第一章 网络安全概念及规范
文章目录
- 一、网络安全
- 1、定义
- 1.1、广义的网络安全定义
- 1.2、狭义的网络安全定义
- 2、常见威胁
- 3、零信任安全架构(Zero Trust Architecture, ZTA)
- 3.1、定义
- 3.2、核心理念
- 3.3、三大原则
- 3.4、部署模式
- 3.5、国际标准与框架支持
- 3.6、为什么零信任成为主流?
- 二、网络安全发展历程与趋势
- 1、网络安全发展历程
- 1.1、通信安全时期
- 1.2、信息安全时期
- 1.3、信息保障时期
- 1.4、网络空间安全时期
- 1.5、四大时期的演进总结对比表
- 2、网络安全发展趋势
- 2.1、核心技术趋势
- 2.2、新型防护理念演进
- 2.3、政策与生态趋势
- 2.4、未来展望
- 2.5、网络安全发展的五大方向
- 三、信息安全标准与规范
- 1、信息安全标准概述
- 2、ISO/IEC 27001信息安全管理体系(ISMS)
- 2.1、什么是ISO/IEC 27001
- 2.2、五大阶段(PDCA模型)
- 2.3、应用场景
- 3、等级保护
- 3.1、什么是等级保护
- 3.2、法律与政策依据
- 3.3、等级划分
- 3.4、等保实施五大流程(PDCA循环支撑)
- 3.4.1、定级
- 3.4.2、备案
- 3.4.3、建设整改
- 3.4.4、等级测评
- 3.4.5、监督检查
- 3.5、等保2.0核心
- 3.6、应用场景
- 3.7、常见误区
- 3.8、等保与其他标准对比
一、网络安全
1、定义
1.1、广义的网络安全定义
广义上的网络安全 是指保护网络空间中所有信息资产的完整性、保密性和可用性(即 CIA 三要素),涵盖硬件、软件、数据、用户、服务以及整个信息系统的安全。它不仅包括技术层面的防护,还涉及管理、法律、政策、人员意识等多个维度。
🔹 一句话定义:
广义网络安全是指保障网络环境中的信息系统和数据在存储、传输和使用过程中免受威胁、攻击、泄露、篡改或破坏的综合性安全保障体系。
1.2、狭义的网络安全定义
狭义上的网络安全 特指对网络通信过程的安全防护,主要关注 网络层及以下层级(如物理层、数据链路层、网络层、传输层)的数据传输安全,重点在于防止未经授权的访问、窃听、篡改和中断。
🔹 一句话定义:
狭义网络安全是指通过技术手段保障网络通信过程中数据的机密性、完整性和可用性,防止网络层面的攻击与非法访问。
2、常见威胁
| 威胁类型 | 攻击方式 | 防御措施 |
|---|---|---|
| 恶意软件 | 下载运行恶意程序 | 安装杀毒软件、禁用宏、最小权限 |
| 网络钓鱼 | 伪造页面获取凭证 | 用户教育、多因素认证(MFA) |
| DDoS | 流量洪泛 | CDN、WAF、限流机制 |
| SQL注入 | 构造恶意输入 | 参数化查询、输入验证 |
| 中间人攻击 | 窃听通信 | HTTPS、证书校验、HSTS |
| 供应链攻击 | 污染依赖包 | 依赖审计、SBOM、签名验证 |
| 内部威胁 | 权限滥用 | 日志审计、DLP、职责分离 |
| 云配置错误 | 开放存储桶 | 自动化检测、CSPM工具 |
3、零信任安全架构(Zero Trust Architecture, ZTA)
3.1、定义
🔹 一句话定义:**零信任安全架构(ZTA)**是一种以“永不信任,持续验证”为核心原则的安全模型,它要求对每一次访问请求进行严格的身份认证、设备可信性评估和最小权限授权,无论该请求来自网络内部还是外部。
3.2、核心理念
传统网络安全依赖“边界防御”——一旦进入内网即被视为可信。而现代攻击者常通过钓鱼、漏洞利用等方式突破边界后,在内网自由横向移动。
💬 核心思想是:信任不是基于位置,而是基于上下文动态建立的。
3.3、三大原则
| 原则 | 说明 |
|---|---|
| 1. 明确的验证(Explicit Verification) | 所有访问请求必须经过多因素身份认证、设备健康状态检查等多重验证 |
| 2. 最小权限访问(Least Privilege Access) | 用户只能访问其工作必需的资源,且权限应随时间自动降级或撤销 |
| 3. 假设违规(Assume Breach) | 即使已通过认证,仍需持续监控行为异常,随时准备响应威胁 |
3.4、部署模式
| 场景 | 架构说明 |
|---|---|
| 远程办公 | 员工通过 ZTNA 访问 ERP、CRM 系统,无需接入内网 |
| 云迁移 | 在 AWS/Azure 上实施微隔离 + IAM 角色控制 |
| DevOps 安全 | CI/CD 流水线中嵌入代码签名、镜像扫描、运行时保护 |
| IoT 安全 | 每个物联网设备独立认证,禁止设备间直连通信 |
3.5、国际标准与框架支持
| 标准 | 发布机构 | 说明 |
|---|---|---|
| NIST SP 800-207 | 美国国家标准与技术研究院 | 《零信任架构》官方指南,定义ZTA七大构件 |
| CISA Zero Trust Maturity Model | 美国网络安全与基础设施安全局 | 提供政府机构实施路线图 |
| GB/T 拟定中 | 中国国家标准委 | 正在推进零信任相关国标制定 |
| CSA SDP | 云安全联盟 | 软件定义边界参考架构 |
3.6、为什么零信任成为主流?
| 统边界安全 | 零信任安全 |
|---|---|
| 假设内网可信 | 内外一视同仁 |
| 一次认证终身有效 | 持续验证+短时效令牌 |
| 粗粒度访问控制 | 细粒度策略+微隔离 |
| 被动防御 | 主动监测+智能响应 |
✅ 零信任不仅是技术变革,更是安全思维的根本转变——从“如何防止入侵”转向“如何控制损害范围”。
二、网络安全发展历程与趋势
1、网络安全发展历程
1.1、通信安全时期
20世纪60年代 – 80年代初,在计算机网络发展的早期阶段,尤其是 互联网尚未普及、局域网为主、军事与科研主导 的时代,网络安全的关注重点集中在 保障信息在传输过程中的机密性与完整性 上。这一时期被称为“通信安全时期”(Communications Security, COMSEC),是网络安全演进历程中的第一个重要阶段。
🔹 一句话定义:通信安全时期的网络安全是指以保护数据在传输过程中不被窃听或篡改为核心目标,主要依赖加密技术来实现信息保密性的早期网络安全范式。
1.2、信息安全时期
20世纪80年代中期 – 90年代末,在计算机系统逐步普及、局域网开始广泛应用的背景下,网络安全进入了“信息安全时期”。这一阶段标志着安全理念从单一的“通信加密”向更全面的信息保护演进,首次提出了 CIA 三要素模型(保密性、完整性、可用性),奠定了现代信息安全的基础。
🔹 一句话定义:信息安全时期 是指以构建完整的数据与系统防护体系为目标,强调信息的 机密性、完整性和可用性,并通过访问控制、身份认证和安全策略实现主动管理的安全发展阶段。
1.3、信息保障时期
20世纪90年代末 – 2010年前后,随着互联网的快速普及和信息系统在政府、金融、能源等关键领域的广泛应用,传统的“防护为主”安全模式已无法应对日益复杂的攻击。在此背景下,网络安全进入 信息保障时期(Information Assurance, IA),其核心理念从“防止被入侵”转变为“即使被入侵也能及时发现、响应并恢复”。
🔹 一句话定义:信息保障时期 是指以实现信息系统的 全面生命周期保护 为目标,强调“防护 → 检测 → 响应 → 恢复”全过程能力,构建具备韧性的安全体系的发展阶段。
1.4、网络空间安全时期
2010年 – 至今,进入21世纪第二个十年,随着云计算、大数据、物联网、人工智能和移动互联网的迅猛发展,网络已深度融入国家治理、经济运行和社会生活的方方面面。“网络空间”被正式视为继陆、海、空、天之后的第五疆域,网络安全也由此迈入 网络空间安全时期。
🔹 一句话定义:网络空间安全时期 是指将网络安全上升为国家战略高度,强调 体系化对抗、主动防御、零信任架构与全球协同治理,保障关键信息基础设施和数字生态整体稳定的安全发展阶段。
1.5、四大时期的演进总结对比表
| 维度 | 通信安全时期 | 信息安全时期 | 信息保障时期 | 网络空间安全时期 |
|---|---|---|---|---|
| 时间 | 1960s–1980s | 1980s–1990s | 1990s–2010 | 2010–至今 |
| 核心理念 | 加密防窃听 | CIA三要素 | PPDRR模型(可恢复) | 国家主权+生态系统治理 |
| 关注重点 | 数据传输安全 | 系统与数据安全 | 全生命周期保障 | 整体网络空间稳定 |
| 防护思路 | 被动加密 | 边界防护 | 纵深防御、主动响应 | 零信任、内生安全 |
| 技术代表 | DES, 加密机 | 防火墙, 杀毒软件 | IDS/IPS, SIEM | ZTNA, SASE, AI安全 |
| 管理体系 | 无统一标准 | TCSEC, ISO 7498-2 | ISO 27001, NIST SP 800 | 等保2.0, GDPR, CSA |
| 威胁类型 | 窃听 | 病毒、未授权访问 | 蠕虫、DDoS | APT、勒索软件、网络战 |
| 主导力量 | 军方、情报机构 | IT部门、安全厂商 | CISO、SOC团队 | 国家、CSIRT、全球协作 |
2、网络安全发展趋势
随着数字化转型加速、人工智能崛起和网络攻击手段不断进化,网络安全正从“被动防御”向“主动智能对抗”演进。以下是当前及未来几年网络安全的主要发展趋势,涵盖技术、架构、管理与战略层面。
2.1、核心技术趋势
| 名称 | 核心描述 | 关键技术/工具/标准 | 典型应用场景 | 代表厂商或案例 |
|---|---|---|---|---|
| AI驱动的安全攻防 | 利用AI进行威胁检测与自动化响应;同时攻击者利用AI生成恶意代码 | 机器学习、深度学习、NLP、生成式AI | 异常行为分析、智能告警降噪、深度伪造钓鱼识别 | Microsoft Sentinel, Darktrace, IBM Watson for Cybersecurity |
| 零信任架构(ZTA) | “永不信任,持续验证”,取代传统边界模型 | MFA、设备合规检查、动态策略引擎、SPIFFE/SPIRE | 远程办公访问控制、微服务间身份认证 | Zscaler Private Access, Cisco SecureX, Cloudflare Access |
| SASE融合架构 | 网络与安全能力云化集成,实现就近接入与统一策略 | SD-WAN + FWaaS + SWG + CASB + ZTNA | 分支机构互联、移动办公安全上网 | Palo Alto Prisma Access, Fortinet, Akamai |
| 云原生安全 | 适应容器、K8s、Serverless等动态环境的安全防护 | 容器镜像扫描、运行时监控、IaC安全检测 | Kubernetes集群保护、CI/CD流水线嵌入安全 | Aqua Security, Sysdig, Wiz, Trivy, Prisma Cloud |
| 后量子密码(PQC)迁移 | 应对量子计算破解现有加密算法的风险 | CRYSTALS-Kyber(NIST选定)、SM9(中国)、加密敏捷性设计 | 国家级通信系统、金融交易加密升级 | NIST PQC项目、CISA迁移指南、OpenQuantumSafe库 |
| 主动免疫可信计算 | 构建硬件级信任根,防止启动篡改和恶意程序执行 | TPM/TCM芯片、白名单机制、内存保护(Intel CET) | 政务系统、军工设备、关键基础设施 | 中国可信计算3.0、Microsoft Pluton芯片 |
| XDR扩展检测与响应 | 跨终端、网络、云的日志融合分析,提升威胁发现能力 | 多源日志关联、UEBA、SOAR自动化响应 | 勒索软件早期发现、APT攻击链追踪 | CrowdStrike Falcon XDR, Microsoft Defender XDR |
| DevSecOps深度集成 | 安全左移,在开发全流程中嵌入安全控制点 | SAST/DAST、SBOM生成、依赖扫描、CI/CD插件 | 软件交付流水线中的自动漏洞拦截 | GitHub Actions + CodeQL + Trivy, GitLab CI |
| 关键信息基础设施保护(CII)强化 | 国家立法推动重点行业安全能力建设 | 实时监测、应急响应、攻防演练 | 《网络安全法》《关基条例》、CISA指令、NIS2 | |
| 威胁情报共享机制 | 推动组织间IOC(失陷指标)自动化交换 | STIX/TAXII、MISP平台、ISAC协作 | 快速通报新型勒索病毒传播路径 | FS-ISAC(金融)、EH-ISAC(医疗) |
| 供应链安全管理 | 控制第三方组件带来的安全风险 | SBOM(软件物料清单)、Sigstore签名、代码审计 | 开源依赖风险评估、供应商准入审查 | SolarWinds事件后全球加强监管 |
2.2、新型防护理念演进
| 防护理念 | 核心描述 | 关键技术 / 方法 / 架构 | 典型应用场景 | 发展趋势与代表实践 |
|---|---|---|---|---|
| 零信任架构(ZTA) | “永不信任,持续验证”,不再依赖网络边界,而是基于身份、设备和上下文动态授权访问。 | - 多因素认证(MFA) - 设备合规性检查 - 动态访问控制策略 - SPIFFE/SPIRE 身份标准 | - 远程办公安全接入 - 微服务间通信认证 - 云环境资源访问控制 | Gartner预测:2025年60%企业将淘汰传统VPN;Google BeyondCorp 成功落地案例 |
| SASE融合安全架构 | 将网络(SD-WAN)与安全能力(FWaaS、SWG等)统一交付于云端,实现就近接入与策略一致。 | - SD-WAN - 防火墙即服务(FWaaS) - 安全Web网关(SWG) - 云访问安全代理(CASB) - ZTNA | - 分支机构互联 - 移动用户安全上网 - SaaS应用加速与保护 | 向边缘侧延伸,Palo Alto、Cisco、Fortinet 推出一体化SASE平台 |
| XDR扩展检测与响应 | 整合终端、网络、邮件、云等多个来源的日志数据,进行跨域关联分析,提升威胁发现效率。 | - 多源日志聚合 - 用户与实体行为分析(UEBA) - 自动化响应(SOAR) - AI驱动研判 | - APT攻击链追踪 - 勒索软件早期预警 - 内部人员异常操作监测 | 正逐步替代传统SIEM,成为SOC核心平台;Microsoft Defender XDR、CrowdStrike Falcon XDR 广泛部署 |
| DevSecOps深度集成 | 安全左移,在开发、测试、部署全流程中嵌入自动化安全检测,实现快速交付与安全保障并行。 | - SAST/DAST静态/动态扫描 - SBOM生成与依赖分析 - 容器镜像扫描 - CI/CD插件集成 | - 软件开发流水线 - 云原生应用发布 - 开源组件风险管理 | GitHub Actions + CodeQL + Trivy 已成标配;安全成为CI/CD门禁条件 |
| 主动免疫可信计算 | 类比生物免疫系统,构建从硬件到软件的信任链,确保系统启动和运行过程不被篡改。 | - TPM/TCM芯片 - 可信启动(Secure Boot) - 白名单执行机制 - Intel CET内存保护 | - 政务系统安全加固 - 关键基础设施防护 - 国防信息系统 | 中国提出“可信计算3.0”体系;Microsoft Pluton芯片内建安全根 |
| 数字孪生安全仿真 | 构建网络系统的虚拟副本,用于模拟攻击路径、测试防御策略,提前发现潜在风险。 | - 网络拓扑建模 - 攻击图生成(Attack Graph) - 红蓝对抗推演引擎 | - 关键基础设施演练 - 新系统上线前风险评估 - 安全策略优化 | 军事、电力、交通领域试点应用;MITRE DTK 支持攻击模拟 |
| 去中心化身份(DID) | 基于区块链或分布式账本技术,实现用户自主控制的身份体系,减少账户泄露与钓鱼风险。 | - DID(Decentralized Identifier) - 可验证凭证(VC) - 零知识证明(ZKP) | - 抗钓鱼登录 - 跨平台单点登录(SSO) - 数据隐私保护 | Microsoft ION、Sovrin Network 推进标准;W3C制定DID规范 |
2.3、政策与生态趋势
| 趋势名称 | 核心描述 | 相关政策/法规/标准 | 关键技术 / 机制 / 平台 | 典型应用场景 | 代表案例或进展 |
|---|---|---|---|---|---|
| 关键信息基础设施保护(CII)强化 | 国家层面立法推动对能源、交通、金融、医疗等关键行业的网络安全防护能力建设,强调主动防御与应急响应。 | - 《中华人民共和国网络安全法》 - 《关键信息基础设施安全保护条例》(关基条例) - NIS2指令(欧盟) - CISA指令(美国) | - 实时监测平台 - 安全事件上报机制 - 攻防演练制度 - 安全责任制 | - 电力调度系统防护 - 银行核心交易系统保障 - 医疗数据灾备恢复 | 中国开展“护网行动”年度攻防演练;欧盟NIS2要求成员国建立CII识别清单 |
| 威胁情报共享机制建设 | 推动政府、企业、行业组织之间自动化共享网络攻击指标(IOC),提升整体联防能力。 | - STIX/TAXII 标准(结构化威胁信息表达) - ISO/IEC 27010 信息安全通信标准 | - MISP 平台(开源威胁情报平台) - ISAC(信息共享与分析中心) - API驱动的IOC交换 | - 快速阻断新型勒索病毒传播 - 联合应对APT组织攻击 | FS-ISAC(金融)、EH-ISAC(医疗)、CNCERT 国家级威胁情报协同平台 |
| 供应链安全管理加强 | 加强对第三方软硬件供应商的安全审查,防范因开源组件或外包开发引入的后门和漏洞风险。 | - Executive Order 14028(美国总统行政令) - SBOM(软件物料清单)强制要求 - ISO/SAE 21434(汽车供应链安全) | - SBOM生成工具(SPDX、CycloneDX) - Sigstore代码签名 - 软件来源审计 | - 开源依赖风险评估 - 供应商准入安全评审 - 软件交付物溯源 | SolarWinds事件后全球加强监管;NTIA推动SBOM标准化;Google推出SLSA框架保障软件供应链完整性 |
| 数据安全与隐私合规深化 | 强化个人数据和重要数据的全生命周期管理,确保跨境传输、存储和处理符合法律要求。 | - 《数据安全法》 - 《个人信息保护法》(PIPL) - GDPR(欧盟) - CCPA(美国加州) | - 数据分类分级 - 数据脱敏/加密 - 数据使用审计 - DPO(数据保护官)制度 | - 用户隐私数据采集合规 - 跨境云服务数据出境评估 | 字节跳动、阿里云等企业设立DPO岗位;多家企业通过GDPR认证 |
| 网络安全责任体系制度化 | 明确“谁运营谁负责、谁主管谁负责”的安全主体责任,推动企业建立可追溯的责任链条。 | - 网络安全等级保护制度(等保2.0) - 安全事件问责制 - 安全绩效考核机制 | - 安全日志留存 - 操作行为审计 - 第三方审计报告 | - 企业安全合规审计 - 上市公司网络安全披露要求 | 证监会要求上市公司披露重大网络安全事件;等保测评成为政务系统上线前置条件 |
| 国际合作与规则博弈加剧 | 各国在数字主权、跨境执法、网络军控等领域展开博弈,同时加强区域性安全合作。 | - 联合国UN GGE / OEWG进程 - 《全球数据安全倡议》(中国提出) - APT41等跨国攻击归因协作 | - 网络空间国际法研究 - 攻击归因技术(Attribution) - 多边对话机制 | - 应对国家级APT攻击 - 数字贸易谈判中的安全条款 | 中美俄在联合国推动不同治理模式;北约成立网络防御协作中心(CCDCOE) |
2.4、未来展望
| 趋势 | 描述 |
|---|---|
| AI安全运营中心(AISOC) | AI接管70%以上的日常告警分析与响应任务 |
| 数字孪生安全测试 | 在虚拟环境中模拟攻击链,提前发现弱点 |
| 去中心化身份(DID) | 基于区块链的身份系统,减少账户泄露风险 |
| 神经网络水印技术 | 给AI模型加“指纹”,防止模型窃取 |
| 量子密钥分发(QKD)试点 | 在军事、金融领域试用无法窃听的通信方式 |
2.5、网络安全发展的五大方向
| 方向 | 说明 |
|---|---|
| 智能化 | AI赋能检测、响应、预测全过程 |
| 一体化 | SASE、XDR、ZTNA融合成统一平台 |
| 常态化 | 安全是持续过程,非一次性项目 |
| 合规化 | 法律法规驱动安全投入与审计 |
| 全球化 | 跨境攻击需跨国协作应对 |
💬 未来的网络安全不再是“修墙护院”,而是构建一个弹性、自适应、可持续进化的数字免疫系统。
三、信息安全标准与规范
1、信息安全标准概述
| 标准名称 | 发布机构 | 核心目标 | 关键内容与要求 | 适用行业/场景 | 典型应用案例 |
|---|---|---|---|---|---|
| ISO/IEC 27001 | 国际标准化组织(ISO) | 建立、实施、维护和持续改进信息安全管理体系(ISMS) | - 风险评估与处置 - 安全策略制定 - 访问控制、加密、事件管理等14个控制域 | 所有行业通用,尤其金融、IT服务、跨国企业 | 华为、阿里云通过ISO 27001认证 |
| ISO/IEC 27002 | 国际标准化组织(ISO) | 提供信息安全管理最佳实践指南,支撑ISO 27001实施 | 详细说明114项安全控制措施的操作方法,如密码策略、日志审计、第三方风险管理等 | 企业安全制度设计、合规建设 | 作为企业安全手册的基础框架 |
| NIST Cybersecurity Framework (CSF) | 美国国家标准与技术研究院(NIST) | 帮助组织识别、保护、检测、响应和恢复网络安全风险 | 五大功能:Identify, Protect, Detect, Respond, Recover(IPDRR) | 关键基础设施、政府项目、美国联邦承包商 | 美国电力公司采用NIST CSF进行风险自评 |
| GB/T 22239-2019《网络安全等级保护基本要求》(等保2.0) | 中国公安部 | 实现网络系统的分等级保护,强化主动防御能力 | 分为五个等级,涵盖: - 物理安全 - 网络安全 - 主机安全 - 应用安全 - 数据安全 | 政务、教育、医疗、金融等在中国运营的系统 | 所有政务云平台必须通过等保三级以上测评 |
| GDPR(General Data Protection Regulation) | 欧盟委员会 | 保护个人数据隐私权,规范数据处理行为 | - 数据最小化原则 - 用户同意机制 - 数据可携带权与被遗忘权 - 跨境传输限制 | 涉及欧盟公民数据的所有企业 | Facebook因违规被罚12亿欧元;国内出海企业需合规改造 |
| PCI DSS(Payment Card Industry Data Security Standard) | PCI安全标准委员会(Visa/Mastercard等) | 保障支付卡持卡人数据的安全 | 12项要求,如防火墙配置、敏感数据加密、定期漏洞扫描、访问控制等 | 支付网关、电商平台、银行 | 支付宝、微信支付商户需满足PCI DSS合规要求 |
| SOC 2 Type II | AICPA(美国注册会计师协会) | 验证服务提供商在安全性、可用性、处理完整性、保密性和隐私性方面的控制有效性 | 基于Trust Services Criteria(TSC),强调审计日志、权限管理、变更控制等过程证据 | SaaS、云计算、数据中心服务商 | AWS、Google Cloud 提供SOC 2报告供客户审计使用 |
| ITIL + ISO/IEC 20000 | AXELOS / ISO | 将信息安全融入IT服务管理流程 | 强调事件管理、问题管理、变更管理中的安全控制环节 | IT运维部门、外包服务商 | 大型企业将ITIL流程与ISO 27001联动实施 |
| CC(Common Criteria, ISO/IEC 15408) | 国际联合项目 | 对信息技术产品进行安全功能与保证等级(EAL)评估 | 定义安全目标(ST)、安全功能需求(SFR)、评估保障等级(从EAL1到EAL7) | 军工、政府采购、高安全需求设备(如加密机) | 中国商用密码产品需通过国密版CC认证 |
| GB/T 35273-2020《个人信息安全规范》 | 中国国家标准化管理委员会 | 指导个人信息处理活动的合规操作 | 明确收集、存储、使用、共享、删除各阶段的要求,强调用户授权与知情同意 | App开发、互联网平台、大数据分析企业 | 抖音、美团依据该标准优化隐私政策与权限申请流程 |
2、ISO/IEC 27001信息安全管理体系(ISMS)
2.1、什么是ISO/IEC 27001
ISO/IEC 27001 是国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的全球最权威的信息安全管理体系标准。它提供了一个系统化框架,用于建立、实施、维护和持续改进组织的信息安全管理体系(Information Security Management System, ISMS)。
📌 核心理念:通过风险驱动的方法保护信息的 机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)——即 CIA 三要素。
2.2、五大阶段(PDCA模型)
ISO 27001 基于 PDCA 循环(Plan-Do-Check-Act)进行持续改进:
| 阶段 | 关键活动 |
|---|---|
| P - Plan(策划) | - 识别资产 - 风险评估(使用定性或定量方法) - 制定风险处理计划 - 选择控制措施(参考 Annex A) |
| D - Do(实施) | - 建立 ISMS 方针与目标 - 实施选定的安全控制 - 开展员工培训与意识宣贯 |
| C - Check(检查) | - 内部审核 - 管理评审 - 监控控制有效性 |
| A - Act(改进) | - 处理不符合项 - 实施纠正预防措施 - 更新风险评估与策略 |
2.3、应用场景
| 行业 | 应用说明 |
|---|---|
| 云计算服务商 | AWS、阿里云、腾讯云均通过 ISO 27001 认证,增强客户信任 |
| 金融科技公司 | 满足监管合规要求,支撑跨境业务拓展 |
| 外包软件开发 | 向客户证明数据安全管理能力 |
| 医疗健康平台 | 保障患者隐私数据安全,符合 HIPAA/GDPR 要求 |
3、等级保护
3.1、什么是等级保护
网络安全等级保护(简称“等保”),是中国对网络和信息系统实施分等级安全管理的制度性框架。它根据信息系统的重要程度、所承载数据的敏感性以及遭受破坏后对国家安全、社会秩序、公共利益和个人权益的影响程度,将其划分为不同安全保护等级,并采取相应级别的防护措施。
📌 核心理念:
“谁运营,谁负责;谁主管,谁负责;谁使用,谁负责”
实现“定级、备案、建设整改、等级测评、监督检查”五步闭环管理。
3.2、法律与政策依据
| 法规名称 | 发布机构 | 相关条款 |
|---|---|---|
| 《中华人民共和国网络安全法》 | 全国人大常委会 | 第二十一条:国家实行网络安全等级保护制度 |
| 《关键信息基础设施安全保护条例》 | 国务院 | 关基系统应高于三级等保定级 |
| GB/T 22239-2019《网络安全等级保护基本要求》 | 国家标准化管理委员会 | 技术与管理控制项的具体规范(即“等保2.0”) |
| GB/T 25070-2019《安全设计技术要求》 | 国家标准化管理委员会 | 指导系统安全架构设计 |
| GB/T 28448-2019《等级保护测评要求》 | 国家标准化管理委员会 | 测评方法与评分标准 |
📌 自2017年《网安法》正式实施以来,等保已成为中国所有非涉密网络系统的强制性合规要求。
3.3、等级划分
| 等级 | 名称 | 定义 | 影响后果 | 典型系统示例 |
|---|---|---|---|---|
| 第一级 | 自主保护级 | 受损后仅影响个人或组织内部事务,不危害社会秩序 | 轻微 | 企业官网、内部OA系统 |
| 第二级 | 指导保护级 | 受损后可能损害公民、法人和其他组织的合法权益,或轻微影响社会秩序 | 一般 | 中小学校园网、中小企业ERP系统 |
| 第三级 | 监督保护级 | 受损后会对社会秩序、公共利益造成严重影响,或影响国家安全 | 严重 | 政务服务平台、银行核心交易系统、云计算平台 |
| 第四级 | 强制保护级 | 受损后会对社会秩序、公共利益造成特别严重损害,或危害国家安全 | 特别严重 | 国家电力调度系统、铁路调度指挥系统 |
| 第五级 | 专控保护级 | 涉及国家核心机密,需由国家专门部门进行监管 | 极端严重 | 军事指挥系统(通常为涉密系统,不在本标准范围内) |
⚠️ 注意:目前绝大多数民用系统最高定为 第三级,第四级极少,第五级属于特殊领域。
3.4、等保实施五大流程(PDCA循环支撑)
- 定级 → 2. 备案 → 3. 建设整改 → 4. 等级测评 → 5. 监督检查
3.4.1、定级
- 组织专家评审会,确定系统受侵害对象及影响范围。
- 编写《定级报告》和《备案表》。
- 推荐工具:定级辅助决策系统。
3.4.2、备案
- 向所在地公安机关网安部门提交材料:
- 定级报告
- 备案表
- 系统拓扑图
- 安全管理制度初稿
- 公安机关审核通过后发放备案证明(电子或纸质)。
3.4.3、建设整改
- 根据 GB/T 22239-2019 要求进行技术与管理整改:
- 部署防火墙、入侵检测、日志审计等设备
- 建立身份认证、访问控制机制
- 制定安全策略文档
- 形成《整改方案》和《整改报告》。
3.4.4、等级测评
- 委托具备资质的第三方测评机构(如 CQC、赛宝、绿盟科技等)开展现场测评。
- 测评内容包括:
- 技术层面:物理、网络、主机、应用、数据安全
- 管理层面:制度、人员、运维、应急响应
- 出具《等级测评报告》,结论分为“符合”、“基本符合”、“不符合”。
3.4.5、监督检查
- 公安机关定期抽查已备案系统。
- 发现问题责令限期整改,拒不整改将依法处罚。
3.5、等保2.0核心
等保2.0采用“一个中心、三重防护”的总体架构:
┌────────────┐│ 管理中心 │ ← 统一管控└────┬───────┘↓┌────────┴─────────┐▼ ▼
通信边界防护 内部区域防护
(网络层) (主机/应用)▼
计算环境防护
(终端/服务器)
| 类别 | 子项 | 示例要求 |
|---|---|---|
| 技术要求 | 物理安全 | 机房门禁、防雷、防火 |
| 网络安全 | 边界访问控制、入侵防范、安全审计 | |
| 主机安全 | 身份鉴别、恶意代码防范、资源控制 | |
| 应用安全 | 登录失败处理、输入合法性检查 | |
| 数据安全 | 加密存储、完整性保护、备份恢复 | |
| 管理要求 | 安全管理制度 | 制定信息安全方针、操作规程 |
| 安全管理机构 | 设立岗位、明确职责 | |
| 人员安全管理 | 上岗前审查、离职交接 | |
| 系统建设管理 | 开发测试环境隔离、变更审批 | |
| 系统运维管理 | 日志留存6个月以上、应急预案演练 |
3.6、应用场景
| 场景 | 实施要点 |
|---|---|
| 政务云平台 | 所有租户系统均需独立定级,平台本身至少三级 |
| 教育行业 | 高校教务系统、学籍管理系统普遍定为二级或三级 |
| 医疗健康 | 医院HIS、LIS系统涉及患者隐私,多为二级以上 |
| 金融支付 | 支付清算系统必须达到三级甚至四级 |
| 物联网系统 | 智慧城市项目中的监控平台常被要求三级等保 |
3.7、常见误区
| 误区 | 正确认知 |
|---|---|
| “做了防火墙就等于过了等保” | 等保是管理体系+技术体系的综合体现,缺一不可 |
| “只有政府系统才需要等保” | 所有在中国境内运营的网络系统都适用 |
| “等保是一次性工作” | 每年需复查,系统重大变更时需重新测评 |
| “云上不用做等保” | 租户仍需对自己业务系统定级并备案 |
3.8、等保与其他标准对比
| 标准 | 国家/地区 | 侧重点 | 是否强制 |
|---|---|---|---|
| ISO 27001 | 国际 | 信息安全管理体系(ISMS) | 自愿认证 |
| NIST CSF | 美国 | 风险导向的安全框架 | 推荐使用 |
| GDPR | 欧盟 | 数据隐私保护 | 强制(适用于欧盟用户) |
| 等保2.0 | 中国 | 分级防护 + 全面控制 | 强制合规 |