大数据法律法规——《网络安全等级保护条例》（山东省大数据职称考试）

《网络安全等级保护条例》适用于在中华人民共和国境内建设、运营、维护、使用网络，以及网络安全的监督管理。这包括网络运营者所拥有、管理和使用的网络基础设施（如服务器、网络设备等）、信息系统（如企业的办公自动化系统、金融机构的核心业务系统等）、云计算平台、大数据平台、物联网系统等各类网络相关的设施和系统。

二、基本要求

（一）安全管理制度

网络运营者应当建立健全网络安全管理制度，包括人员安全管理、系统建设和运维管理等制度。例如，要明确人员的安全职责，对新入职员工进行安全背景审查，对离职员工及时收回权限等。

要制定应急预案，在遭受网络攻击、数据泄露等安全事件时能够快速响应，减少损失。例如，金融机构需要定期进行应急演练，模拟黑客攻击，检验应急预案的有效性。

（二）安全技术措施

物理安全 方面，要保证网络设施和信息系统所在的物理环境安全。如数据中心的机房需要有防火、防水、防盗、防雷等措施，服务器等设备要放置在合适的位置，防止因物理因素导致的损坏或数据丢失。

网络安全 方面，要采用防火墙、入侵检测 / 预防系统等技术手段。防火墙可以阻止未经授权的网络访问，入侵检测系统能够实时监测并发现异常的网络访问行为，入侵预防系统则可以在检测到入侵行为时自动采取措施进行阻止。

应用安全 方面，对于各类应用系统，要进行安全开发，防止常见的应用安全漏洞，如 SQL 注入、跨站脚本攻击（XSS）等。开发人员需要在代码编写过程中遵循安全编码规范，并且在应用上线前进行严格的安全测试。

三、等级划分

（一）第一级（自主保护级）

适用于一般的网络系统 ，这些系统遭到破坏后，可能会对公民、法人和其他组织的合法权益造成损害 ，**但不损害国家安全、社会秩序和公共利益。**例如，一个小型企业的内部办公系统，主要用于日常的文件共享和简单的业务流程管理。

这类系统运营者应当自行进行安全保护，按照国家有关管理规范和技术标准进行网络安全建设和维护。

（二）第二级（指导保护级）

适用于一旦遭到破坏后，会对公民、法人和其他组织的合法权益产生严重损害 ，或者对社会秩序和公共利益造成损害 ，但不损害国家安全的一般网络系统。像一些地方政府部门的非核心业务系统，如城市的社区服务信息系统。

网络运营者应当在公安机关的指导下，按照国家有关管理规范和技术标准进行网络安全建设和维护，同时要定期进行自查，保存相关的网络安全记录。

（三）第三级（监督保护级）

适用于一旦遭到破坏后，会对社会秩序和公共利益造成严重损害 ，或者对国家安全造成损害的网络系统。例如，金融机构的核心业务系统、交通枢纽的调度系统等。

网络运营者需要在公安机关的监督下，按照国家有关管理规范和技术标准进行网络安全建设和维护。除了定期自查外，还要接受公安机关等相关监管部门的检查，并且要对重要数据和系统进行备份和恢复测试。

（四）第四级（强制保护级）

适用于一旦遭到破坏后，会对社会秩序和公共利益造成特别严重损害 ，或者对国家安全造成严重损害的网络系统。如国家关键信息基础设施中的能源管理系统、国防工业的重要科研生产系统等。

网络运营者必须按照国家有关管理规范和技术标准进行强制性的网络安全建设和维护，接受国家指定的专门部门的严格监督检查，并且在安全防护技术、安全管理制度等方面都要达到较高的标准。

（五）第五级（专控保护级）

适用于一旦遭到破坏后，会对国家安全造成特别严重损害的网络系统。这类系统涉及国家核心安全领域，如国家战略指挥系统等。

网络安全保护工作由国家专门机构和部门进行专门控制，实行重点保护，在技术、管理等各个方面都有最严格的要求。

四、评估规范

（一）评估机构

网络安全等级保护评估应当由具备相应资质的网络安全等级保护测评机构进行。这些测评机构需要通过严格的审核和认证，其测评人员要具备专业的网络安全知识和技能。例如，他们要熟悉各种网络安全技术标准和评估方法，能够准确地检测系统的安全漏洞和风险。

测评机构应当客观、公正地开展测评工作，遵守国家有关法律法规和标准规范，对测评结果的真实性和准确性负责。

（二）评估内容

包括对网络系统的物理安全、网络安全、主机安全、应用安全、数据安全等多个方面的评估。例如，在物理安全评估中，要检查机房的环境设施是否符合安全要求；在网络安全评估中，要检测网络架构是否合理，网络设备的配置是否安全等。

还要对网络运营者的安全管理制度和人员安全进行评估。检查安全管理制度是否完善并有效执行，人员是否具备足够的安全意识和技能等。

（三）评估流程

一般包括测评准备阶段 ，如确定测评目标、收集测评所需的系统文档等；现场测评阶段 ，测评人员到网络运营者的现场，采用技术检测工具和人工检查相结合的方式进行测评；结果分析阶段 ，对测评获取的数据和信息进行分析，确定系统的安全等级是否符合要求，存在哪些安全风险；最后是编制测评报告阶段，将测评结果形成书面报告，反馈给网络运营者和相关监管部门。

练习题目

单选题

1.《网络安全等级保护条例》主要适用于哪些对象？

A. 所有信息系统和网络

B. 仅适用于国家机关的信息系统

C. 仅适用于大型企业的信息系统

D. 适用于涉及国家安全、社会稳定、经济运行和公共利益的关键信息基础设施

答案：D

解析：《网络安全等级保护条例》主要适用于涉及国家安全、社会稳定、经济运行和公共利益的关键信息基础设施，包括但不限于国家机关、重要行业领域、关键信息基础设施运营者的信息系统和网络。

2.下列哪项不属于网络安全等级保护的基本要求？

A. 安全管理制度

B. 安全物理环境

C. 数据备份与恢复

D. 网络安全教育

答案：D

解析：网络安全等级保护的基本要求包括安全管理制度、安全物理环境、安全通信网络、安全区域边界、安全计算环境等方面，而网络安全教育虽然重要，但不属于等级保护的基本要求。

3.网络安全等级保护分为几个等级？

A. 3个

B. 4个

C. 5个

D. 6个

答案：C

解析：网络安全等级保护分为五个等级，从低到高依次为一级至五级。

多选题

1.下列哪些属于网络安全等级保护的基本要求？

A. 安全管理制度

B. 安全物理环境

C. 安全通信网络

D. 网络安全教育

E. 安全区域边界

答案：A, B, C, E

解析：网络安全等级保护的基本要求包括安全管理制度、安全物理环境、安全通信网络、安全区域边界、安全计算环境等方面。

2.下列哪些对象可能需要进行网络安全等级保护？

A. 国家机关的信息系统

B. 金融机构的信息系统

C. 电子商务平台的信息系统

D. 个人电脑

答案：A, B, C

解析：国家机关、金融机构、电子商务平台等涉及国家安全、社会稳定、经济运行和公共利益的关键信息基础设施需要进行网络安全等级保护。个人电脑虽然也需要保护，但通常不属于等级保护的范畴。

3.网络安全等级保护的评估规范可能包括哪些方面？

A. 评估方法

B. 评估流程

C. 评估标准

D. 评估结果

答案：A, B, C, D

解析：网络安全等级保护的评估规范可能包括评估方法、评估流程、评估标准和评估结果等方面，以确保评估工作的全面性和准确性。

判断题

1.《网络安全等级保护条例》适用于所有信息系统和网络。（）

答案：错

解析：《网络安全等级保护条例》主要适用于涉及国家安全、社会稳定、经济运行和公共利益的关键信息基础设施，而非所有信息系统和网络。

2.网络安全等级保护的基本要求包括安全管理制度、安全物理环境、安全通信网络等方面。（）

答案：对

解析：网络安全等级保护的基本要求确实包括安全管理制度、安全物理环境、安全通信网络等方面。

3.网络安全等级保护分为四个等级，从低到高依次为一级至四级。（）

答案：错

解析：网络安全等级保护分为五个等级，从低到高依次为一级至五级。

4.网络安全等级保护的评估规范只包括评估方法和评估标准。（）

答案：错

解析：网络安全等级保护的评估规范不仅包括评估方法和评估标准，还包括评估流程和评估结果等方面。