简述网络安全的相关评估标准？

一、简述网络安全的相关评估标准？

1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。

第1级为用户自主保护级（GB1安全级）：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第2级为系统审计保护级（GB2安全级）：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。

第3级为安全标记保护级（GB3安全级）：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。

第4级为结构化保护级（GB4安全级）：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第5级为访问验证保护级（GB5安全级）：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

二、网络安全相关证书？

网络安全工程师最权威的证书有以下三种：1、计算机技术与软件专业资格考试证书：是由国家人力资源和社会保障部、工业和信息化部领导的国家级考试，该考试分为 5 个专业类别，并分设了高、中、初级专业资格考试，共 28 个资格的考核。；2、微软认证的证书；3、思科认证的证书。

三、网络安全标准？

网络分为五个安全保护等级。

（一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

（二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

（三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

（四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

（五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

四、网络安全检查，标准？

网络安全检查的标准通常包括对网络设备和系统进行漏洞扫描和弱点分析，检测和防御恶意软件和网络攻击，加密和认证机制的有效性以及安全策略和实践的合规性进行审核。

另外，还需要对安全意识教育和培训进行评估，以保证员工对网络安全的重要性有清晰的认识和了解。

最终目的是确保网络和信息系统能够有效地预防、检测和应对各种安全威胁和风险。

五、网络安全服务包括哪些？

安全服务包括：身份认证，访问控制，数据保密，数据完整和不可否认性。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性。

特性：

保密性

网络安全信息不泄露给非 授权用户、 实体或过程，或供其利用的特性。

完整性

数据未经授权不能进行改变的特性。即信息在 存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性

可被授权 实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对 可用性的攻击

可控性

对信息的传播及内容具有控制能力。

六、电梯相关标准？

.

电梯国标是指中国国内电梯安全执行的国家标准，该标准于1998年2月1日实施。有专家质疑，国内电梯重载标准不一，如广州地铁扶梯的重载标准就是北京地铁公布标准的两倍。并且，国内多家电梯企业对重载扶梯的“国标”同样存疑，而国内重载电梯的国标已经落后欧洲标准十余年。

2.

《中国电梯》在2009年8月的《EN115-1:2008与GB16899-1997两个标准的主要差异》(简称《差异》)一文中指出，欧洲标准1995年发布以来，进行了多次变更，最终在2008年7月正式颁布了EN115-1:2008(简称新欧标)。《差异》指出，新欧标中新增了工作制动器和附加制动器制动减速度的要求，对乘客安全起到保障作用。GB16899-1997 本标准等效采用欧洲标准EN115：1995《自动扶梯和自动人行道制造与安装安全规范》，在技术内容上与之等同。

七、网络安全风险评估标准？

风险评估是指依据有关网络安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。

它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

八、网络安全现场执法标准？

《公安机关互联网安全监督检查规定》已于2018年9月5日公安部部长办公会议通过，自2018年11月1日起施行。

根据规定，公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位开展监督检查。公安机关开展监督检查，可以采取进入营业场所、机房、工作场所、要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明、查阅、复制与互联网安全监督检查事项相关的信息、查看网络与信息安全保护技术措施运行情况等措施。

第一章　总则

第一条　为规范公安机关互联网安全监督检查工作，预防网络违法犯罪，维护网络安全，保护公民、法人和其他组织合法权益，根据《中华人民共和国人民警察法》《中华人民共和国网络安全法》等有关法律、行政法规，制定本规定。

第二条　本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。

第三条　互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。

第四条　公安机关开展互联网安全监督检查，应当遵循依法科学管理、保障和促进发展的方针，严格遵守法定权限和程序，不断改进执法方式，全面落实执法责任。

第五条　公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

第六条　公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险，应当及时通报有关主管部门和单位。

第七条　公安机关应当建立并落实互联网安全监督检查工作制度，自觉接受检查对象和人民群众的监督。

第二章　监督检查对象和内容

第八条　互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的，可以由其经常居住地公安机关实施。

第九条　公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对下列互联网服务提供者和联网使用单位开展监督检查：

（一）提供互联网接入、互联网数据中心、内容分发、域名服务的；

（二）提供互联网信息服务的；

（三）提供公共上网服务的；

（四）提供其他互联网服务的；

对开展前款规定的服务未满一年的，两年内曾发生过网络安全事件、违法犯罪案件的，或者因未履行法定网络安全义务被公安机关予以行政处罚的，应当开展重点监督检查。

第十条　公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：

（一）是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况；

（二）是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人；

（三）是否依法采取记录并留存用户注册信息和上网日志信息的技术措施；

（四）是否采取防范计算机病毒和网络攻击、网络侵入等技术措施；

（五）是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施；

（六）是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助；

（七）是否履行法律、行政法规规定的网络安全等级保护等义务。

第十一条　除本规定第十条所列内容外，公安机关还应当根据提供互联网服务的类型，对下列内容进行监督检查：

（一）对提供互联网接入服务的，监督检查是否记录并留存网络地址及分配使用情况；

（二）对提供互联网数据中心服务的，监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息；

（三）对提供互联网域名服务的，监督检查是否记录网络域名申请、变动信息，是否对违法域名依法采取处置措施；

（四）对提供互联网信息服务的，监督检查是否依法采取用户发布信息管理措施，是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施，并保存相关记录；

（五）对提供互联网内容分发服务的，监督检查是否记录内容分发网络与内容源网络链接对应情况；

（六）对提供互联网公共上网服务的，监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十二条　在国家重大网络安全保卫任务期间，对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位，公安机关可以对下列内容开展专项安全监督检查：

（一）是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员；

（二）是否组织开展网络安全风险评估，并采取相应风险管控措施堵塞网络安全漏洞隐患；

（三）是否制定网络安全应急处置预案并组织开展应急演练，应急处置相关设施是否完备有效；

（四）是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施；

（五）是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查，按照前款规定的内容执行。

第三章　监督检查程序

第十三条　公安机关开展互联网安全监督检查，可以采取现场监督检查或者远程检测的方式进行。

第十四条　公安机关开展互联网安全现场监督检查时，人民警察不得少于二人，并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

第十五条　公安机关开展互联网安全现场监督检查可以根据需要采取以下措施：

（一）进入营业场所、机房、工作场所；

（二）要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明；

（三）查阅、复制与互联网安全监督检查事项相关的信息；

（四）查看网络与信息安全保护技术措施运行情况。

第十六条　公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞，可以开展远程检测。

公安机关开展远程检测，应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项，不得干扰、破坏监督检查对象网络的正常运行。

第十七条　公安机关开展现场监督检查或者远程检测，可以委托具有相应技术能力的网络安全服务机构提供技术支持。

网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

第十八条　公安机关开展现场监督检查，应当制作监督检查记录，并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的，应当允许其作出说明；拒绝签名的，人民警察应当在监督检查记录中注明。

公安机关开展远程检测，应当制作监督检查记录，并由二名以上开展监督检查的人民警察在监督检查记录上签名。

委托网络安全服务机构提供技术支持的，技术支持人员应当一并在监督检查记录上签名。

第十九条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位存在网络安全风险隐患，应当督促指导其采取措施消除风险隐患，并在监督检查记录上注明；发现有违法行为，但情节轻微或者未造成后果的，应当责令其限期整改。

监督检查对象在整改期限届满前认为已经整改完毕的，可以向公安机关书面提出提前复查申请。

公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内，对整改情况进行复查，并在复查结束后三个工作日内反馈复查结果。

第二十条　监督检查过程中收集的资料、制作的各类文书等材料，应当按照规定立卷存档。

第四章　法律责任

第二十一条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位有下列违法行为的，依法予以行政处罚：

（一）未制定并落实网络安全管理制度和操作规程，未确定网络安全负责人的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（二）未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（三）未采取记录并留存用户注册信息和上网日志信息措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（四）在提供互联网信息发布、即时通讯等服务中，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，依照《中华人民共和国网络安全法》第六十一条的规定予以处罚；

（五）在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的，依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚；

（六）拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的，依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。

有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的，依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。

九、网络安全服务包括哪些内容？

网络安全服务主要包括以下内容：

网络安全常规监控服务：主要是对网络系统进行日常的监控和管理，包括网络流量的监测、网络设备的运行状态、网络故障的排查等，以确保网络系统的稳定性和可用性。

网络安全风险评估服务：主要是对网络系统进行安全风险评估，发现网络系统中存在的安全隐患和漏洞，并提供相应的解决方案和措施。

网络安全漏洞扫描服务：主要是对网络系统进行漏洞扫描，发现系统中存在的安全漏洞，并提供相应的漏洞修复方案和措施。

网络安全事件响应服务：主要是对网络系统出现的安全事件进行响应和处理，包括对网络攻击的防范、发现和处理，以及遭受攻击后的系统恢复等。

网络安全培训服务：主要是为网络管理人员提供网络安全知识和技能的培训，提高网络管理人员的安全意识和防范能力，确保网络系统的安全性。

在选择网络安全服务时，需要根据自身的实际情况进行选择，以确保网络系统的安全性和稳定性。

十、网络安全服务器作用？

网络安全服务的功能主要有5项，分别是：鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和可审查性服务。

鉴别服务：主要用于网络系统中认定识别实体（含用户及设备等）和数据源等，包括同等实体鉴别和数据源鉴别两种服务。

访问控制服务；访问控制包括身份验证和权限验证。其服务既可防止未授权用户非法访问网络资源，也可防止合法用户越权访问。

数据保密性服务：主要用于信息泄露、窃听等被动威胁的防御措施。可分为：信息保密、保护通信系统中的信息或网络数据库数据。对于通信系统中的信息，又分为面向连接保密和无连接保密。

数据完整性服务：主要包括5种：带恢复功能的面向连接的数据完整性，不带恢复功能的面向连接的数据完整性，选择字段面向连接的数据完整性，选择字段无连接的数据完整性和无连接的数据完整性，主要用于满足不同用户、不同场合对数据完整性的要求。

可审查性服务。是防止文件或数据发出者无法否认所发送的原有内容真实性的防范措施，可用于证实已发生过的操作。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。