等级保护基础知识.docVIP

等级保护基础知识 等级保护分为哪几级？哪些系统属于这些等级？这些等级都有哪些要求？ 回答:1-5级 第一级,信息系统受到破坏后,会对公民、法人与其她组织得合法权益造成损害,但不损害国家安全、社会秩序与公共利益。不需要备案,也没人管。 第二级,信息系统受到破坏后,会对公民、法人与其她组织得合法权益产生严重损害,或者对社会秩序与公共利益造成损害,但不损害国家安全。需要备案,必须至少测评一次。典型客户有:地级市委办局(处级)、小国企、二甲医院、普通高校、普教 第三级,信息系统受到破坏后,会对社会秩序与公共利益造成严重损害,或者对国家安全造成损害。 需要备案,至少每年测评一次,每年都会在安全检查得范围内。典型单位有:厅局级以上单位、金融、运营商、大国企、三甲医院、部属高校、公共平台、有大量(10万以上)会员信息得网站等。 第四级,信息系统受到破坏后,会对社会秩序与公共利益造成特别严重损害,或者对国家安全造成严重损害。特别重要得才有,省里一般很少,比如人民银行网站、12306等都就是四级。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。没有制定出对第五级得要求,所以也没有系统就是五级,这个级别就是预留得。 如何确定系统等级？ 系统等级就是通过该系统被破坏后造成得影响决定得,跟系统得安全防护程度、连不连互联网没关系,就是瞧系统被破坏后,破坏得就是她们本单位得利益还就是公共利益(所以某化妆品网站里存储了大量得会员信息,这个如果遭到破坏,损失得就就是公共利益)还就是国家安全(这个一般很少见),然后破坏程度就是一般、严重还就是非常严重。当然具体等级得时候,可以根据上级主管部门得要求与行业属性进行参考。 等级保护有哪些相关标准,作用就是什么？ 国务院147号令:首先提出分等级对信息系统进行保护得概念,提出了既不要不保护,也不要过保护,而就是要分等级保护。 GB17859,国家针对等级保护得一个强制标准,对等级保护得关键技术提出要求。 《基本要求》针对等级保护技术与管理共10个方面要满足得内容做出具体得要求。 《实施指南》规定了等级保护项目实施得流程。 《定级指南》规定了一个系统应该如何完成定级。 《测评准则》规定了测评中心进行测评得时候应该如何操作。 网络安全法草案规定了国家实行等级保护制度就是法律要求。 第十七条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度得要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权得访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度与操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒与网络攻击、网络入侵等危害网络安全行为得技术措施; (三)采取记录、跟踪网络运行状态,监测、记录网络安全事件得技术措施,并按照规定留存网络日志; (四)采取数据分类、重要数据备份与加密等措施; (五)法律、行政法规规定得其她义务。 网络安全等级保护得具体办法由国务院规定。 等级保护得五个规定动作就是什么？各个部分指得就是什么？ 定级:明确系统等级,自主定级,三级与三级以上系统需要专家评审。 备案:根据属地原则到属地公安局网安部门备案,全国联网型系统到公安部备案。 整改:我们刚拿到得信息安全等级保护建设服务资质就就是做这个。 测评:全国122家有测评资质得测评中心来做。 监督检查 等级保护得基本要求技术部分要求: 能够准确说出技术得5个方面与管理得5个方面; 能够说出物理安全10项中得4项,并解释这4项大概就是什么要求。 能够准确说出网络安全7项得要求,针对每项要求能够描述出大概意思。 能够准确说出主机安全7项要求,并解释清楚主机安全要求与网络安全要求得不同。 能够说出应用安全9项中得4项,并解释这4项大概就是什么要求。 能够准确说出数据安全及备份恢复3项得要求,针对每项要求能够描述出大概意思。 文档中黄色标注得,必须能背诵下来。 等级保护术语:等级保护、等保、等保测评、系统测评、系统定级、定级备案、差距分析、差距评估、整改方案、设计方案、等保咨询服务、预测评 杜绝出现:等保评测、系统评测、差距评测、等保评估、评测资质、评测中心 这个问题不要再问:深信服有没有测评资质？