T 391-2002等标准。但是此时,国家标准还未体系性的建设起来。
我们工作讨论最多的是**《信息安全等级保护管理》(**公通字〔2007〕43号),其实有关66号对等级保护已经做了许多安排,以“信息安全等级保护”的描述看其实是在给这个制度下定义,其对信息系统分等级实行安全保护,对信息安全产品的使用实行分等级管理,信息安全事件实行分等级响应、处置的制度。
这样我们发现,从信息系统、安全产品、安全事件三个维度去开展工作,当然这里又会延伸出不同部门和不同级别的事权,在此暂不做讨论。在66号文中,有句话**“依据标准,自行保护”,那么在落实“三同步”**时,其实只要有对应标准,则都需要依据标准去开展设计、建设、运行,而从信息系统、安全产品、安全事件三个维度考虑,其实我们现行的网络安全相关标准,都在支撑等级保护工作。
而“安全等级保护”前面置换了三次分别是:计算机信息系统、信息系统、网络。而这三次置换,其工作涵盖范围不断扩大和加深,又是我国网络安全工作体系一脉相承的。
网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。
网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。
将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因根据历史客观事实,介绍“信息安全等级保护制度”“网络安全等级保护制度”及“网络”“信息系统”“计算机信息系统”,虽然称谓不同,但本质是一致的。
等级保护1.0时代教程对其定义
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
等级保护2.0时代教程对其定义
网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
**“网络”**是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
计算机信息系统 | 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 |
信息系统 | 指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 |
网络 | 指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。 |
网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。是网络运营者促进网络安全的重要指标和抓手。
参考文件:
《计算机信息系统安全保护条例》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《关于信息安全等级保护工作的实施意见》
《信息安全等级保护管理》
《网络安全法和网络安全等级保护制度》
|
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。是一个系统性、体系性的工作。等级保护2.0时代,提出了新的要求,“三化六防”措施逐步在各层面落实落地,在学习和理解过程中,总有种常读常新的感觉。结合这几年的学习,重新再整理一次“网络安全等级保护”这个系列。期待着与朋友们又有一次深入交流与探讨。 |
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
