网络安全等级保护制度介绍

注：此文章仅用于交流学习目的，资料来源于凯力安全本人做的一些零散的笔记，如有错误也欢迎指出。

蓝方：保护网络安全。 红方：模拟恶意攻击者，发起“攻击”是为了找出问题

两方侧重点不同，但都是通过渗透测试来找出网络薄弱处

等级保护的简单介绍（最简单的：防火墙）

包含有信息系统，安全产品，安全事件。分等级来保护，监控系统网络安全

信息资产重要程度越高，保护的等级也就越高

等保发展历程（等保1.0）

1994—2003:政府环境营造

2004—2006:工作开展准备

2007—2010:等保工作正式启动（标志）

2010—2016:工作规模推进（稳定推进）

等保2.0发展情况

修订等保1.0

2.0系列标准 工作编制（2017）（17年5月顶级指南）

等保2.0:19年5.13发布，12.1实施，宣布进入等保2.0时代

等保1.0和等保2.0时代的区别（从工作内容，保护方案，保护力度）

国家实行网络安全等级保护制度：对网络安全实施分等级保护，分等级监管（还会征求意见稿）

国内目前的情况：国内攻击水平很高，但防护水平相对很低

实行等保是一个很漫长的过程

等保的基本要求包括：基本要求，安全设计技术要求，测评要求

一个建议：对于毫不了解的行业，需要制定相应的方案，可以从行业参考标准入手，也可以从国家行业标准入手。

等级保护测评等级划分：

自主保护级：无需备案，对测评周期无要求

这样的信息系统受破坏后，是一般损害（如内部文档访问系统（可开放的资料））对国民生计无影响

指导保护级：需要在公安部门备案，建议两年测评一次。

受破坏后，会对公共利益造成一般损害。

监督保护级：需要备案，要求是每年测评一次。

受破坏后，会对公共利益造成严重损害，对公民法人造成特别严重的损害。

（指导保护级和监督保护级的测评费用是几万到十几万不等）

国内二级三级的居多。

强制保护级：需要备案，半年一次测评

受破坏后，会对国家安全造成严重损害，对社会秩序造成特别严重的损害。

以上的等级民营企业能够测评。

专控保护级：需要备案，特殊安全需求进行测评

民营测评机构遇不到，都是由国家机构进行测评

关键信息基础设施（涉及到民生的，由国企等管控）

不低于三级

等级保护制度测评是由上到下

而人才的培养使用是用下到上

对安全产品，信息安全事件，分等级管理/分等级响应

国内现在比较缺渗透人才，更缺管理型人才

网络安全中有各种安全需要我们保护

物理安全/网络安全/主机安全/应用安全/数据安全

管理要求：体现逻辑，是需要管理权限

例：物理上：可以对机房进行整改

网络上：可以有专业厂家来进行测评，同时进行一些必要的技术手段