网络安全二级认证条件

1. 简述网络安全的相关评估标准.

1 我国评价标准

1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级（GB1安全级）：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级（GB2安全级）：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级（GB3安全级）：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。
l 第4级为结构化保护级（GB4安全级）：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。
l 第5级为访问验证保护级（GB5安全级）：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。
2 国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性，安全标识
B
B1
标识的安全保护
强制存取控制，安全标识
B2
结构化保护
面向安全的体系结构，较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种：
（1）UNIX系统；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。
B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。
B3级，又叫做安全域（Security Domain）级别，使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级，又称验证设计（Verified Design）级别，是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足，TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。

2. 信息安全等级保护二级的认证（等保二级）的流程

可以办理的，公司办理等保二级的流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全滚掘兆保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

公司办理等保二级的要求有两个：

技术要求大租

1、物物理安全

2、网络安全

3、主机安全

4、应用安全

5、数据安全

管理要求

1、安全管理机构

2、安全管理制度

3、人员散蔽安全管理

4、系统建设管理

5、系统运维管理

证书案例

3. 鍗庝负璁よ瘉缃戠粶瀹夊叏鏄浠涔

缃戠粶瀹夊叏鏄鍗庝负璁よ瘉涓镄勪竴涓鏂瑰悜锛屽崕涓虹绣缁滃畨鍏ㄨよ瘉浣撶郴涓涓昏佹湁hcia-Security銆丠CIP-Security銆丠CIE-Security涓変釜绛夌骇銆
HCIA-Security锛欻CIA-Security闇瑕佹帉鎻′俊鎭瀹夊叏姒傚康銆侀槻𨱔澧橬AT鎶链銆侀槻𨱔澧椤弻链虹儹澶囨妧链銆佷俊鎭瀹夊叏镙囧嗳涓庤勮寖銆佸叆渚甸槻寰℃妧绛夌煡璇嗐
HCIP-Security锛欻CIP-Security闇瑕佹帉鎻￠槻𨱔澧欓珮鍙闱犳с佺绣缁淨oS绠＄悊銆佸簲鐢ㄥ畨鍏ㄩ槻鎶ゆ妧链銆乂PN楂樼骇搴旂敤銆佷簯瀹夊叏鎶链绛夌煡璇嗐
HCIE-Security锛欻CIE-Security闇瑕佹帉鎻″畨鍏ㄧ＄悊鎶链銆佷簯瀹夊叏涓庡畨鍏ㄨ繍钀ヤ笌鍒嗘瀽銆佸畨鍏ㄦ敾鍑讳笌阒插尽鎶链銆佸畨鍏ㄧ粍缃戣勫垝閮ㄧ讲绛夌煡璇嗐
镐荤粨锛氱绣缁滃畨鍏ㄦ槸鍗庝负璁よ瘉涓镄勪竴涓鏂瑰悜锛屽崕涓虹绣缁滃畨鍏ㄨよ瘉浣撶郴涓涓昏佹湁hcia-Security銆丠CIP-Security銆丠CIE-Security涓変釜绛夌骇銆

4. 如果要走网络安全这方面,需要考哪些认证呢

一、NISP

NISP，全称为国家信息安全水平考试，由我国的中国信息安全测评中心主办，旨在培养网络安全人才。NISP一级面向全社会，是信息安全基础知识普及的入门级证书；NISP二级则深入理论与专业信息安全知识培训，适合从事网络信息类工作的人员。

报考NISP一级，16岁以上的中国公民均可报名。NISP二级则需具备NISP一级证书或具备相应的教育背景和社会工作经验。

二、CISP

CISP，全称为注册信息安全专业人员，由中国信息安全测评中心认证，是信息安全领域最高认可的资质。CISP要求参加强制性的培训课程，完成培训并获得授权培训机构的合格证明后，方可参加考试。

申请CISP的条件较为严格，包括具备硕士研究生及以上学历，拥有1年以上的相关工作经验；或本科、大专学历，分别需拥有2年、4年的工作经验，以及至少1年的信息安全相关工作经历。

三、NISP-PET

NISP-PET，即NISP三级证书（专项），在学习基础理论和技能后，针对特定岗位提供实战训练，旨在培养具备岗位实操能力的专业人才。此证书持有者在满足条件后，可免考试更换CISP证书。

四、CISP-PET

CISP-PET，全称为注册信息安全渗透测试工程师，是专门针对高级应用安全人才的认证，由中国信息安全测评中心颁发。此认证是国内唯一认可的渗透测试认证，强调理论与实践结合，技能要求高。

5. 信息安全等级保护二级的认证（等保二级）的流程

具体备案流程如下：

确定对象

各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，初步确定定级对象的安全保护等级。

备案材料准备

办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》。

专家评审与审批

初步确定信息系统安全保护等级和准备好备案材料后，运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

备案材料提交及审核

定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的，在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，在收到备案材料之日起的10个工作日内通知备案单位予以纠正。