中國網路安全等級標准

A. 等保三級是什麼等保認證有哪些標准

等保三級又被稱為國家信息安全等級保護三級認證，是中國最權威的信息產品安全等級資格認證，由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標准，對各機構的信息系統安全等級保護狀況進行認可及評定。

其中按照評定等級可以分為一至五級測評。三級等保是國家對非銀行機構的最高級認證，屬於「監管級別」，由國家信息安全監管部門進行監督、檢查，認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類73類，要求十分嚴格。

三級等保認證最嚴的地方是在技術層面，主要體現在系統安全管理和惡意代碼防範上，簡單的說，就是每當有黑客對平台進行攻擊時，平台具備一定的防範能力。

標准如下：

十三大重要標准

計算機信息系統安全等級保護劃分准則 （GB 17859-1999） （基礎類標准）

信息系統安全等級保護實施指南 （GB/T 25058-2010） （基礎類標准）

信息系統安全保護等級定級指南 （GB/T 22240-2008） （應用類定級標准）

信息系統安全等級保護基本要求 （GB/T 22239-2008） （應用類建設標准）

信息系統通用安全技術要求 （GB/T 20271-2006） （應用類建設標准）

信息系統等級保護安全設計技術要求 （GB/T 25070-2010） （應用類建設標准）

信息系統安全等級保護測評要求 （GB/T 28448-2012）（應用類測評標准）

信息系統安全等級保護測評過程指南 （GB/T 28449-2012）（應用類測評標准）

信息系統安全管理要求 （GB/T 20269-2006） （應用類管理標准）

信息系統安全工程管理要求 （GB/T 20282-2006） （應用類管理標准）

信息安全技術網路安全等級保護基本要求（GB/T 22239-2019）（基礎類標准）

信息安全技術網路安全等級保護安全設計技術要求（GB/T 25070-2019）（應用類建設標准）

信息安全技術網路安全等級保護測評要求（GB/T 28448-2019）（應用類測評標准）

其它相關標准

GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求

GB/T 20270-2006 信息安全技術 網路基礎安全技術要求

GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求

GB/T 20272-2006 信息安全技術 操作系統安全技術要求

GB/T 20273-2006 信息安全技術資料庫管理系統安全技術要求

GB/T 20984-2007 信息安全技術 信息安全風險評估規范

GB/T 20985-2007 信息安全技術 信息安全事件管理指南

GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南

GB/T 20988-2007 信息安全技術 信息系統災難恢復規范

B. 網路信息安全保護等級分為幾級

國家質量技術監督局標准規定了計算機信息系統安全保護能力的五個等級：
第一級：用戶自主保護級， 第二級：系統審計保護級，第三級：安全標記保護級，第四級：結構化保護級，第五級：訪問驗證保護級。

信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。

C. 網路信息系統安全保護等級分為

網路信息系統安全等級保護分為五級，第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級，五級防護水平一級最低，五級最高。具體介紹如下：

1、第一級（自主保護級），會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

2、第二級（指導保護級），會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序 和公共利益造成損害，但不損害國家安全；

3、第三級（監督保護級），會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

4、第四級（強制保護級），會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

5、第五級（專控保護級），會對國家安全造成特別嚴重損害。

D. 網路安全等級保護級別

網路信息系統安全等級保護分為五級，第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級，五級防護水平一級最低，五級最高。
網路安全等級保護級別具體介紹？
1、第一級（自主保護級），會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
2、第二級（指導保護級），會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
3、第三級（監督保護級），會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
4、第四級（強制保護級），會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；
5、第五級（專控保護級），會對國家安全造成特別嚴重損害。
國家質量技術監督局標准規定了計算機信息系統安全保護能力的五個等級：
第一級：用戶自主保護級，_第二級：系統審計保護級，第三級：安全標記保護級，第四級：結構化保護級，第五級：訪問驗證保護級。

信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。
總結網路安全等級保護的級別劃分是根據網路系統在國家安全、經濟建設、社會生活中的重要程度,以及網路系統遭到破壞後,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益
法律依據：《中華人民共和國網路安全法》第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取

E. 等保2.0定級指南，你要了解在這里！

2019年12月1日網路安全等級保護2.0國家標準的正式實施，標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的 GB/T   22240-2020《信息安全技術    網路安全等級保護定級指南》 （以下簡稱「定級指南」）於2020年4月28日發布，2020年11月1日正式實施。

定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程，通過指導網路運營者合理劃分定級對象和准確的 確定安全保護等級 ，為後續的安全建設整改、等級測評等工作奠定了良好的基礎。

新版定級指南在等級保護1.0定級指南的基礎上，對等級保護對象做了新的定義，增加了對雲大物移工等場景的說明，修改了定級流程，以適應新形勢下等級保護工作的需要，有力推動了等級保護工作的開展。那麼2.0的定級指南正式實施後，我們需要注意哪些點呢？

等級保護對象新定義

等保保護定級對象主要包括： 信息系統 、 通信網路設施 和 數據資源等 。

信息系統 就是我們在1.0時候的定級對象，指的是各類信息系統；

通信網路設施 指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施，主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等，所以大家得注意了自己單位的專網得定級，特別是承載了重要信息系統或者專網規模較大的網路；

數據資源 指的是具有或預期具有價值的數據集合，數據資源主要是擁有大量各類有價值的數據，那麼這些單位需要保護好這些數據資源，自然需要對該數據資源進行定級，我們可以想像的這類數據有：人社數據、醫保數據、公積金數據、個人財產數據（銀行、房產、保險等）等信息。

定級要素與安全保護等級新關系

依據安全保護等級的定義，定級應綜合考慮「等級保護對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭受到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素」。因此本標准中明確等級保護對象的定級要素為兩個，分別為「 受侵害的客體 」和「 對客體的侵害程度 」。

定級要素與安全保護等級的關系如下。

受侵害的客體表現形式有哪些

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.

侵害國家安全的事項包括以下方面 :

1.影響國家政權穩固和領土主權、海洋權益完整;

2.影響國家統一、民族團結和社會穩定;

3.影響國家社會主義市場經濟秩序和文化實力;

4.其他影響國家安全的事項。

侵害社會秩序的事項包括以下方面 :

1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;

2.影響人民群眾的生活秩序;

3.其他影響社會秩序的事項。

侵害公共利益的事項包括以下方面 :

1.影響社會成員使用公共設施; 

2.影響社會成員獲取公開數據資源;

3.影響社會成員接受公共服務等方面;

4.其他影響公共利益的事項。

業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果 :

1.影響行使工作職能;

2.導致業務能力下降;

3.引起法律糾紛;

4.導致財產損失;

5.造成社會不良影響;

6.對其他組織和個人造成損失;

7.其他影響。

侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。

確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。

等級保護對象新特徵

作為等級保護對象的網路應具有如下基本特徵：

具有確定的主要安全責任主體 ；

承載相對獨立的業務應用 ；

包含相互關聯的多個資源 。

在確定定級對象時，雲計算平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統在滿足以上基本特徵的基礎上，需要滿足以下要求。

定級新流程

對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准，在規劃設計階段確定其安全保護等級；對於跨省或者全國統一聯網運行的網路可以由行業主管（監管）部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象，其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核，最終確定其安全保護等級。

專家評審 ：定級對象的運營、使用單位應組織信息安全專家和業務專家等，對初步定級結果的合理性進行評審，並出具專家評審意見 。

主管部門審批 ：定級對象的運營、使用單位應將初步定級結果報請行業主管（監管）部門核准，並出具核准意見。

公安機關審核 ：定級對象的運營、使用單位應按照相關管理規定，將初步定級結果提交公安機關進行備案審查，審查不通過，其運營使用單位應組織重新定級；審查通過後最終確定定級對象的安全保護等級。

F. 網路安全標准

法律分析：根據網路在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網路分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網路。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網路。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網路。

（四）第四級，一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網路。

（五）第五級，一旦受到破壞後會對國家安全造成特別嚴重危害的極其重要網路。

法律依據：《網路安全等級保護條例》 第十五條 根據網路在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網路分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網路。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網路。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網路。

（四）第四級，一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網路。

（五）第五級，一旦受到破壞後會對國家安全造成特別嚴重危害的極其重要網路。

G. 國家實行什麼網路安全制度

法律分析：網路安全法中網路運行安全規定，國家實行網路安全等級制度。

法律依據：《中華人民共和國網路安全法》 第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；（四）採取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。

H. 網路等級保護幾個級別

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序 和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。

中華人民共和國人民警察法》第六條第十二款規定，人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。

1994年《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號）第九條明確規定，「計算機信息系統實行安全等級保護，安全等級的劃分標准和安全等級保護的具體辦法，由公安部會同有關部門制定」。

2008年國務院「三定」方案，賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責。

I. 網路安全的級別包括什麼

分為以下七個級別：

1、D1 級

這是計算機安全的最低一級。整個計算機系統是不可信任的，硬體和操作系統很容易被侵襲。D1級計算機系統標准規定對用戶沒有驗證，也就是任何人都可以使用該計算機系統而不會有任何障礙。

2、C1 級

C1級系統要求硬體有一定的安全機制(如硬體帶鎖裝置和需要鑰匙才能使用計算機等)，用戶在使用前必須登錄到系統。C1級還要求具有完全訪問控制的能力，經應當允許系統管理員為一些程序或數據設立訪問許可許可權。

3、C2 級

C2級在C1級的某些不足之處加強了幾個特性，C2級引進了受控訪問環境(用戶許可權級別)的增強特性。這一特性不僅以用戶許可權為基礎，還進一步限制了用戶執行某些系統指令。授權分級使系統管理員能夠分用戶分組，授予他們訪問某些程序的許可權或訪問分級目錄。

4、B1 級

B1級支持多級安全，多級是指這一安全保護安裝在不同級別的系統中(網路、應用程序、工作站等)，它對敏感信息提供更高級的保護。例如安全級別可以分為解密、保密和絕密級別。

5、B2 級

這一級別稱為結構化的保護(Structured Protection)。B2 級安全要求計算機系統中所有對象加標簽，而且給設備(如工作站、終端和磁碟驅動器)分配安全級別。如用戶可以訪問一台工作站，但可能不允許訪問裝有人員工資資料的磁碟子系統。

6、B3 級

B3級要求用戶工作站或終端通過可信任途徑連接網路系統，這一級必須採用硬體來保護安全系統的存儲區。

7、A 級

這是橙皮書中的最高安全級別，這一級有時也稱為驗證設計(verified design)。與前面提到各級級別一樣，這一級包括了它下面各級的所有特性。A級還附加一個安全系統受監視的設計要求，合格的安全個體必須分析並通過這一設計。至計算機房都被嚴密跟蹤。