云安全之等级保护详解

等级保护概念

网络安全等级保护,是对信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

网络安全等级保护的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。

等级保护级别标准

计算机信息系统安全等级保护划分准则 (GB17859-1999)

信息安全等级保护管理办法,公通字200743号,重要等级。

等级保护实施落地定级参照

  1. 第一级:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
  2. 第二级:一般适用于县级某些单位中的重要信息系统:地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。(区县法院、医院)。
  3. 第三级:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密陪业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省地市的分支系统;中央各部委省(区市)门户网站和重要网站;跨省连接的网络系统等。(大部分定级三级)
  4. 第四级:一般适用于国家重要领域重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全国计民生的核心系统。
  5. 第五级:一般适用于国家重要领域、重要部门中的极端重要系统。

等级保护实施流程

1、系统定级

标准:根据等级保护的管理规范和技术标准,确定信息系统的安全保护等级。

涉及单位:公安局/专家组。

工作内容:分析信息系统的业务信息安全和系统服务安全,确定系统的安全保护等级,形成定级报告。

2、规划设计

标准:根据已经确定的安全保护等级,按照等级保护的管理规范和技术标准,进行系统的规划设计。

涉及单位:公安局/专家组

工作内容:根据系统的安全保护等级,制定系统的安全设计方案,包括安全技术措施和管理规范。对新建、改建、扩建的系统进行规划设计,确保满足等级保护的要求。

3、建设实施

标准:根据等级保护的管理规范和技术标准,采购和使用相应的信息安全产品,落实安全技术措施和管理规范。

涉及单位:信息系统的建设、施工单位。

工作内容:按照系统的安全设计方案,采购和使用相应的信息安全产品,落实安全技术措施和管理规范。对新建、改建、扩建的系统进行施工建设,确保满足等级保护的要求。

4、等级测评

标准:请专业的测评机构对整改后的系统进行复测,分数达标后出具测评报告。

涉及单位:公安局/授权专业的测评机构。

工作内容:对已经实施安全保护措施的系统进行复测,评估系统的安全保护能力是否达到等级保护的要求。出具测评报告,对不符合要求的地方提出整改建议。

5、运维管理

标准:定期对系统进行监督检查,以确保系统的安全保护等级得到有效维护。

涉及单位:公安局、信息系统的运营、使用单位。

工作内容:定期对系统进行监督检查,及时发现和修复安全问题,确保系统的安全保护等级得到有效维护。建立健全的安全管理制度和应急预案,提高系统的安全保障能力。

6、系统废止

标准:根据系统的生命周期和安全保护等级,制定系统的废止方案。

涉及单位:信息系统的运营、使用单位。

工作内容:根据系统的生命周期和安全保护等级,制定系统的废止方案。在系统废止前,对系统中的敏感信息进行彻底清除,确保不会泄露。对废止后的系统进行妥善处理,防止被非法获取或利用。

等级保护工作阶段

  1. 定级
  2. 备案
  3. 系统安全建设
  4. 等级测评
  5. 监督检查

各个阶段对应内容如下:

1、定级阶段:

在这个阶段,主要工作是确定信息系统的安全保护等级。这需要根据信息系统的重要性、业务信息安全和系统服务安全的要求等因素,按照等级保护的管理规范和技术标准,对系统进行全面的分析评估。定级阶段的工作内容包括:

  • 分析信息系统的业务信息安全和系统服务安全,确定系统的安全保护等级;
  • 编制定级报告,明确系统的安全保护等级和相应的安全要求;
  • 对定级报告进行评审和修订,确保定级的准确性和合理性。

2、备案阶段:

在确定了信息系统的安全保护等级后,需要将相关信息报送本地区公安机关备案。备案阶段的工作内容包括:

  • 准备备案材料,包括定级报告、系统拓扑结构图、系统安全组织架构图等;
  • 将备案材料报送本地区公安机关,获取备案编号和备案证明;
  • 对备案材料进行归档和管理,确保备案信息的完整性和准确性。

3、系统安全建设阶段:

在确定了信息系统的安全保护等级并完成了备案后,需要按照等级保护的管理规范和技术标准,进行系统的安全建设。系统安全建设阶段的工作内容包括:

  • 根据系统的安全保护等级和安全要求,制定系统的安全设计方案;
  • 按照安全设计方案,采购和使用相应的信息安全产品,落实安全技术措施和管理规范;
  • 对新建、改建、扩建的系统进行规划设计,确保满足等级保护的要求;
  • 对系统进行全面的漏洞扫描和安全评估,及时发现和修复安全问题。

4、等级测评阶段:

在系统安全建设完成后,需要请专业的测评机构对系统进行等级测评。等级测评阶段的工作内容包括:

  • 选择具有相应资质和经验的测评机构,签订测评合同;
  • 按照等级保护的管理规范和技术标准,对系统进行全面的测评;
  • 对测评中发现的问题进行整改和修复,确保系统满足等级保护的要求;
  • 获取测评报告和整改建议,对系统进行进一步的优化和完善。

5、监督检查阶段:

在完成等级测评后,需要定期对系统进行监督检查,以确保系统的安全保护等级得到有效维护。监督检查阶段的工作内容包括:

  • 定期对系统进行漏洞扫描和安全评估,及时发现和修复安全问题;
  • 对系统进行全面的安全检查和安全审计,评估系统的安全状况和安全保护能力;
  • 对监督检查中发现的问题进行整改和修复,确保系统满足等级保护的要求;
  • 建立健全的安全管理制度和应急预案,提高系统的安全保障能力。

等级保护基础要求

等级保护建设基本标准

等级保护 1.0和 2.0的差异

等保1.0与2.0的相同点

  1. 五个级别不变:从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
  2. 规定动作不变:规定动作分别为:定级、备案、建设整改、等级测评、监督检查
  3. 主体职责不变:等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

等保1.0与2.0的不同点

1. 名称变化

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。

2. 标准依据变化

从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护,第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。

3.防护理念变化

通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心、三重防护”的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。

4.定级对象变化

等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

5.控制项要求变化

安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的保护需要同时满足安全通用要求和安全扩展要求。[云计算、移动互联、工控安全、物联网]

6.控制结构变化

等保2.0依旧保留技术和管理两个维度。等保2.0由日标准的10个分类调整为8个分类,分别为:

1.技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;

2.管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理安全运维管理;

7.定级要求变化

等保2.0标准不再自主定级,而是通过“确定定级对象->初步确定等级->专家评审->主管部门审核->公安机关备案审查->最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格,将促进定级过程更加规范,系统定级更加合理。

8.测评相关变化

相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求基本分调高了,测评要求更加严格。

等保名称

等保1.0

等保2.0

测评周期

第三级系统每年一次,第四级系统每半年一次

第三级以上系统每年一次

测评结果

60分以上基本符合

75分以上基本符合

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/96503.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

横向AlGaN/GaN基SBD结构及物理模型数据库的开发

GaN基功率器件凭借其临界电场高、电子饱和漂移速度大、热导率高等优良性能在大功率快充、充电桩、新能源汽车等领域具备广泛应用空间。为进一步助推半导体高频、高功率微电子器件的发展进程,天津赛米卡尔科技有限公司技术团队依托先进的半导体TCAD仿真平台成功开发出…

计算机网络八股

1、请你说说TCP和UDP的区别 TCP提供面向连接的可靠传输,UDP提供面向无连接的不可靠传输。UDP在很多实时性要求高的场景有很好的表现,而TCP在要求数据准确、对速度没有硬件要求的场景有很好的表现。TCP和UDP都是传输层协议,都是为应用层程序服…

【Java 进阶篇】深入了解JDBCTemplate:简化Java数据库操作

数据库操作是几乎所有现代应用程序的一部分。从存储和检索数据到管理业务逻辑,数据库操作是不可或缺的。在Java应用程序中,JDBCTemplate是一种强大的工具,可帮助开发人员轻松进行数据库操作。本文将深入探讨JDBCTemplate,了解它的…

最新Uniapp软件社区-全新带勋章源码

测试环境:php7.1。ng1.2,MySQL 5.6 常见问题: 配置好登录后转圈圈,检查环境及伪静态以及后台创建好应用 上传图片不了,检查php拓展fileinfo 以及public文件权限 App个人主页随机背景图,在前端uitl文件夹里面…

string类的使用方式的介绍

目录 前言 1.什么是STL 2. STL的版本 3. STL的六大组件 4.STL的缺陷 5.string 5.1 为什么学习string类? 5.1.1 C语言中的字符串 5.2 标准库中的string类 5.3 string类的常用接口的使用 5.3.1 构造函数 5.3.2 string类对象的容量操作 5.3.3 string类对象…

2023年中国资产数字化监控运维管理系统行业分析:产品应用领域不断拓展[图]

资产监控运维管理是一门紧密结合生产实际的工程科学,是实现资产有效运营维护的重要手段。资产监控运维管理技术起源于美国和欧洲等国家和地区,经过几十年的理论研究和实际应用,资产监控运维管理技术为提高重大设备资产和系统的可靠性和安全性…

java Spring Boot 手动启动热部署

好 接下来 我们讲一个对开发非常重要的东西 热部署 因为 我们在开发过程中总会希望快点看到效果 或者 你的企业项目一般很大很复杂,重启是一件非常麻烦的事 或者你在和前端同事联调,有一点小问题 你改完就要重启 前端还得等你,非常不友好 那…

PbootCMS SQL注入漏洞

漏洞复现 访问漏洞url 数据库是mysql 构造payload,条件为假时,未查到任何数据 http://x.x.x/index.php?search 1select 0页面回显 构造payload,条件为真时,查询到数据 1select1文笔生疏,措辞浅薄,望各…

SpringMVC系列-4 参数解析器

背景: 本文作为SpringMVC系列的第四篇,介绍参数解析器。本文讨论的参数解析表示从HTTP消息中解析出JAVA对象或流对象并传参给Controller接口的过程。 本文内容包括介绍参数解析器工作原理、常见的参数解析器、自定义参数解析器等三部分。其中&#xff0…

【前段基础入门之】=>CSS3的新增特性!

文章目录 CSS3概述CSS3私有前缀常见浏览器私有前缀 新增盒模型相关属性怪异盒模型拖拽调整盒子大小盒子阴影不透明度 新增背景属性background-originbackground-clipbackground-size多背景图backgorund 复合属性 新增边框属性边框圆角边框外轮廓 新增文本属性文本阴影文本换行文…

NPM 常用命令(九)

目录 1、npm link 1.1 使用语法 1.2 描述 2、npm login 2.1 描述 3、npm logout 3.1 描述 4、npm ls 4.1 使用语法 4.2 描述 5、npm org 5.1 使用语法 5.2 示例: 6、npm outdated 6.1 使用语法 6.2 描述 6.3 示例 7、npm owner 7.1 使用语法 7.2…

ipv6跟ipv4如何通讯

IPv6的128位地址通常写成8组,每组为四个十六进制数的形式。比如:AD80:0000:0000:0000:ABAA:0000:00C2:0002 是一个合法的IPv6地址。这个地址比较长,看起来不方便也不易于书写。零压缩法可以用来缩减其长度。如果几个连续段位的值都是0,那么这…

免费 AI 代码生成器 Amazon CodeWhisperer 初体验

文章作者:浪里行舟 简介 随着 ChatGPT 的到来,不由让很多程序员感到恐慌。虽然我们阻止不了 AI 时代到来,但是我们可以跟随 AI 的脚步,近期我发现了一个神仙 AI 代码生产工具 CodeWhisperer ,它是一项基于机器学习的服…

众佰诚:抖音开网店新手怎么做才能做起来

抖音作为国内最热门的短视频平台,其商业价值也日渐凸显。许多商家和个体经营者开始在抖音上开设网店,以此为新的销售渠道。那么,对于新手来说,如何才能在抖音上成功运营网店呢? 首先,明确经营定位。每个电商平台都有其…

小谈设计模式(16)—抽象工厂模式

小谈设计模式(16)—抽象工厂模式 专栏介绍专栏地址专栏介绍 抽象工厂模式结构抽象工厂(AbstractFactory)具体工厂(ConcreteFactory)抽象产品(AbstractProduct)具体产品(C…

FPGA project : fifo_sum

实验目标: col(列) 4 ;line(行) 5。相邻三行,按列求和。输出新的数据流。 实现方法: 通过rs232通信协议,输入数据流。第一行存进fifo1,第二行存进fifo2.当输入第三行第一个数据的时候,从fif…

Verilog HDL阻塞赋值和非阻塞赋值笔记

1. module test( input wire clk, input wire b, output reg a, output reg c ); always(posedge clk) begin ab; ca; end endmodule 上面的代码在vivado中综合后的电路为: 2. module test( input wire clk, input wire b, outp…

offer突击训练营,给你一个offer的保障,求职跳槽的看过来!

大家好,我是枫哥,🌟阿里云技术专家、📝资深面试官、🌹Java跳蚤网课堂创始人。拥有多年一线研发经验,曾就职过科大讯飞、美团网、平安等公司。 目前组建的团队,专注Java技术分享&#xff0c…

互联网Java工程师面试题·Memcached篇·第一弹

目录 1、Memcached 是什么,有什么作用? 1.1 memcached 服务在企业集群架构中有哪些应用场景? 1.1.1 作为数据库的前端缓存应用 1.1.2 作业集群的 session 会话共享存储 2、Memcached 服务分布式集群如何实现? 3、Memcach…

【Blender实景合成】会跳舞的神里绫华

效果预览 本文将介绍Blender用于实景合成的工作流程。 先看效果: 神里绫华爬上了我的办公桌 模型和动作资源准备 角色模型 本次主要使用的是原神游戏中,神里绫华的角色模型,该模型米哈游在模之屋网站上进行开源。 下载地址:ht…