網絡安全等級保護基礎知識

2019年12月1日，網絡安全等級保護2.0開始實施。到今年為止，網絡安全等級保護制度在我國已實施了十多年，但大部分人對等保制度的理解還只是停留在表面，對等保制度的很多內容有不少誤解。下面是小編為大家整理的網絡安全等級保護基礎知識，僅供參考，歡迎閲讀。

什麼是網絡安全等級保護

網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法。開展網絡安全等級保護工作是保護信息化發展、維護網絡安全的根本保障，是網絡安全保障工作中國家意志的體現。

網絡安全等級保護工作包括定級、備案、建設整改、等級測評、監督檢查五個階段。定級對象建設完成後，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對定級對象安全等級狀況開展等級測評。

實施意義

●合法要求：

滿足合法合規要求，清晰化責任和工作方法，讓安全貫穿全生命週期。

●體系建設：

明確組織整體目標，改變以往單點防禦方式，讓安全建設更加體系化。

●等級防護：

提高人員安全意識，樹立等級化防護思想，合理分配網絡安全投資。

法律要求

《中華人民共和國網絡安全法》【第二十一條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。法律解讀：國家明確實行等級保護制度，網絡運營者應按等級保護要求開展網絡安全建設。

《中華人民共和國網絡安全法》【第三十一條】國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。（關鍵信息基礎設施必須落實國家等級保護制度，突出保護重點）法律解讀：關鍵信息基礎設施必須要落實等級保護制度，並要重點保護。

網絡安全等級保護工作具體包含哪些內容？

根據信息系統等級保護相關標準，等級保護工作總共分五個階段，分別為：

1）是信息系統定級。

2）是信息系統備案。

3）是系統安全建設。

4）是信息系統開始等級測評。

5）主管單位定期開展監督檢查。

為什麼要開展網絡安全等級保護工作？

1）通過等級保護工作發現單位信息系統存在的安全隱患和不足，進行安全整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險，維護單位良好的形象。

2）等級保護是我國關於信息安全的基本政策，國家法律法規、相關政策制度要求單位開展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網絡安全法》。

3）很多行業主管單位要求行業客户開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育等行業，還有一些主管單位發過相關文件或通知要求去做。

4）落實個人及單位的網絡安全保護義務，合理規避風險。

等級保護的五個級別

第一級 自主保護級：（無需備案，對測評週期無要求）此類信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成一般損害，不損害國家安全、社會秩序和公共利益。

第二級 指導保護級:（公安部門備案，建議兩年測評一次）此類信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成嚴重損害。會對社會秩序、公共利益造成一般損害，不損害國家安全。

第三級 監督保護級：（公安部門備案，要求每年測評一次）此類信息系統受到破壞後，會對國家安全、社會秩序造成損害，對公共利益造成嚴重損害，對公民、法人和其他組織的合法權益造成特別嚴重的損害。

第四級 強制保護級：（公安部門備案，要求半年一次）此類信息系統受到破壞後，會對國家安全造成嚴重損害，對社會秩序、公共利益造成特別嚴重損害。

第五級 專控保護級：（公安部門備案，依據特殊安全需求進行）此類信息系統受到破壞後會對國家安全造成特別嚴重損害。

國家網絡安全等級保護框架

對企業系統安全的需求

信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。

等級保護對象

網絡安全等級保護工作流程是怎樣的

一、定級

信息系統運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統的安全保護等級。有上級主管部門的，應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然説的是自主定級，但主要還是根據系統實際情況去定級，有行業指導文件的根據指導文件來，沒有文件的需要根據定級指南來，總之一句話合理定級，該是幾級就是幾級，不要定的高也不要定的.低。

二、備案

第二級以上信息系統定級市級單位到所在地社區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案，各地市單位一般直接到市級網安支隊備案，也有部分地市區縣單位的定級備案資料是先交到區縣網監大隊的，具體根據各地市要求來。

三、系統安全建設

信息系統安全保護等級確定後，運營使用單位按照管理規範和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定並落實安全管理制度。

四、等級測評

信息系統建設完成後，運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開展等級測評。測評完成之後根據發現的安全問題及時進行整改，特別是高危風險。測評的結論分為：不符合、基本符合、符合。當然符合基本是不可能的，那是理想狀態。

五、監督檢查

公安機關依據信息安全等級保護管理規範及《網絡安全法》相關條款，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

其中定級、備案工作原則上是由用户單位自己填寫定級備案表交給網監部門去進行備案工作，但考慮到實際情況，絕大多數情況下都是用户單位在測評機構的協助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展，可以先測評再整改，也可以先建設再測評。具體還是根據自身實際情況來辦。注：選擇的測評機構很重要，測評機構的權威性，測評質量直接關係到單位信息系統後期整改內容，提前發現問題提前整改，可以有效降低被攻擊的風險，提高信息安全防護能力。

等級保護測評有哪些技術類型？具體指標如何？

等級保護主要從技術要求和管理要求兩方面進行綜合測評，而根據等級保護測評的三種不同技術類型，其測評的指標要求也有所不同。

等保測評並非相當於ISO 20000系列的信息技術服務管理認證，也並非於ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度，是國家意志的體現。落實等級保護制度為了國家法律法規的合規需求。很多人認為，完成等保測評就萬事大吉。其實，等保制度只是基線的要求，通過測評、整改，落實等級保護制度，確實可以規避大部分的安全風險。但就目前的測評結果來看，幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下，目前等保測評過程中，只要沒發現高危安全風險，都可以通過測評。但是，安全是一個動態而非靜止的過程，而不是通過一次測評，就可以一勞永逸的。企業通過落實等保安全要求，並嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此，更重要是提升企業安全防護能力，及時把工作做到位。