网络安全等级保护制度详解,一文掌握核心要点!_等级保护相关政策和法律法规
一、等级保护制度发展情况
等级保护制度的法律依据
Ø《计算机信息系统安全保护条例》(1994年General Office of the State Council第147号令)
公安部主管全国计算机信息系统安全保护工作。
计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
Ø《中华人民共和国警察法》(1995,2012)
人民警察履行“监督管理计算机信息系统的安全保护工作”职责。
Ø 2008年General Office of the State Council“三定”方案
赋予公安部“监督、检查、指导信息安全等级保护工作”的法定职责。
Ø《中华人民共和国网络安全法》(2016)
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等级保护制度发展的政策依据
Ø《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。
Ø《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
进一步明确公安机关负责全国信息安全等级保护工作的监督、检查和指导工作,并指出“要建立专门的等级保护监督检查机构和技术支撑体系,组织研制、开发科学、实用的检查、评估工具、充实力量、加强建设、切实承担信息安全等级保护监督、检查和指导的职责”。
Ø《信息安全等级保护管理办法》(公通字[2006]43号)
公安部牵头,会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。同时,公安机关还承担信息安全等级保护监督、检查、指导的任务。
等级保护的主管部门
全国公安机关网络安全保卫部门机构和职责:
机构 |
部分职责 |
公安部:网络安全保卫局 各省:网络警察总队 地市:网络警察支队 区县:网络警察大队 |
制定信息安全政策 打击网络违法犯罪 互联网安全管理 重要信息系统安全监察 网络与信息安全信息通报 |
等级保护的定义和内涵
Ø 什么是等级保护?
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实施按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
简单说,信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个安全保护等级。(从第一级到第五级,逐级增高)
Ø 等级保护工作包括哪些?
等级保护工作主要分为五个环节,分别是定级、备案、系统建设/整改、开展等级测评和监管部门定期监督检查。
Ø 如何落实?
落实等级保护工作需要多方面的努力和措施,其中监管部门指导和网络安全等级保护标准体系落地是两个重要的方面。
等级保护2.0
2017年6月1日,《网络安全法》的颁布,标志着等级保护进入2.0时代。
Ø 网络安全等级保护2.0新内涵
新内涵主要体现在新的法律、政策体系;新的标准体系;新的技术支撑体系;新的人才队伍体系;新的教育训练体系;新的保障体系。
一方面将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。将互联网企业纳入等级保护管理,保护互联网企业健康发展。
另一方面完善等级保护工作措施。将风险评估、安全监测、通报预警、 事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度实施。
此外修订等级保护基本要求、安全建设要求、测评要求等基本标准;组织起草云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用等级保护技术标准,指导各单位、各部门开展新技术、新应用网络安全保护工作。
Ø《网络安全等级保护条例(征求意见稿)》对监管职责分工的新划分
中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。
General Office of the State Council公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。
General Office of the State Council其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
二、网络安全等级保护标准体系
主要标准情况
等级保护2.0标准体系包括以下主要标准:
等级保护2.0标准体系实施过程可参考下图:
图片参考:计算机与网络安全《等保2.0标准体系解读》“网络安全等级保护定级指南”图
Ø 核心标准是网络安全等级保护基本要求(GB/T22239-2019)
基本要求包含安全通用要求和安全扩展要求。
安全通用要求
安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。
安全通用要求包括:
技术类五项 |
管理类五项 |
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 |
安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理 |
安全拓展要求
1. 云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
2. 移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
3. 物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
4. 工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
三、网络安全等级保护工作过程
等级保护工作内容
一是:定级;二是:备案;三是:系统建设、整改;四是:开展等级测评;五是:监管部门定期开展监督检查。
等级保护工作过程可以参考下图:
图片参考:计算机与网络安全《等保2.0标准体系解读》“等级保护规定动作”图
等级的概念
信息系统重要程度等级
安全保护能力等级
备案要求
第二级以上信息系统需要备案。
备案时应当提交《信息系统安全等级保护备案 表》(一式两份)及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
附:《信息系统安全等级保护备案表》:
-
单位基本情况
-
信息系统情况
-
信息系统定级情况
-
第三级以上信息系统提交材料情况
定级备案流程:
建设整改
核心:使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。
第三级安全保护能力:信息系统在统一的安全保护策略下具有抵 御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能 力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、 报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行 集中控管的能力。
测评定义:
等级测评是测评机构依据国家信息安全 等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
测评频率:
三级系统每年一次;二级系统推荐每两年一次。
监督检查
主管监管部门会定期对等级保护工作情况进行监督检查。
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成长进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
本文转自 https://blog.csdn.net/weixin_42340783/article/details/140655366?spm=1001.2014.3001.5501,如有侵权,请联系删除。