一文彻底读懂信息安全等级保护:包含等保标准、等保概念、等保对象、等保流程及等保方案(附:等保相关标准文档)

1. 什么是等级保护?

1.1. 概念

信息安全等级保护是指根据我国《信息安全等级保护管理办法》的规定,对各类信息系统按照其重要程度和保密需求进行分级,并制定相应的技术和管理措施,确保信息系统的安全性、完整性、可用性。根据等级不同,信息安全等级保护分为一到五级,一级为最低级别,五级为最高级别。等级越高,保护要求越严格,技术和管理措施也相应加强。

定级依据对受侵害的客体和对客体的侵害程度,具体如下图:

定级要素与安全保护等级的关系

级别说明:

  • 第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
  • 第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  • 第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
  • 第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  • 第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。

例如,对于国家机密信息的保护,需要采取更高级别的信息安全等级保护措施,比如使用密码学算法进行数据加密和数字签名验证、限制访问权限、使用安全审计等技术和管理措施。而对于一些普通的商业信息,则可以采取较低级别的信息安全等级保护措施。

1.2. 等级保护制度

《中华人民共和国网络安全法》(后文简称《网安法》)第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

1.3. 重点保护范围

《网安法》第三十一条给出了等保的重点保护范围,具体如下:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

1.4. 法律责任

《网安法》第五十九条给出了等保的重点保护范围,具体如下:

  • 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款
  • 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款

2. 为什么要开展等级保护?

《中华人民共和国网络安全法》(简称《网安法》)明确了网络运营者、网络产品和服务提供者的安全义务,确立了网络安全等级保护的法律地位,建立了关基安全保护制度。通过开展等保可以:

  • 防范和减少信息泄露风险:通过等保的实施,能够对信息系统进行全面的安全评估,并采取必要的技术和管理措施来减少信息泄露风险。

  • 防范和减少网络攻击风险:等保的实施可以提升信息系统的安全性,从而有效地防范和减少网络攻击风险。

  • 加强网络安全监管:等保的实施需要依据一定的标准和要求进行评估和等级划分,能够更好地加强对信息系统的监管和管理。

  • 促进企业信息化建设:等保的实施有助于企业加强对信息系统的管理和运维,提升信息系统的安全性和可靠性,从而更好地促进企业信息化建设。

3. 如何开展等级保护?

开展等级保护主要有以下五个环节:

  • 1. 系统定级:信息系统运营单位按照《网络安全等级保护定级指南》,自行定级三级以上系统定级结论需进行专家评审,是等保的首要环节
  • 2. 系统备案:信息系统定级申报获得通过后,30日内到公安机关办理备案手续,是等保工作的必要流程
  • 3. 建设整改:根据等保有关规定和标准,对信息系统进行安全建设整改,是等保工作落实的关键
  • 4. 等级测评:信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。等级测试是评价安全保护状况的方法
  • 5. 监督检查:当地网监定期进行监督检查,是等保工作的外在动力

4. 等级保护技术方案

根据定级和差距分析的结果 进行总体方案设计时需要:

  • 分析用户的安全需求;
  • 根据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计技术要求》及《信息安全技术 信息系统安全等级保护实施指南》等标准在满足客户在技术和管理层面的安全需求前提下进行安全规划与设计。

技术方案参考文档如下(下载链接访问密码:6277):

  • GBT 22239-2019 信息安全技术 网络安全等级保护基本要求.pdf
  • GBT 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求.pdf
  • GBT 25058-2010 信息安全技术 信息系统安全等级保护实施指南.pdf
  • GBT 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
  • GBT 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南.pdf
  • GBT 22240-2008 信息系统安全等级保护定级指南.pdf

在这里插入图片描述

5. 参考

[1] 华为云等保安全服务流程
[2] https://support.huaweicloud.com/ctc_faq/ctc_01_0046.html


推荐阅读:

  • 信安标委发布16项网络安全国家标准:8项为旧标准替代,8项标准为新发布
  • 解读《中华人民共和国网络安全法》:所有IT从业者都应知应懂

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/611129.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[C++][数据结构]哈希2:开散列/哈希桶的介绍和简单实现

前言 接着上一篇文章,我们知道了闭散列的弊端是空间利用率比较低,希望今天学习的开散列可以帮我们解决这个问题 引入 开散列法又叫链地址法(开链法),首先对关键码集合用散列函数计算散列地址**,具有相同地址的关键码归于同一子…

数据库表自增主键超过代码Integer长度问题

数据库自增主键是 int(10) unsigned类型的字段,int(M) 中 M指示最大显示宽度,不代表存储长度,实际int(1)也是可以存储21.47亿长度的数字,如果是无符号类型的,那么可以从0~42.94亿。 我们的表主键自增到21.47亿后&#…

英语学习笔记3——Sorry, sir.

Sorry, sir. 对不起,先生。 词汇 Vocabulary umbrella n. 伞,保护伞 注意读音 [ʌm’brelə] 英国人离不开雨伞。 please 请 特殊用法:让路(升调)      用餐礼仪(平调)      求求你…

大数据信用和征信报告的区别和联系,一定不要搞混了!

在当今数据驱动的社会,大数据的应用已经深入到各个领域。其中,大数据信用和征信报告成为金融、经济等领域中两个重要的概念。那么,大数据信用和征信报告有什么区别和联系呢? 一、定义与区别 1、大数据信用 大数据信用是指利用大数据技术&…

鸿蒙OpenHarmony技术:【Docker编译环境】

Docker环境介绍 OpenHarmony为开发者提供了两种Docker环境,以帮助开发者快速完成复杂的开发环境准备工作。两种Docker环境及适用场景如下: 独立Docker环境:适用于直接基于Ubuntu、Windows操作系统平台进行版本编译的场景。基于HPM的Docker环…

数学:人工智能领域的基石与灵魂

在科技日新月异的今天,人工智能(AI)已经渗透到了我们生活的方方面面,从智能家居、智能医疗到自动驾驶、智能客服,AI无处不在。然而,当我们赞叹于AI的神奇时,却往往忽视了其背后的推动力——数学…

2024.5.10

TCP服务器端 #include "widget.h" #include "ui_widget.h"Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget) {ui->setupUi(this);//设置窗口大小和窗口大小固定this->resize(727,879);this->setFixedSize(727,879);//创建…

泰尔指数和泰尔指数模型:代码、案例及复现

泰尔指数模型是衡量个人或地区收入差距的重要工具。参考朱红根(2023年)老师的方法,《农业经济问题》使用泰尔指数分析了中国不同地区数字乡村发展水平的差异。该资料包括了Stata全流程代码、案例数据、参考文献,并提供了Excel计算…

解决mybatis的配置文件没代码提示的问题

1.将org.apache.ibatis.builder.xml包里的两个dtd文件复制出来,jar包里复制 2.复制dtd的url地址: http://mybatis.org/dtd/mybatis-3-mapper.dtd 一样的做法! 3.关闭两个配置文件,重新打开,就可以有代码提示了&…

【Linux】Linux——Centos7安装Tomcat

1.下载Tomcat 安装包 官网地址:Apache Tomcat - Apache Tomcat 9 Software Downloadshttps://tomcat.apache.org/download-90.cgi 2.将下载的安装包上传到 Xftp 上,我是直接放到 usr 下了 3.将安装包解压到 /usr/local/ tar -zxvf apache-tomcat-9.0.8…

Java入门——类和对象(上)

经读者反映与笔者考虑,近期以及往后内容更新将主要以java为主,望读者周知、见谅。 类与对象是什么? C语言是面向过程的,关注的是过程,分析出求解问题的步骤,通过函数调用逐步解决问题。 JAVA是基于面向对…

c++:(map和set的底层简单版本,红黑树和AVL树的基础) 二叉搜索树(BST)底层和模拟实现

文章目录 二叉搜索树的概念二叉搜索树的操作二叉搜索树的查找find 二叉搜索树的模拟实现构造节点insertfinderase(细节巨多,面试可能会考)a.叶子节点b.有一个孩子左孩子右孩子 c.有两个孩子注意: erase代码 中序遍历 二叉搜索树的应用k模型k模型模拟实现的总代码 k-value模型k-…

Python语言基础学习(上)

目录 一、常量和表达式 二、变量和类型 2.1 认识变量 2.2 定义变量 2.3 变量类型 1、整数 int 2、浮点数(小数)float 3、字符串 str 4、布尔类型 2.4 类型转换 三、注释 3.1 单行注释 3.2 文档注释(或者多行注释) …

Java解决垂直鉴权问题(对垂直权限进行校验)

Java解决垂直鉴权问题(对垂直权限进行校验) 文章目录 Java解决垂直鉴权问题(对垂直权限进行校验)前言一、垂直鉴权是什么?二、实现过程1.新建接口权限菜单映射表2.项目初始化时加载接口菜单映射关系3.自定义过滤器拦截…

【LLM 论文】Chain-of-Verification:通过验证链来减少 LLM 幻觉

论文:Chain-of-Verification Reduces Hallucination in Large Language Models ⭐⭐⭐ arXiv:2309.11495 论文速读 LLM 由于不可避免地会产生幻觉,现有的研究主要鼓励 LLM 在产生 response 之前生成内部思想的推理链,或者通过 self-critique…

使用leafletjs实现地图洋流、风场气象6要素地图标注、等值面图

前期实现的功能由于数据失效无法显示效果,今天重新对接一个数据源进行展示,实现效果如下图: 访问地址:可视化三维 GIS 特效 - 沉浸式视觉体验呈现令人惊叹的三维 GIS 特效,提供沉浸式视觉体验。https://www.wheart.cn/…

HTTP有哪些失败原因?怎么处理?

在我们日常的网络活动中,http协议是不可或缺的,它负责在互联网上传输数据。然而,在使用HTTP协议进行数据传输时,我们可能会遇到一些失败的情况。这些失败的原因多种多样,包括但不限于服务器问题、网络问题、客户端问题…

RobbitMQ基本消息队列的消息发送过程

RabbitMQ: One broker to queue them all | RabbitMQ RabbitMQ官网 SpringAmqp的官方地址:Spring AMQP 代码示例:对着代码看应该能看明白 publisher:消息发送者的代码示例 package cn.itcast.mq.helloworld;import com.rabbitmq.client.Channel; import com.rabb…

Agent AI智能体的未来:无限可能

文章目录 终结者智能体正反影响自我意识开放心态 终结者 还记得那场人类与天网之间的史诗般的战斗吗?-- 《终结者》系列电影。 《终结者》系列电影是一部标志性的科幻动作系列,以紧张刺激的情节、令人难忘的角色和开创性的视觉效果而闻名。 电影探讨了…

中国地形可调节高度-UE5-UE4

2000坐标系,可进行高度调整。 支持版本4.21-5.4版本 下载位置:https://mbd.pub/o/bread/ZpWZm5Zs