关键词:
网络安全等级保护 等级保护 等级保护原则
在上篇《[网络安全等级保护:什么是网络安全等级保护?]我们谈到了**《网络安全法》对等级保护的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。**将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因根据历史客观事实,介绍“信息安全等级保护制度”“网络安全等级保护制度”及“网络”“信息系统”“计算机信息系统”,虽然称谓不同,但本质是一致的。
所以,今天探讨等级保护制度的原则时,其来源是2004年的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)这个文件,所以在后面引述部分,我们依然依据原文的表述,而在解释或叙述部分,可能存在两类关键字的跳转的问题,在阅读时需要注意。在阅读本部分内容之前,我们要理解一下“等级保护制度”“等级保护工作”以及我们脑海里的“等级保护”概念的涵盖范围,这里探讨的是等级保护制度。
信息安全等级保护制度的原则
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:
(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。
(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
2.0解析:
第一个原则“明确责任,共同保护”。这里的描述基本上保留其原来意思,根据《网络安全法》将“信息系统”“网络”两个关键词进行与时俱进即可;
第二个原则“依照标准,开展保护”。在等级保护工作开展过程中,网络安全等级保护管理部门调整了原来的“自行定级”为“科学准确定级”,而“自行保护”则调整为“开展保护”,等级保护1.0和等级保护2.0之间在这里的一个比较大的变化。
第三个原则“同步建设,动态调整”除了关键字外,无变化。
第四个原则**“指导监督,重点保护”**。这个原则,在“指导监督”方面,暂无太大变动,但是“重点保护”的“重点”内容有了极大的扩展。在原来的基础上,将新技术新应用纳入等级保护范围,涵盖工控、大数据、云计算、物联网、移动安全等新内容,同时以“其他关系国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的网络和信息系统”将所有的信息系统。这样,根据《网络安全等级保护条例》(征求意见稿)中描述,除了“个人及家庭自建自用的网络除外”,统统纳入等级保护序列,内容覆盖面极大的扩展。同时,对关键信息基础设施的保护是建立在等级保护制度基础之上,也就是在等级保护2.0时代,这个重点将“关键信息基础设施”作为最重点内容,放到了等级保护保护的金字塔。
参考文件:
《网络安全等级保护条例》(征求意见稿)
《关于信息安全等级保护工作的实施意见》
《网络安全法和网络安全等级保护制度》
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。是一个系统性、体系性的工作。等级保护2.0时代,提出了新的要求,“三化六防”措施逐步在各层面落实落地,在学习和理解过程中,总有种常读常新的感觉。结合这几年的学习,重新再整理一次“网络安全等级保护”这个系列。期待着与朋友们又有一次深入交流与探讨。 |
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取