等級(jí)保護(hù)與網(wǎng)站防護(hù)

1、等級(jí)保護(hù)與WEB防護(hù)2008-09-01為什么要實(shí)行等級(jí)保護(hù)？ 信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具 有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國家信息安全的必要條件。等級(jí)保護(hù)具體分級(jí)說明第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán) 益造成損害，但不損害國家安全、社會(huì)秩序和公共利益第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和

2、其他組織的合法權(quán) 益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但 不損害國家安全第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p 害，或者對(duì)國家安全造成 損害第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán) 重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害第五級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害網(wǎng)站安全等級(jí)定級(jí)（參考） 企事業(yè)單位網(wǎng)站1級(jí) 區(qū)縣級(jí)政府網(wǎng)站1級(jí) 地市政府網(wǎng)站2級(jí) 省市級(jí)政府網(wǎng)站2級(jí) 骨干企業(yè)網(wǎng)站2級(jí) 中央政府網(wǎng)站3級(jí) 綜合門戶3級(jí) 中央門戶3級(jí)以上 新聞傳媒3級(jí)以上等級(jí)保護(hù)的實(shí)施與管理 定級(jí) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 四級(jí)以上應(yīng)請(qǐng)國家信息安全保護(hù)等級(jí)

3、專家評(píng)審委員會(huì)評(píng)審 系統(tǒng)等級(jí)建設(shè) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求 信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 系統(tǒng)測(cè)評(píng)與自查 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 三級(jí)每年至少進(jìn)行一次 備案 已運(yùn)營二級(jí)以上系統(tǒng)，應(yīng)在等級(jí)確定后30日內(nèi)，到市級(jí)以上公安機(jī)關(guān)備案 新建二級(jí)以上系統(tǒng)，應(yīng)投入運(yùn)行后30日內(nèi)，到市級(jí)以上公安機(jī)關(guān)備案 等級(jí)保護(hù)備案證明主要防范措施 三級(jí)（以上）： 防火墻； 防病毒； 身份認(rèn)證； 安全審計(jì) 網(wǎng)站防入侵（SQL注入、跨站腳本等） 網(wǎng)頁防篡改； 網(wǎng)頁木馬檢測(cè)； 滲透測(cè)試，代碼審計(jì)； 系統(tǒng)加固； 抗拒絕服務(wù)攻擊；主要防范措施 二級(jí)： 防火墻； 防病毒； IPS； 安全審計(jì)； 網(wǎng)頁