网络安全等级保护(信息安全等级保护各级别的区别)

1. 网络安全等级保护，信息安全等级保护各级别的区别？

网络信息系统安全等级保护分为五级，一级防护水平最低，最高等保为五级。

区别如下：

第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。

信息系统受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护(信息安全等级保护各级别的区别)

2. 如何落实网络安全等级保护制度？

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

网络安全等级保护分为以下五级，一至五级等级逐级增高:

第一级（自主保护级），网络和信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级（指导保护级），网络和信息系统受到破坏后，对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级（监督保护级），网络和信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级（强制保护级），网络和信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级（专控保护级），网络和信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

备注：现阶段普遍需要第三方测评机构测评的是第二级和第三级

3. 等级保护20国家标准？

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。

法律依据：《中华人民共和国网络安全法》

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

4. 你觉得网络安全大赛是什么？

网络安全大赛有很多形式和级别：但终归来讲最主要的意义在于培养安全人才。

比方说：通过举办CTF来培养网络安全人才，已经发展成为了国际网络安全圈的共识。

有一个趋势是，近几年，国际、国内的CTF赛事越来越多，举办方有些是有政府背景，比如韩国的 Codegate CTF；有些是安全会议牵头的，比如著名的 DEF CON CTF；有些是战队办的，比如PPP 的 PlaidCTF（这种最为常见）；有些是企业办的，比如腾讯的TCTF ，连续3年成为中国大陆唯一DEF CON CTF外卡赛授权，也就是说打进了TCTF国际赛的决赛，就能够直接晋级DEF CON CTF决赛，因此吸引了很多国际知名战队的参与。

除此之外，很多国内、国外企业，甚至是国家机构，还会专门举办面向内部员工的 CTF。从公开信息了解到，美国国防部从 2014 年开始举办名为“CyberStakes”的 CTF ，和网络安全人才培养计划直接挂钩。“CyberStakes”作为其中重要的训练环节，甚至还专门邀请曾经在CTF竞赛领域成绩出众的选手前来授课。

从CTF中走出来，收获的不止是技术

打CTF是非常好的安全技术能力训练方式。首先，CTF与计算机科学、信息安全紧密相关，比如逆向分析、漏洞挖掘与利用、Web安全或者密码学等。一般来说，优秀 CTF 选手在从事安全技术工作时也会有很大优势，在处理现实的安全问题时，可以运用到CTF当中的一些知识，而好的CTF赛事，题目质量更高，选手提升也会更快。

另一方面，研究安全技术过程中训练出来的思维能力是很有用处的。比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力等，这些能力的培养，不管是对专业的提升，还是对于职业能力的养成，都帮助非常大，即使以后不做安全，在其他领域也能融会贯通。

比如1996 年成立的黑客技术团体“w00w00”，成员中就出现了非常杰出的人物，包括WhatsApp 的联合创始人、Jan KoumNapster（世界最早的音乐共享平台）的联合创始人、Shawn FanningArbor Networks 的联合创始人、Dug SongNmap 的开发者等等，这个团体不是特别大，却人才辈出。

最后，不管你是不是安全相关专业，或者只是对安全感兴趣，想未来从事相关的工作，都建议能够参加一些CTF的赛事，并在比赛之余，找机会接触一下安全行业，了解行业里有哪些角色，了解每种角色需要什么技能，了解自己适合哪种岗位。这些积累，都会在将来的某一天，回馈给你意想不到的惊喜。