網路安全二級認證條件

1. 簡述網路安全的相關評估標准.

1 我國評價標准

1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級（GB3安全級）：除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問許可權，實現對訪問對象的強制保護。
l 第4級為結構化保護級（GB4安全級）：在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級（GB5安全級）：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國，信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始，自主制定和採用了一批相應的信息安全標准。但是，應該承認，標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距，使我國的信息安全標准化工作與國際已有的工作相比，覆蓋的范圍還不夠大，宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准

根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則（Trusted Computer Standards Evaluation Criteria，TCSEC），即網路安全橙皮書，一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如資料庫和網路）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性，安全標識
B
B1
標識的安全保護
強制存取控制，安全標識
B2
結構化保護
面向安全的體系結構，較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別，擁有這個級別的操作系統就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對於硬體來說，沒有任何保護措施，操作系統容易受到損害，沒有系統訪問限制和數據訪問限制，任何人不需任何賬戶都可以進入系統，不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護（Discretionary Security Protection）系統，它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護，如用戶擁有注冊賬號和口令，系統通過賬號和口令來識別用戶是否合法，並決定用戶對程序和信息擁有什麼樣的訪問權，但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外，應該具有訪問控制環境（Controlled Access Environment）權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權，而且還加入了身份認證等級。另外，系統對發生的事情加以審計，並寫入日誌中，如什麼時候開機，哪個用戶在什麼時候從什麼地方登錄，等等，這樣通過查看日誌，就可以發現入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外，還加入了身份認證級別，這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組，授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種：
（1）UNIX系統；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B級中有三個級別，B1級即標志安全保護（Labeled Security Protection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處於強制性訪問控制之下的對象，系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別，這種安全級別的計算機系統一般在政府機構中，比如國防部和國家安全局的計算機系統。
B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁碟、磁帶和終端）分配單個或者多個安全級別。
B3級，又叫做安全域（Security Domain）級別，使用安裝硬體的方式來加強域的安全，例如，內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級，又稱驗證設計（Verified Design）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證，而且必須進行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含義是：硬體和軟體在物理傳輸過程中已經受到保護，以防止破壞安全系統。橙皮書也存在不足，TCSEC是針對孤立計算機系統，特別是小型機和主機系統。假設有一定的物理保障，該標准適合政府和軍隊，不適合企業，這個模型是靜態的。

2. 信息安全等級保護二級的認證（等保二級）的流程

可以辦理的，公司辦理等保二級的流程是：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全滾掘兆保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

公司辦理等保二級的要求有兩個：

技術要求大租

1、物物理安全

2、網路安全

3、主機安全

4、應用安全

5、數據安全

管理要求

1、安全管理機構

2、安全管理制度

3、人員散蔽安全管理

4、系統建設管理

5、系統運維管理

證書案例

3. 鍗庝負璁よ瘉緗戠粶瀹夊叏鏄浠涔

緗戠粶瀹夊叏鏄鍗庝負璁よ瘉涓鐨勪竴涓鏂瑰悜錛屽崕涓虹綉緇滃畨鍏ㄨよ瘉浣撶郴涓涓昏佹湁hcia-Security銆丠CIP-Security銆丠CIE-Security涓変釜絳夌駭銆
HCIA-Security錛欻CIA-Security闇瑕佹帉鎻′俊鎮瀹夊叏姒傚康銆侀槻鐏澧橬AT鎶鏈銆侀槻鐏澧欏弻鏈虹儹澶囨妧鏈銆佷俊鎮瀹夊叏鏍囧噯涓庤勮寖銆佸叆渚甸槻寰℃妧絳夌煡璇嗐
HCIP-Security錛欻CIP-Security闇瑕佹帉鎻￠槻鐏澧欓珮鍙闈犳с佺綉緇淨oS綆＄悊銆佸簲鐢ㄥ畨鍏ㄩ槻鎶ゆ妧鏈銆乂PN楂樼駭搴旂敤銆佷簯瀹夊叏鎶鏈絳夌煡璇嗐
HCIE-Security錛欻CIE-Security闇瑕佹帉鎻″畨鍏ㄧ＄悊鎶鏈銆佷簯瀹夊叏涓庡畨鍏ㄨ繍钀ヤ笌鍒嗘瀽銆佸畨鍏ㄦ敾鍑諱笌闃插盡鎶鏈銆佸畨鍏ㄧ粍緗戣勫垝閮ㄧ講絳夌煡璇嗐
鎬葷粨錛氱綉緇滃畨鍏ㄦ槸鍗庝負璁よ瘉涓鐨勪竴涓鏂瑰悜錛屽崕涓虹綉緇滃畨鍏ㄨよ瘉浣撶郴涓涓昏佹湁hcia-Security銆丠CIP-Security銆丠CIE-Security涓変釜絳夌駭銆

4. 如果要走網路安全這方面,需要考哪些認證呢

一、NISP

NISP，全稱為國家信息安全水平考試，由我國的中國信息安全測評中心主辦，旨在培養網路安全人才。NISP一級面向全社會，是信息安全基礎知識普及的入門級證書；NISP二級則深入理論與專業信息安全知識培訓，適合從事網路信息類工作的人員。

報考NISP一級，16歲以上的中國公民均可報名。NISP二級則需具備NISP一級證書或具備相應的教育背景和社會工作經驗。

二、CISP

CISP，全稱為注冊信息安全專業人員，由中國信息安全測評中心認證，是信息安全領域最高認可的資質。CISP要求參加強制性的培訓課程，完成培訓並獲得授權培訓機構的合格證明後，方可參加考試。

申請CISP的條件較為嚴格，包括具備碩士研究生及以上學歷，擁有1年以上的相關工作經驗；或本科、大專學歷，分別需擁有2年、4年的工作經驗，以及至少1年的信息安全相關工作經歷。

三、NISP-PET

NISP-PET，即NISP三級證書（專項），在學習基礎理論和技能後，針對特定崗位提供實戰訓練，旨在培養具備崗位實操能力的專業人才。此證書持有者在滿足條件後，可免考試更換CISP證書。

四、CISP-PET

CISP-PET，全稱為注冊信息安全滲透測試工程師，是專門針對高級應用安全人才的認證，由中國信息安全測評中心頒發。此認證是國內唯一認可的滲透測試認證，強調理論與實踐結合，技能要求高。

5. 信息安全等級保護二級的認證（等保二級）的流程

具體備案流程如下：

確定對象

各行業主管部門、運營使用單位按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求，初步確定定級對象的安全保護等級。

備案材料准備

辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》。

專家評審與審批

初步確定信息系統安全保護等級和准備好備案材料後，運營使用單位或主管部門參照評審意見最後確定信息系統安全保護等級，形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時，由運營使用單位或主管部門自主決定信息系統安全保護等級。

信息系統運營使用單位有上級行業主管部門的，所確定的信息系統安全保護等級應當報上級行業主管部門審批同意。

備案材料提交及審核

定級備案單位將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》及上述配套材料提交屬地公安機關網安部門審核。對符合等級保護要求的，在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明；發現不符合本辦法及有關標準的，在收到備案材料之日起的10個工作日內通知備案單位予以糾正。