网络安全等级保护基本要求
文章目录
- 网络安全等级保护的基本要求
- 一、等级保护基本要求的作用
- 二丶等级保护的基本保护能力
- 三丶等级保护基本要求的架构
- 四、等级保护各级基本要求架构
- 1.安全技术
- (1)物理安全
- (2)网络安全
- (3)主机安全
- (4)应用安全
- (5)数据安全
- 2.安全管理
- (1)安全管理制度
- (2)安全管理机构
- (3)人员安全管理
- (4)系统建设管理
- (5)系统运维管理
- 五、等级保护基本要求逐级增强的特点
- 1.控制点增加
- 2.要求项增强
网络安全等级保护的基本要求
一、等级保护基本要求的作用
根据《基本要求》可以指导以下三个单位对信息系统的安全保护、检测评估、监督检查。
二丶等级保护的基本保护能力
不同级别的信息系统,根据《基本要求》实施测评和保护,达到国家要求的标准线,拥有所属等级的基本保护能力。
第一级安全保护力
应具有能够对抗来自个人的,拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度弱,持续时间很短,系统局部范围等),以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。
第二级安全保护力
应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织),拥有很少资源(如个别人员能力,公开可获取或特定开发的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度一般,持续时间短,覆盖范围小(局部性)等),以及其他相当危害程度(无意识失误,设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护力
应具有能够对抗来自大型的,有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力,计算能力等)的威胁源发起的恶意攻击,较为严重的自然灾难(灾难发生的强度较大,持续时间较长,覆盖范围广(地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的较严重故障等)的威胁能力,并在威胁发生后,能够较快恢复绝大部分功能。
第四级安全保护力
应具有能够对抗来自国家级别的,敌对组织的,拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾难(灾难发生的强度大,持续时间长,覆盖范围广(多地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。
三丶等级保护基本要求的架构
例如
四、等级保护各级基本要求架构
1.安全技术
(1)物理安全
(2)网络安全
(3)主机安全
(4)应用安全
(5)数据安全
2.安全管理
(1)安全管理制度
(2)安全管理机构
(3)人员安全管理
(4)系统建设管理
(5)系统运维管理
五、等级保护基本要求逐级增强的特点
1.控制点增加
二级基本要求:
在一级的基本要求的基础上,
技术方面,二级要求在控制点上增加了物理位置的选择,防静电,电磁防护,网络安全审计,网络入侵防范,边界完整性检查,主机安全审计,主机资源控制,应用资源控制,应用安全审计,通信保密性以及数据保密性等。
管理方面,增加了审核和检查,管理制度的评审和修订,人员考核,密码管理,变更管理和应急预案管理等控制点。
三级基本要求:
在二级基本要求的基础上,
技术方面,在控制点上增加了网络恶意代码防范,剩余信息保护,软件容错,抗抵赖等。
管理方面,增加了系统备案,安全测评,监控管理和安全管理中心等控制点。
四级基本要求:
在三级基本要求的基础上,
技术方面,在系统和应用层面控制点上增加了安全标记,可信路径。
2.要求项增强
要求项增强的三种方式:
- 范围增大
- 要求细化
- 粒度细化
- 要求细化
范围增大
如,对物理安全的“防静电”,二级只要求 “关键设备应采用必要的接地防静电措施”;而三级则在对象的范围上发生了变化,为 “主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化
如,人员安全管理中的“安全意识教育和培训”,二级要求 “应制定安全教育和培训计划,对信息安全基础知识,岗位操作规程等进行培训”,而三级在对培训计划进行了进一步的细化,为 “应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化
如,网络安全中的“访问控制”,二级要求 “控制粒度为网段级”,而三级要求则将控制粒度细化,为 “控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样也增强了要求的强度。
网络安全等级保护基本要求相关推荐
- 计算机等级保护2.0标准,网络安全等级保护2.0标准情况-马力.pdf
网络安全等级保护2.0标准情况 公安部信息安全等级保护评估中心 马力 目录 等级保护2.0标准概况 基本要求-总体结构变化 基本要求-安全通用要求 基本要求-安全扩展要求 等级保护1. ...
- 金融行业信息系统信息安全等级保护实施指引_中国人民银行发布金融行业网络安全等级保护实施指引...
2020年11月11日,中国人民银行发布<金融行业网络安全等级保护实施指引>(以下简称"实施指引")系列标准,以及<金融行业网络安全等级保护测评指南>(以下 ...
- 网络安全等级保护测评高风险判定指引_等保知识|测评高风险项详解:安全管理中心...
"安全管理中心"是等级保护2.0标准新增的层面,其要求侧重在对设备运行状况.审计数据.安全策略.恶意代码.补丁升级.安全事件等集中式的分析与管控.<网络安全法>第二十一 ...
- 信息安全技术 网络安全等级保护测评要求_【诚资讯】等保2.0版本出炉!信息安全技术 网络安全等级保护基本要求正式发布...
2019年5月10日,<信息安全技术 网络安全等级保护基本要求>.<信息安全技术 网络安全等级保护测评要求>.<信息安全技术 网络安全等级保护安全设计技术要求>(以 ...
- 信息安全技术网络安全等级保护定级指南_行业标准 |报业网络安全等级保护定级参考指南V2.0发布,明确保护对象、定级要求...
近期,中国新闻技术工作者联合会正式发布<报业网络安全等级保护定级参考指南V2.0>. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探 ...
- 信息安全技术网络安全等级保护定级指南_报业网络安全等级保护定级参考指南V2.0发布...
近期,<报业网络安全等级保护定级参考指南V2.0>正式发布. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探讨后,在原<报业网 ...
- 信息安全技术网络安全等级保护基本要求-结构变化
总体结构的变化 特点1–对象范围扩大 新标准将云计算.移动互联.物联网.工业控制系统等列入标准范围,构成了"安全通用要求+安全扩展要求"的要求内容. 特点2–分类结构统一 新标准& ...
- 网络安全等级保护等级保护对象的安全保护等级
什么是等保? 2017年6月1号,<中华人民共和国网络安全法>出台,国家实行网络安全等级保护制度.网络安全等级保护以<中华人民共和国网络安全法>为法律依据,以2019年5月发布 ...
- 等保系列之——网络安全等级保护测评:工作流程及工作内容
一.网络安全等级保护测评过程概述 网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动.方案编制活动.现场测评活动.报告编制活动.而测评相关方之间的沟通与洽谈应贯穿整个测评过程.每一项活动有 ...
- 医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求
更多专业文档请访问 www.itilzj.com 「 编者按 」: 等保不是安全建设的唯一目标但是必须达到的目标,等保2.0对医疗行业提出了更高的要求.获得可持续的安全保障是安全建设的重要目标,网络安 ...
最新文章
- Semaphore 源码分析
- 使用机器学习预测天气_如何使用机器学习根据文章标题预测喜欢和分享
- 快速高效 | iOS身份证识别
- php获取jsp的session的值,在JSP或Servlet中获取session数量
- 大牛带你深入解读HashMap
- Spring高级之注解@ComponentScan详解(超详细)
- servlet的应用------request对象和bean实体的反射关系
- 这个大学时代的博客不在维护了,请移步到我的新博客
- JavaWeb图书管理系统+论文+答辩ppt
- 如何方便快速的在指定文件夹打开cmd
- 单片机C语言关键字之extern
- 如何解决苹果电脑键盘失灵的问题
- HTML+CSS打造简单的横向时间轴
- Linux系统搭建gitit wiki
- Kong Dashboard系列【三】添加插件----rate-limiting
- 2020年中国各省GDP简析
- AcWing 3565. 完美矩阵 (绝对值不等式)
- WindowsTool
- linux deploy目录形式,安装Linux Deploy
- 选好食用油,为健康加油!