带你读《网络安全等级保护2.0定级测评实施与运维》——2.2 网络安全标准体系

简介: 带你读《网络安全等级保护2.0定级测评实施与运维》——2.2 网络安全标准体系

2.2  网络安全标准体系

2.2.1 通用/基础标准


二十多年来,公安部牵头组织国内专家、安全企业制定了一系列网络安全等级保护标准,形成了网络安全等级保护标准体系,为中国网络安全等级保护实施工作提供了标准依据。


网络安全等级保护标准体系由等级保护过程中所需的所有标准组成,整个体系可以从多个维度分析。从基础分类角度出发,可以分为:基础标准、技术标准以及管理类标准;从对象角度出发,可以分为:基础标准、系统标准、产品标准、安全服务标准以及安全事件标准等;从网络安全等级保护生命周期出发,可以分为:通用 / 基础

标准、系统定级标准、建设标准、等级测评标准、运行维护及其他标准。本书作为信息安全项目实施规划设计指导用书,从网络安全等级保护生命周期角度对网络安全等级保护 2.0 主要相关标准进行梳理,便于读者理解。


1.《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《计算机信息系统安全保护等级划分准则》是强制性国家标准,也是等级保护的基础标准,以此为基础制定了网络安全等级保护技术类、管理类和产品类等标准,《计算机信息系统安全保护等级划分准则》是其他相关标准的基石。


2.《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)2019 年更新的《信息安全技术 网络安全等级保护实施指南》是网络安全等级保护 2.0 的核心标准之一。本标准说明了网络安全等级保护实施的基本原则,参与角色以及在信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止等主要阶段中应按照网络安全等级保护政策、标准要求实施等级保护工作内容。


2.2.2 系统定级标准


1.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)本标准替代了《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008),给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程,适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。


2.《信息安全技术 网络安全等级保护定级指南》(GA/T 1389-2017)定级是信息安全等级保护实施的首要环节,该标准综合考虑保护对象在国家安全、经济建设、社会生活中的重要程度,以及保护对象遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度等因素,提出确定保护对象安全保护等级的方法。该标准为公共安全行业标准,对《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)进行修改完善,将对公民、法人和其他组织的合法权益产生特别严重损害,调整到第三级;增加了云计算平台、大数据平台、物联网、工业控制系统、大数据的定级方法


2.2.3  建设标准


1.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)2019 年更新的《信息安全技术 网络安全等级保护基本要求》是网络安全等级保护 2.0 的核心标准之一。该标准在网络安全等级保护制度中非常关键,被广泛应用于各个行业的用户开展网络安全等级保护的等级测评、建设工作。该标准的主要内容包括网络安全等级保护技术通用要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。


2.《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)2019 年更新的《信息安全技术 网络安全等级保护安全设计技术要求》是网络安全等级保护 2.0 的核心标准之一。本标准针对等级保护对象突出安全计算环境设计技术要求、安全区域边界设计技术要求、安全通信网络设计要求、安全管理中心设计技术要求,以及针对无线移动接入、云计算、大数据、物联网和工业控制系统等新技术、新应用领域增加相应的安全设计要求等内容。


3.《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)

本标准对信息和信息系统的安全保护提出分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的 5 个等级上,有利于安全管理的实施、评估和检查。


4.《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)本标准规定了信息系统安全工程的管理要求,是对信息系统安全工程中所涉及的需求方、实施方以及第三方工程实施的指导性文件,各方可根据此文件建立安全工程


2.2.4  等级测评标准


1.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)2019 年更新的《信息安全技术 网络安全等级保护测评要求》是网络安全等级保护 2.0 的核心标准之一。该标准依据《信息安全技术 网络安全等级保护基本要求》规定了网络进行等级保护测试评估的内容和方法,用以规范和指导测评人员的等级测评活动。


2.《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012)该标准以测评机构为第三级网络的首次等级测评活动过程为主要线索,定义等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动 4 项工作,为等级测评机构、网络运营者在等级测评工作中提供指导。


2.2.5  运行维护及其他标准


1.《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)本标准描述了信息安全事件管理的全过程,提供了规划和制定信息安全事件管理策略和方案的指南,给出了管理信息安全事件和开展后续工作的相关过程和规程。


2.《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)本标准为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。


3.《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)本标准规定了信息系统灾难恢复应遵循的基本要求,可用于指导信息系统灾难恢复的规划和实施工作,也可用于信息系统灾难恢复项目的审批和监督管理。


4.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)本标准提出风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。


5.《信息安全技术 信息系统物理安全技术要求》(GB/T 21052-2007)本标准规定了信息系统物理安全分级技术的要求,适用于按 GB 17859-1999 的安全保护等级要求所进行的等级化的信息系统物理安全的设计和实现,按 GB 17859-1999 的安全保护等级的要求对信息系统物理安全进行的测试、管理可参照使用。


6.《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)本标准根据 GB 17859-1999 5 个安全保护等级划分,根据网络系统中的作用,规定各个安全等级的网络系统所需要的基础安全技术要求。本标准适用于按等级化的要求进行的网络系统的设计和实现,按等级化要求进行的网络系统安全的测试和管理可参照使用。受篇幅限制,本书未将所有网络安全标准罗列,读者可在相关网站查阅其他内容,网络安全等级保护相关标准体系架构如图 2-1 所示。


image.png

图 2-1 网络安全等级保护相关标准体系架构

相关文章
|
16小时前
|
存储 安全 算法
网络安全与信息安全:防御前线的关键技术与策略
【5月更文挑战第27天】在数字化时代,网络安全和信息安全已成为维护网络空间稳定的核心要素。本文深入探讨了网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性。通过分析当前网络威胁的类型和特点,文章提出了一系列针对性的技术措施和管理策略,旨在帮助读者构建一个更加安全的网络环境。
|
16小时前
|
存储 监控 安全
网络安全与信息安全:防御前线的科学与策略
【5月更文挑战第27天】在数字化时代,网络安全与信息安全已成为维护信息完整性、确保数据私密性和保障系统可用性的关键。本文深入探讨了网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性。通过对网络威胁的分析,我们揭示了多层次防御体系的构建方法,包括最新的加密算法和安全实践。此外,强调了教育和训练在形成坚固的安全防线中的作用。文章的目的是为读者提供一套全面的网络安全知识框架,帮助他们在不断变化的网络环境中保持警觉和应对能力。
|
16小时前
|
SQL 安全 算法
网络安全与信息安全:防护之道与实践策略
【5月更文挑战第27天】 在数字时代,网络安全和信息安全已成为维系现代社会运行的关键。本文将深入探讨网络安全的漏洞威胁、加密技术的进展以及提升安全意识的重要性。通过分析最新的网络攻击手段,我们揭示了当前信息系统面临的主要风险,并提供了一系列针对性的防御措施。同时,文章还着重介绍了如何通过加强加密技术和提高个人及组织的安全意识来构建更为坚固的信息防线。
|
17小时前
|
存储 安全 Java
Java中的异常处理:从基础到高级网络安全与信息安全:防范漏洞与强化意识
【5月更文挑战第27天】本文主要探讨了Java中的异常处理机制,从基础的try-catch-finally结构,到高级的自定义异常和异常链。我们将深入理解异常的概念,学习如何有效地处理异常,以及如何使用异常来提高代码的可读性和可维护性。 【5月更文挑战第27天】随着信息技术的迅猛发展,网络已成为社会运行的重要基础。然而,伴随而来的网络安全威胁也日益增多,尤其是安全漏洞的出现和利用,严重威胁着个人、企业乃至国家的信息资产安全。本文旨在分享关于网络安全漏洞的识别与防护方法、加密技术的应用以及提升个人和企业的安全意识等方面的关键知识,以帮助读者构建更为坚固的网络安全防线。
|
18小时前
|
SQL 存储 安全
网络安全与信息安全:防御前线的守护者
【5月更文挑战第27天】在数字化时代,数据成为了新的货币,而网络安全则是保护这种无形财富不受威胁的坚固盾牌。本文将深入探讨网络安全漏洞的概念、加密技术的重要性以及提升个人和企业的安全意识的必要性。通过对这些关键领域的分析,我们旨在为读者提供一个全面的安全知识框架,使他们能够更好地理解并应对网络空间的潜在风险。
|
19小时前
|
SQL 安全 网络安全
网络安全与信息安全:防护、加密与意识并重
【5月更文挑战第27天】在数字化时代,网络安全与信息安全已成为维护个人隐私和企业资料不被非法获取的重要保障。随着网络攻击手段的日益高级化,传统的防御措施已不足以应对复杂多变的安全威胁。本文将探讨网络安全漏洞的成因与危害,介绍当前加密技术的进展以及如何通过提高安全意识来构建更为坚固的信息防线。
|
1天前
|
监控 安全 物联网
网络安全与信息安全:防御前线的守护者
【5月更文挑战第26天】在数字化时代,每一次键入和点击都可能成为网络攻击的突破口。本文深入探讨网络安全漏洞的成因、加密技术的进展以及如何培养坚实的安全意识,以构筑一个更为安全的数字生活空间。通过分析当前网络威胁的特点,我们揭示保障信息安全的多层次策略,并提供实用的防护建议。
|
1天前
|
安全 算法 网络安全
网络安全与信息安全:防范漏洞、加强加密、提升安全意识
【5月更文挑战第26天】随着互联网的普及和信息技术的快速发展,网络安全和信息安全问题日益凸显。本文将探讨网络安全漏洞、加密技术以及安全意识等方面的内容,以期为读者提供一些关于如何保护自己和他人在网络世界中的安全的建议。
|
1天前
|
存储 SQL 安全
网络安全与信息安全:防御前线的科学与艺术
【5月更文挑战第26天】在数字化时代,数据成为了新的货币,而网络安全则是保护这些数据的金库。本文深入探讨了网络安全漏洞的成因、加密技术的进展以及安全意识的重要性,旨在为读者提供一个关于如何构建坚固网络防线的全面视角。通过对常见网络威胁的分析,我们将了解防御策略的必要性和实现方法,同时强调教育和培训在提升整体网络安全中的作用。
|
1天前
|
存储 监控 安全
网络安全与信息安全:防范漏洞、强化加密、提升意识
【5月更文挑战第26天】随着信息技术的迅猛发展,网络已成为日常生活和工作中不可或缺的一部分。然而,这也带来了前所未有的安全挑战。本文将深入探讨网络安全领域的关键议题,包括网络安全漏洞的识别与防御,加密技术的最新进展以及如何培养强大的网络安全意识。我们将分析当前的威胁景观,并分享实用的知识和策略,帮助读者构建更加安全的网络环境。

热门文章

最新文章