狭义网络安全

广义网络安全

对象内容

理念方法

持续时间

网络强依赖性及安全关联风险

网络信息产品供应链与安全质量风险

技术同质性与技术滥用风险

网络安全建设与管理发展不平衡、不充分风险

网络数据安全风险

高级持续威胁风险

恶意代码风险

软件代码和安全漏洞风险

人员的网络安全意识风险

网络信息技术复杂性和运营安全风险

网络地下黑产经济风险

网络间谍与网络战风险

机密性

完整性

可用性

抗抵赖性

可控性

真实性、时效性、合规性、公平性、可靠性、可生存性、隐私性

宏观目标

微观目标

防御

监测

应急

恢复

环境、设备和记录介质的总体安全是网络系统安全、可靠、不间断运行的基本保证

限制非法用户获取或使用网络资源，防止合法用户滥用权限

防止非授权用户访问网上信息或网络设备

监测系统是否存在安全漏洞，以便及时修补

防止恶意代码通过邮件、文件共享等方式进入个人计算机或服务器

保证相关网络信息系统承载的信息及数据符合法律法规要求

发现网络系统入侵活动和检查安全保护措施的有效性

采取措施保证网络系统正常运转，对网络攻击行为进行电子取证

对网络资产采取合适的安全措施，确保网络资产的可用性、完整性、可控性和抗抵赖性

包括风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA方法等

包括SOC、T资产管理系统、态势感知系统、漏扫、协议分析器、上网行为管理等

通过技术+管理综合评估，保障系统安全

包括信息安全管理体系认证(SMS)、系统安全工程能力成熟度模型(SSE-CMM)等

包括避免风险、转移风险、减少威胁、消除脆弱点、减少威胁的影响、风险监测

涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等

2015年7月1日通过并公布实施

2016年11月7日通过，2017年6月1日起施行

包括《网络安全等级保护2.0》、《中华人民共和国密码法》、《中华人民共和国数据安全法》等

包括关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险等

负责实施网络安全审查和认证的专门机构

包括《中华人民共和国密码法》、《商用密码管理条例》等

负责实施网络安全审查和认证的专门机构

网络基础服务，涉及域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等

负责互联网网络安全事件的预防、发现、预警和协调处置等工作

包括网络安全会议、期刊、网站、术语等

包括S&P, CCS, NDSS, USENIX Security

基础技术类、风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等