等级保护与网站防护

等级保护与WEB防护为什么要实行等级保护？信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。等级保护具体分级说明第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级信息系统受到破坏后，会对国家安全造成特别严重损害网站安全等级定级（参考）企事业单位网站‐‐‐‐‐‐‐1级区县级政府网站‐‐‐‐‐‐‐1级地市政府网站‐‐‐‐‐‐2级省市级政府网站‐‐‐‐‐‐2级骨干企业网站‐‐‐‐‐‐2级中央政府网站‐‐‐‐‐‐3级综合门户‐‐‐‐‐‐3级中央门户‐‐‐‐‐‐3级以上新闻传媒‐‐‐‐‐‐‐3级以上等级保护的实施与管理•定级–信息系统安全等级保护定级指南–四级以上应请国家信息安全保护等级专家评审委员会评审•系统等级建设–计算机信息系统安全保护等级划分准则–信息系统安全等级保护基本要求–信息安全技术信息系统通用安全技术要求–信息安全技术网络基础安全技术要求–信息安全技术操作系统安全技术要求–信息安全技术数据库管理系统安全技术要求•系统测评与自查–信息系统安全等级保护测评要求–三级每年至少进行一次•备案–已运营二级以上系统，应在等级确定后30日内，到市级以上公安机关备案–新建二级以上系统，应投入运行后30日内，到市级以上公安机关备案–等级保护备案证明主要防范措施三级（以上）：防火墙；防病毒；身份认证；安全审计网站防入侵（SQL注入、跨站脚本等）网页防篡改；网页木马检测；渗透测试，代码审计；系统加固；抗拒绝服务攻击；主要防范措施二级：防火墙；防病毒；IPS；安全审计；网页防篡改；网页木马检测系统；主要防范措施一级防火墙；防病毒；网页防篡改；网页木马检测系统；