前言
“ 三保一评共同构成了网络安全的多层次保护体系,确保网络和信息系统在不同场景下的安全需求得到满足。
网络安全领域,经常会听到“三保一评”的说法。很多非行内的小伙伴,甚至很多小伙伴都不太清楚“三保一评”具体指的是什么。今天我们就来聊一聊这个非常重要的“三保一评”。
“三保一评”指的是等保、分保、关保和密评。
一、等级保护介绍
等保,即网络安全等级保护。 指国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。
等级保护分为五级,分别是:
第一级(自主保护级)等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级)等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。适用于一般企业。
第三级(监督保护级)等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。适用于互联网医院平台、P2P金融平台、网约车平台、云服务商平台等重要系统。
第四级(强制保护级)等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。适用于地市级以上国家机关、企业、事业单位内部重要的信息系统测评。
第五级(专控保护级)等级保护对象受到破坏后,会对国家安全造成特别严重损害。适用于国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险等重要信息系统中的核心子系统,涉及国防、重大外交、航天航空、核能源、尖端科学技术等重要信息系统中的核心子系统。
等级保护的主要对象包括运营商和服务提供商(如电信、广电、移动、数据中心等)、重要行业(如铁路、银行、海关、税务、电力、民航、证券、保险、能源、财政、交通、文化等)和重要机关单位(如市(地)级以上党政机关的重要网站、办公系统等)。
二、分级保护介绍
分保,即涉密信息系统分级保护。指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护。各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
分级保护是指按照涉密信息系统所处理国家秘密信息的不同等级,将系统划分为秘密、机密、绝密三个等级,并分别采取不同强度的技术防护措施和管理模式进行保护。分级保护的主要目的是确保涉密信息系统的安全,防止信息泄露、篡改或丢失。
分级保护的重要性在于确保涉密信息系统的安全,防止信息泄露、篡改或丢失。涉密信息系统通常处理的是国家秘密信息,一旦这些信息被泄露或篡改,可能会对国家安全和利益造成严重损害。
分级保护的主要对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
*三、关基保护介绍*
关保,即关键信息基础设备保护。 关保针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
关保涉及关键信息基础设施和第三级以上网络的安全保护。根据相关法律法规,关保的对象包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络设施、信息系统。
根据相关法律法规和标准解读,关保是网络、数据监管与保护的分类分级模式的一部分,强调对关键信息基础设施和第三级以上网络的安全保护。关保是中国网络安全保护体系的一部分,结合了等保(等级保护)和关保的分类分级模式。尽管等保是基础,关保是重点保护,但二者没有直接的对应关系。
关键信息基础设施安全防护所需具备的能力包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。关保依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
关保的主要对象包括电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
*四、商用密码评估介绍*
密评,即商用密码应用安全评估。密评是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
商用密码应用安全评估是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
密评分为四个等级,由低到高分别是第一级、第二级、第三级和第四级。高一级的密评要求包含低一级的密评要求。比如第二级是在第一级的等级要求上,与要求信息系统具备身份鉴别、类数据安全保护的非体系化密码保障能力,可应对当前部分安全威胁。
密评的对象主要包括基础信息网络(如电信网、广播电视网、互联网)、涉及国计民生和基础信息资源的重要信息系统(如能源、教育、公安、交通、卫生等重要民生系统)、重要工业控制系统(如电力、石油、核能等)和面向党政机关的政务信息系统。
三保一评 共同构成了网络安全的多层次保护体系,确保网络和信息系统在不同场景下的安全需求得到满足。
1️⃣网络安全零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》文末免费下载