这个要看你指的是什么方面,如果从基础方面来讲,信息保密、网络加固、系统安全等都会涉及到相关的网络安全标准。 如果从更高的方面而言,网络安全的标准可以扩展到整个互联网的安全或者说骨干网络、路由等设备的安全等。 而上述的每个标准都是不一样的,建议去各个专业网络寻找资料:藏锋者网络安全: http://www.cangfengzhe.com
2. 网络安全等级保护2.0国家标准
等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害
相较于1.0版本,2.0在内容上到底有哪些变化呢?
1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。
再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。
总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据:《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
3. 请问网络安全方面的标准有哪些
前几天我朋友的电脑中了病毒,病毒感染了很多EXE文件,修复难度很大,无奈只好格式化掉,损失惨重。我的电脑很少中毒,至少在我知道的情况下我的电脑没用中过毒。消灭病毒的难度是很大的,但做好预防工作却是非常容易的。下面是我的一些做法,个人认为做好下面的措施,电脑中毒机会的就会是微乎其微,这些措施只针对Windows操作系统。
1、必须安装防火墙和杀毒软件
不管你是怎样的高手,这两种软件还是需要安装的。虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。杀毒软件我用的是金山毒霸,我觉得不错,建议安装金山毒霸!
防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时刻监视有无恶意程序在进行非法操作。
另外,一些流氓软件专杀也是非常有用的,比如360安全卫士,金山清理专家等。
2、为Administrator用户降权
在Windows操作系统里,Administrator是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由Administrator用户带来的安全问题。
Administrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经为时已晚了。
事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。
具体操作如下,先以一个非Administrator的管理员帐户登陆windows,然后打开:控制面板-管理工具-计算机管理-本地用户和组-用户,删除Administrator用户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。如图1所示。
这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实权的帐户。
3、禁止所有磁盘自动运行
如今U盘病毒盛行,稍不小心就会导致“格盘”。U盘病毒一般的运行机制是通过双击盘符自动运行,因此,禁用所有磁盘的自动运行是一种相当有效的预防手段。
具体的操作过程是:运行输入gpedit.msc-->用户配置-->管理模板-->系统,双击右侧列表里的关闭自动播放,选择“所有驱动器”,然后选择“已启动”。确定退出。
4、不双击U盘
如果你没用禁止所有磁盘自动运行,又或者你在别人的计算机上使用U盘,最好不要双击U盘。这很容易触发U盘病毒,最好的方法是先用杀毒软件扫描。
U盘里的病毒一般清除方法是,通过资源管理器进去看看U盘里有无autorun.inf文件,通常是隐藏的。删除autorun.inf文件以及它所指向的程序,然后重新拔插U盘。
5、经常检查开机启动项
经常在运行里输入msconfig查看启动项,发现有异常的马上在网上找资料,看看是不是病毒。当然,你不一定要用msconfig,超级兔子等软件也是非常不错的。如图2所示。
6、经常备份重要数据
一些重要的数据,必须经常备份,例如重要的图片、个人信息等等。我大概一个月会刻录一次重要的资料,以防万一。
7、使用GHOST
经常使用Ghost备份操作系统盘,遇到严重问题时直接恢复整个系统盘,这是懒人的做法,懒得找病毒的隐藏地,但同时也是高效快捷的方法。问题是你必须经常使用Ghost进行备份,不然你恢复系统盘也会有所损失,至少损失了最近安装的程序(的注册信息)。
8、隐私文件要加密
使用一些加密程序加密那些你认为不能暴露于公众的文件,网上有很多这样的免费软件。不要以为隐藏了文件就行,隐藏只是一种自欺欺人的方式,加密了,即使你有类似“陈冠希”的照片也不会太危险。
9、使用Google
之所以推荐使用Google不是因为我对Google的偏爱,而是Google搜索里提供的网站安全信息提示。当搜索结果的某网页里含有病毒或木马时,Google会给出提示。
10、使用Firefox
Firefox不是万能的,但总比IE好,相比起IE,使用Firefox能有效地降低中毒几率。
11、使用复杂的密码
这是老生常谈的话题了,但还有很多人使用简单的数字密码,例如生日、身份证号等等,这是极容易被猜测的。“放心,我的生日只有我的朋友知道”,谁说你的朋友一定不会窥看你的隐私?
12、不要告诉任何人你的密码
在聊天工具里告诉别人你的密码你将面临4种风险:
A、你的电脑可能被挂马,密码被窃取了。
B、聊天工具提供商也有可能窃取你的密码。
C、聊天对方有可能利用你对他的信任去做不诚实的行为。
D、聊天对方的电脑中毒了,你的密码被窃取。
13、不要随便接收文件
尤其是在QQ里,别人发来文件,不要二话不说就接收,这是很危险的。一定要问清楚别人发的是什么东西,是不是他主动发的。接收后也不要马上运行,先用杀毒软件扫描一遍。
4. 网络安全等级保护级别
网络信息系统安全等级保护分为五级,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,五级防护水平一级最低,五级最高。
网络安全等级保护级别具体介绍?
1、第一级(自主保护级),会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
2、第二级(指导保护级),会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
3、第三级(监督保护级),会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
4、第四级(强制保护级),会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
5、第五级(专控保护级),会对国家安全造成特别严重损害。
国家质量技术监督局标准规定了计算机信息系统安全保护能力的五个等级:
第一级:用户自主保护级,?第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级。
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
总结网络安全等级保护的级别划分是根据网络系统在国家安全、经济建设、社会生活中的重要程度,以及网络系统遭到破坏后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益
法律依据:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取
5. 网络安全等级保护2.0标准体系
等级保护2.0标准主要特点
首先,我们来看看网络安全等级保护2.0的主要标准,如下图:
说起网络安全等级保护2.0标准的特点,马力副研究员表示,主要体现在以下三个方面:
一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间,对于可信验证的落地还存在诸多挑战。所以,我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,来更好地支撑新标准。” 马力副研究员说到。
等级保护2.0标准的十大变化
随后,他为大家解读了等级保护2.0标准的十大变化,具体如下:
1、名称的变化
从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》,再改为《网安全等级保护基本要求》。
2、对象的变化
原来的对象是信息系统,现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
3、安全要求的变化
由“安全要求”改为“安全通用要求和安全扩展要求”。
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展要求。
4、章节结构的变化
第三级安全要求的目录与之前版本明显不同,以前包含技术要求、管理要求。现在的目录包含:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
对此,马力副研究员指出:“别小看只是目录架构的变化,这导致整个新标准的使用不同。1.0标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”
5、分类结构的变化
在技术部分,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
7、增加了移动互联网安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
9、增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括:室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
10、增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景(安全扩展要求)。
等级保护2.0标准的主要框架和内容
为了让大家更为直观的了解等级保护2.0标准的主要框架和内容,我重点通过PPT来阐述。
首先来看看新标准结构:
2008版基本要求文档结构如下:
新基本要求文档结构如下:
安全通用要求中的安全物理部分变化不大,见下面:
网络试用版到***版被拆分了三个部分:安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候,再次强调了系统管理,审计管理,安全管理,构成新的标准内容。具体如下:
演讲***,马力副研究员对几个扩展要求进行了总结展示。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。
6. 简述网络安全的相关评估标准.
1 我国评价标准
1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级(GB1安全级):它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级(GB2安全级):除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级(GB3安全级):除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
l 第4级为结构化保护级(GB4安全级):在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
l 第5级为访问验证保护级(GB5安全级):这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。
2 国际评价标准
根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性,安全标识
B
B1
标识的安全保护
强制存取控制,安全标识
B2
结构化保护
面向安全的体系结构,较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种:
(1)UNIX系统;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3级,又叫做安全域(Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。