特点#

• 多样化：形式、目的、手段多样化
• 复杂化：传播形式、组织复杂化
• 国际化：跨国犯罪增多

趋势#

1. 无意识 → 有组织：从个人行为到有组织的犯罪集团
2. 个体侵害 → 国家威胁：从个人利益侵害到国家安全威胁
3. 跨越计算机本身的实施能力：利用计算机技术实施其他类型犯罪
4. 低龄化：渗透工具普及，青少年参与度增加

主要法律法规#

1. 《计算机信息系统安全保护条例》（1994年国务院）
2. 《网络安全法》（7章79条）
   • 总则：明确网络空间主权原则
   • 网络安全支持与促进
   • 网络运行安全：
     • 网络运营者的安全义务（内部安全管理、安全管理措施、数据安全管理、网络身份管理、应急预警机制、安全协助义务）
     • 网络产品、服务提供者的安全义务（强制标准义务、告知补救义务、安全维护义务、个人信息保护）
     • 一般性安全保护义务（安全信息发布、禁止危害行为、信息使用规则）
     • 关键信息基础设施保护
   • 网络信息安全
   • 监测预警与应急处置
   • 法律责任
   • 附则
3. 《保守国家秘密法》
   • 秘密级≤10年
   • 机密级≤20年
   • 绝密级≤30年
4. 《电子签名法》（2005年4月1日）
5. 《反恐怖主义法》（2016年1月1日）
6. 《密码法》（2020年1月1日）
   • 核心密码、普通密码（≤机密）、商用密码
7. 《关键信息基础设施安全保护条例》（2021年9月1日）
8. 《数据安全法》（2021年9月1日）
9. 《个人信息保护法》（2021年11月1日）

主要变化#

1. 名称变化：信息系统安全等级 → 网络安全等级
2. 定级对象：信息系统 → 信息系统、基础网络平台、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等
3. 安全要求：安全通用要求的基础上，增加安全扩展要求
4. 控制措施分类结构变化：技术（物理、网络、主机、应用、数据）+管理 → 技术（物理环境、一中心三防护）+管理
5. 内容变化：定级、备案、安全建设、等级测评、监督检查的基础上，新增安全检测、通报预警、案/事件调查、数据防护、灾备、应急处置、风险评估

工作流程#

1. 定级：

   • 确定定级对象
   • 确定业务信息和系统服务收到破坏时被侵害的客体（3国家、2社会公众、1个人）
   • 综合评定对客体的侵害程度（一般+0、严重+1、特别严重+2）
   • 确定安全保护等级（业务信息和系统服务取最高等级，个人最多取2级）
   • 编写文档提交主管部门专家审核

2. 备案：

   • 向公安机关网安部门提交《等级保护定级报告》、《等级保护备案表》（单位基本情况、信息系统情况、信息系统定级情况、三级以上系统提交材料情况）审核
   • 1级不需要备案
   • 2级不需要测评（国标，各地不同），公安机关进行实地检测
   • 3级以上进行等保测评

3. 差距分析、建设整改：

   • 等保测评前进行差距分析，输出《差距分析报告》
   • 依据《差距分析》中的整改需求，设计《等级保护安全建设整改方案》并进行整改
   • 完成整改后进行验收

4. 等级测评、监督检查：

   • 测评依据：
     • 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
     • 《GB/T 28449-2018 测评指南》
   • 监管要求：
     • 三、四级一年一次

安全要求#

1. 技术要求：

   • 物理环境
   • 通信网络
   • 区域边界
   • 计算环境
   • 管理中心

2. 管理要求：

   • 管理制度
   • 管理机构
   • 管理人员
   • 建设管理
   • 运维管理