二级、三级等保测评内容有何区别？

01

测评依据

在《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239 - 2019）中，针对不同等级信息系统的安全功能与措施作出了具体要求。信息安全等级测评需依据信息系统的等级，从中遴选相应等级的安全测评指标，并遵循《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）对信息系统的安全现状予以评估。

等级保护测评对象繁多，包括数据机房、安全设备、网络设备，服务器设备、终端设备，系统管理软件，业务应用系统、安全相关人员、管理文档等内容。

*02

测评内容

等级保护测评分为安全技术测评和安全管理测评2大类。其中安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面；安全管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个层面。

03

等级保护二级

**测评对象****：**

依据《信息安全技术网络安全等级保护测评过程指南》（GB∕T 28449-2018）中测评对象确定：第二级定级对象的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。

**测评指标：**

 根据定级结果，等级保护二级的安全测评指标包括《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）“第二级安全要求”中的安全通用要求。

安全通用要求指标如下：

安全类	安全控制点	测评项数
安全物理环境	物理位置选择	2
	物理访问控制	1
	防盗窃和防破坏	2
	防雷击	1
	防火	2
	防水和防潮	2
	防静电	1
	温湿度控制	1
	电力供应	2
	电磁防护	1
安全通信网络	网络架构	2
	通信传输	1
	可信验证	1
安全区域边界	边界防护	1
	访问控制	4
	入侵防范	1
	恶意代码防范	1
	安全审计	3
	可信验证	1
安全计算环境	身份鉴别	3
	访问控制	4
	安全审计	3
	入侵防范	5
	恶意代码防范	1
	可信验证	1
	数据完整性	1
	数据备份恢复	2
	剩余信息保护	1
	个人信息保护	2
安全管理中心	系统管理	2
	审计管理	2
安全管理制度	安全策略	1
	管理制度	2
	制定和发布	2
	评审和修订	1
安全管理机构	岗位设置	2
	人员配备	1
	授权和审批	2
	沟通和合作	3
	审核和检查	1
安全管理人员	人员录用	2
	人员离岗	1
	安全意识教育和培训	1
	外部人员访问管理	3
安全建设管理	定级和备案	4
	安全方案设计	3
	产品采购和使用	2
	自行软件开发	2
	外包软件开发	2
	工程实施	2
	测试验收	2
	系统交付	3
	等级测评	3
	服务供应商选择	2
安全运维管理	环境管理	3
	资产管理	1
	介质管理	2
	设备维护管理	2
	漏洞和风险管理	1
	网络和系统安全管理	5
	恶意代码防范管理	3
	配置管理	1
	密码管理	2
	变更管理	1
	备份与恢复管理	3
	安全事件处置	3
	应急预案管理	2
	外包运维管理	2
安全通用要求指标数量统计		135

04

等级保护三级

**测评对象：**

依据《信息安全技术网络安全等级保护测评过程指南》（GB∕T 28449-2018）中测评对象确定：第三级定级对象的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。

**测评指标：**

 根据定级结果，等级保护三级的安全测评指标包括《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）“第三级安全要求”中的安全通用要求。

安全通用要求指标如下：

安全类	安全控制点	测评项数
安全物理环境	物理位置选择	2
	物理访问控制	1
	防盗窃和防破坏	3
	防雷击	2
	防火	3
	防水和防潮	3
	防静电	2
	温湿度控制	1
	电力供应	3
	电磁防护	2
安全通信网络	网络架构	5
	通信传输	2
	可信验证	1
安全区域边界	边界防护	4
	访问控制	5
	入侵防范	4
	恶意代码和垃圾邮件防范	2
	安全审计	4
	可信验证	1
安全计算环境	身份鉴别	4
	访问控制	7
	安全审计	4
	入侵防范	6
	恶意代码防范	1
	可信验证	1
	数据完整性	2
	数据保密性	2
	数据备份恢复	3
	剩余信息保护	2
	个人信息保护	2
安全管理中心	系统管理	2
	审计管理	2
	安全管理	2
	集中管控	6
安全管理制度	安全策略	1
	管理制度	3
	制定和发布	2
	评审和修订	1
安全管理机构	岗位设置	3
	人员配备	2
	授权和审批	3
	沟通和合作	3
	审核和检查	3
安全管理人员	人员录用	3
	人员离岗	2
	安全意识教育和培训	3
	外部人员访问管理	4
安全建设管理	定级和备案	4
	安全方案设计	3
	产品采购和使用	3
	自行软件开发	7
	外包软件开发	3
	工程实施	3
	测试验收	2
	系统交付	3
	等级测评	3
	服务供应商选择	3
安全运维管理	环境管理	3
	资产管理	3
	介质管理	2
	设备维护管理	4
	漏洞和风险管理	2
	网络和系统安全管理	10
	恶意代码防范管理	2
	配置管理	2
	密码管理	2
	变更管理	3
	备份与恢复管理	3
	安全事件处置	4
	应急预案管理	4
	外包运维管理	4
安全通用要求指标数量统计		211

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！