关键词:
网络安全等级保护 等级保护 网络 信息系统
旧话重提,一直以来,我们不断强调“等级保护”制度是我国的网络安全领域的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
什么是等级保护或安全等级保护?在谈等级保护过程中,我们此前也常常被信息安全等级保护和网络安全等级保护这两个术语困扰,以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事?那么如何区分呢?在谈论等级保护之前,我们有必要把这个问题先解答一下,这是众多运营者曾经在《网络安全法》颁布不久比较疑惑的地方,甚至是很多做等级测评工作的机构人员与单位也曾经疑惑的地方。
“安全等级保护”这个关键词,我们可以到1994年发布的《计算机信息系统安全保护条例》去寻找,另外该条例在2011年根据《国务院关于废止和修改部分行政法规的决定》做了一次修订。这是公开文件中,最具权威最早的描述**“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”**
在2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)中明确“实行信息安全等级保护”。提出了要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南,要重视信息安全风险评估工作等要求。
在2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字**〔2004〕**66号)中,是这样描述的:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这是第一次对等级保护有个较为全面的描述,此时公安部门已经出台多个GA标准支撑等级保护工作,如《计算机信息系统安全等级保护操作系统技术要求》GA/T 388-2002、《计算机信息系统安全等级保护管理要求》GA/T 391-2002等标准。但是此时,国家标准还未体系性的建设起来。
我们工作讨论最多的是**《信息安全等级保护管理》(**公通字〔2007〕43号),其实有关66号对等级保护已经做了许多安排,以“信息安全等级保护”的描述看其实是在给这个制度下定义,其对信息系统分等级实行安全保护,对信息安全产品的使用实行分等级管理,信息安全事件实行分等级响应、处置的制度。
这样我们发现,从信息系统、安全产品、安全事件三个维度去开展工作,当然这里又会延伸出不同部门和不同级别的事权,在此暂不做讨论。在66号文中,有句话**“依据标准,自行保护”,那么在落实“三同步”**时,其实只要有对应标准,则都需要依据标准去开展设计、建设、运行,而从信息系统、安全产品、安全事件三个维度考虑,其实我们现行的网络安全相关标准,都在支撑等级保护工作。
而“安全等级保护”前面置换了三次分别是:计算机信息系统、信息系统、网络。而这三次置换,其工作涵盖范围不断扩大和加深,又是我国网络安全工作体系一脉相承的。
网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。
网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。
将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因根据历史客观事实,介绍“信息安全等级保护制度”“网络安全等级保护制度”及“网络”“信息系统”“计算机信息系统”,虽然称谓不同,但本质是一致的。
等级保护1.0时代教程对其定义
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
等级保护2.0时代教程对其定义
网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
**“网络”**是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
计算机信息系统 | 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 |
信息系统 | 指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 |
网络 | 指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。 |
网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。是网络运营者促进网络安全的重要指标和抓手。
参考文件:
《计算机信息系统安全保护条例》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《关于信息安全等级保护工作的实施意见》
《信息安全等级保护管理》
《网络安全法和网络安全等级保护制度》
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。是一个系统性、体系性的工作。等级保护2.0时代,提出了新的要求,“三化六防”措施逐步在各层面落实落地,在学习和理解过程中,总有种常读常新的感觉。结合这几年的学习,重新再整理一次“网络安全等级保护”这个系列。期待着与朋友们又有一次深入交流与探讨。 |
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
:Qt的QComboBox与自定义的枚举类型的遍历绑定)
)
