等级保护

网络安全cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 定级系统 classified system 已确定安全保护等级的系统。定级系统分为第一级、第二级、第三级、第四级和第五级系统。 定级系统安全保护环境 security environment of casified system 由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。 安全计算环境 security computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 安全区域边界security area boundary 对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。 安全通信网络 security communication network 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 安全管理中心 seeurity management center 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。 跨定级系统安全管理中心 security management

等级保护 2.0 安全架构介绍 等级保护 2.0安全架构介绍 基于 “ 动态安全 ” 体系架构设计，构筑 “ 网络 + 安全 ” 稳固防线 “等级保护2.0解决方案”，基于“动态安全”架构， 将网络与安全进行融合，以合规为基础，面对用户合规和实际遇到的安全挑战，将场景化安全理念融入其中，为用户提供 “一站式”的安全进化。 国家网络安全等级保护工作进入 2.0时代 国家《网络安全法》于 2017年6月1日正式施行，所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。随着2019年5月13日《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》标准的正式发布，国家网络安全等级保护工作正式进入2.0时代。 等级保护 2.0关键变化 “信息安全”→“网络安全” 引入移动互联、工控、物联网等新领域 等保 2.0充分体现了“一个中心三重防御“的思想。一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。 被动防御 →主动防御 等级保护 2.0解决方案拓扑结构设计 安全管理中心 大数据安全 （流量 +日志） IT运维管理 堡垒机 漏洞扫描 WMS 等保建设咨询服务 建设要点 对安全进行统一管理与把控 集中分析与审计 定期识别漏洞与隐患 安全通信网络

等级保护发展历程 二十多年来，我国的计算机等级保护制度得到了完善的发展，并在各个行业中得到了切实的实践执行，对我国的网络信息安全具有重要的指导作用。今天，等级保护 2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。 等 级 保 护 1.0 ： 1994年，国务院颁布《 中华人民共和国计算机信息系统安全保护条例 》，规定计算机信息系统实行安全等级保护 等保 2.0 ： 2016年10月10日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代”。 下面来看下详细的发展历程： 等级保护 1.0时代： 1994年，国务院颁布《 中华人民共和国计算机信息系统安全保护条例 》，规定计算机信息系统实行安全等级保护。 2003年，中央办公厅、国务院办公厅颁发《 国家信息化领导小组关于加强信息安全保障工作的意见 》（中办发 [2003]27号）明确指出“实行信息安全等级保护”。 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。 2007年6月，四部门联合出台《 信息安全等级保护管理办法 》。

一些难懂的专业描述的实际含义 ： 未提供鉴别信息复杂度校验功能（ 即密码强度显示功能 ）。 未提供登录失败处理功能（ 即登陆失败指定次数之后锁定一段时间用户的功能 ）。 未采用密码技术保证通信过程中数据的完整性（ 即需要使用SSL，亦即至少登陆使用https链接 ）。 在通信双方建立连接之前，未利用密码技术进行会话初始化验证（ 同上，使用SSL ）。 未对通信过程中的敏感信息字段进行加密（ 同上，使用SSL ）。 未采取措施对鉴别信息和重要业务数据在传输过程中完整性受到的破坏进行检测（ 同上，使用SSL ）。 应用系统未提供自动保护功能（ 文件断点续传 ）。 未采用加密或其他保护措施实现鉴别信息的存储保密性（ 密码加密存储 ）。 存在跨站脚本高风险漏洞（ Cross Site Scripting，主要指直接将数据显示在页面中，未使用HtmlEncode处理显示的文本 ）。 我们的测评问题中暴露的一些值得大家注意的问题 （括号中为我的补充说明）： 数据库服务器操作系统未重命名administrator帐号，SQL Server数据库未重命名sa帐号（ 不要使用sa ）。 WEB服务器和数据库服务器操作系统帐户口令长度小于8位，均未设置口令强度策略，帐户勾选了密码永不过期属性。 服务器操作系统和SQL Server数据库未设置用户权限表，未依据安全策略控制用户对资源的访问。

根据《网络安全法》规定“国家实行网络安全等级保护制度”。等级保护作为我国在网络安全方面的基本制度将长期实行下去。等级保护2.0时代，行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。 据统计，全国网信系统2018年全年依法约谈网站1497家，对738家网站给予警告，暂停更新网站297家，会同电信主管部门取消违法网站许可或备案、关闭违法网站6417家。对于未能按要求完成等保工作的企业，踩雷后不仅要处罚企业，对于网络运营者也要进行相应的处罚。对于各类违规的APP、公众号等自媒体平台，情节严重者处以停止更新、下架、关停APP或账号等。 在2018年网络安全执法检查中，执法单位在约谈、处罚企业时，所依据的法律条款，大多出自于《网络安全法》中的网络安全等级保护制度。对于企业来说，想要避免踩雷就必须满足合规要求，首先要做的就是完成等保相关工作。 等保2.0之移动互联安全扩展要求解读 移动互联网在迅速发展带来的网络安全问题日益突出，等保技术体系的一个重要课题，便是如何对采用移动互联技术的等级保护对象进行定级和有效防护，《网络安全等级保护基本要求——移动互联安全扩展要求》明确描述了从技术要求和管理要求两个维度。 移动互联安全 扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求

什么叫等级保护？ 根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。 等级保护的来龙去脉 等级保护的推进过程 1、1994年 国务院颁布《 中华 ( 参数 | 图片 )人民共和国计算机信息系统安全保护条例》国务院[1994]147号 2、2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号 3、2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号 4、2006年1月四部委会签《信息安全等级保护管理办法（试行）》（公通字[2006]7号） 5、2007年6月四部委会签《信息安全等级保护管理办法》公通字[2007]43号 6、2017年6月1日中华人民共和国网络安全法 近年等级保护上升到法律层面才引起广泛重视。 扫一扫了解更多 来源： https://www.cnblogs.com/csj0907569-/p/11988705.html

为什么做等级保护2.0 第一，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 第二，等级保护是我国关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 第三，满足相关主管单位和行业要求； 第四，合理地规避或降低风险。 等级保护范围分等级非涉密对象的安全建设和监督管理。 等保测试通过后并不是一劳永逸的，三级每年要做一次，四级没半年一次。安全没有绝对，等保测评通过并不是就安全了，还要继续做评估，渗透等常规安全检查。 来源：51CTO 作者： qq_20139241 链接：https://blog.csdn.net/qq_20139241/article/details/101053042

一、等级保护内容框架 技术要求：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复 管理要求：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 二、等级保护二、三、四级内容 四级等保要求 三级等保要求 二级等保要求 8.1技术要求 8.1.1物理安全 8.1.1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁 8.1.1.2物理访问控制 并配置电子门禁系统 ，控制、鉴别和记录进入的人员 b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； d) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 8.1.1.3 防盗窃和防破坏 b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 应利用光、电等技术设置机房防盗报警系统 f) 应对机房设置监控报警系统。 8.1.1.4 防雷击 b) 应设置防雷保安器，防止感应雷； c) 机房应设置交流电源地线。 8.1.1.5 防火（G4） 机房应设置灭火设备和火灾自动报警系统。 b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)

等级保护 　　《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级： 　　　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 　　　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。 　　　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 　　　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 　　　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务特殊需求进行保护

随着2017年网络安全法的施行，等级保护制度上升为法律。 【法规要求】 《中华人民共和国网络安全法》在2017年6月1日施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。等级保护制度在今天已上升为法律，并在法律层面确立了其在网络安全领域的基础、核心地位，正如业内所言，不做等保就是违法了。 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 【主要内容】 网络安全法明确了等级保护工作的核心。 主要包括： （1）关键信息基础设施的定义： 第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 （2）关键信息基础设施的安全保护义务 第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。 第五十九条 运营者拒不改正或导致危害网络安全的