网络安全等级保护大数据基本要求

❶ 网络安全等级保护制度

关于网络安全等级的保护制度是：规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节，包括定级、备案、建设整改、等级测评、监督检查，网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
法律依据
《中华人民共和国网络安全法》 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

❷ 网络安全等级保护2.0国家标准

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害
相较于1.0版本，2.0在内容上到底有哪些变化呢？
1.0定级的对象是信息系统，2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。
再者，在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后，等保2.0标准不再强调自主定级，而是强调合理定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。
总结通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据：《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

❸ 要按照国家网络安全等级保护制度的要求

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
一、网络安全事件分为四级
1特别重大网络安全事件(I级,红色预警)、2重大网络安全事件(II级,橙色预警)、3较大网络安全事件(III级,黄色预警)、4一般网络安全事件(IV级,蓝色预警)。
二、我国网络安全等级保护制度的内容:
1、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;
2、采取防范危害网络安全行为的技术措施;
3、配备相应的硬件和软件检测、记录网络运行状态、网络安全事件，按照规定留存相关网络日志; 采取数据分类、重要数据备份和加密等措施
三、网络安全取决于:
1、网络设备的硬件安全
2、软件和信息安全
3、设备的访问控制
法律依据：
《中华人民共和国网络安全法》
第三条
国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

❹ 等保2.0标准

等保2.0新标准会对网络安全带来重要改变，等级保护工作也面临显着的变化，可从定级对象范围与可信计算的强化两方面了解，具体如下：

1、“等保2.0”新标准中，每一级都新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全5个扩展要求，以应对新兴技术安全需求。

2、相比“等保1.0”将定级对象统一定义为信息系统，《网络安全等级保护定级指南》对定级对象的具体范围根据扩展要求进行了细化，云计算平台方面，定级对象将区分为服务的提供方和租户方；物联网方面，感知、网络传输和处理应用等特征因素不单独定级，将作为一个整体进行评定；移动互联方面，移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级；大数据方面，安全责任主体相同的平台和应用将整体定级，除此之外为单独定级。

3、网络运营者在实施定级工作时，应当确定自身作为定级对象应当满足的基本特征，若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的，还应符合相应的要求。

4、《网络安全等级保护基本要求》中强化了可信计算，充分体现一个中心、三重防御的思想，由被动防御变成主动防御，并强化可信计算安全技术要求的使用；具体表现为在安全通信网络、安全区域边界、安全计算环境三个分类中，均增加了可信验证控制点。

❺ 网络安全等级保护2.0标准体系

等级保护2.0标准主要特点

首先，我们来看看网络安全等级保护2.0的主要标准，如下图：

说起网络安全等级保护2.0标准的特点，马力副研究员表示，主要体现在以下三个方面：

一是，对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

二是，分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

三是，强化可信计算。新标准强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间，对于可信验证的落地还存在诸多挑战。所以，我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力，把可信验证、可信计算这方面的产品产业化，来更好地支撑新标准。” 马力副研究员说到。

等级保护2.0标准的十大变化

随后，他为大家解读了等级保护2.0标准的十大变化，具体如下：

1、名称的变化

从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》，再改为《网安全等级保护基本要求》。

2、对象的变化

原来的对象是信息系统，现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。

3、安全要求的变化

由“安全要求”改为“安全通用要求和安全扩展要求”。

安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，成为安全扩展要求。

4、章节结构的变化

第三级安全要求的目录与之前版本明显不同，以前包含技术要求、管理要求。现在的目录包含：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。

对此，马力副研究员指出：“别小看只是目录架构的变化，这导致整个新标准的使用不同。1.0标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”

5、分类结构的变化

在技术部分，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

6、增加了云计算安全扩展要求

云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括：基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。

7、增加了移动互联网安全扩展要求

移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括：无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。

8、增加了物联网安全扩展要求

物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括：感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。

9、增加了工业控制系统安全扩展要求

工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括：室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。

10、增加了应用场景的说明

增加附录C描述等级保护安全框架和关键技术，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景，附录H描述大数据应用场景(安全扩展要求)。

等级保护2.0标准的主要框架和内容

为了让大家更为直观的了解等级保护2.0标准的主要框架和内容，我重点通过PPT来阐述。

首先来看看新标准结构：

2008版基本要求文档结构如下：

新基本要求文档结构如下：

安全通用要求中的安全物理部分变化不大，见下面：

网络试用版到***版被拆分了三个部分：安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候，再次强调了系统管理，审计管理，安全管理，构成新的标准内容。具体如下：

演讲***，马力副研究员对几个扩展要求进行了总结展示。他强调，GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》，并呼吁大家认真学习新版等保要求。

❻ 网络安全法对等保的要求是什么样的

办理网络安全等级保护备案的条件：