中国网络安全等级标准

A. 等保三级是什么等保认证有哪些标准

等保三级又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

其中按照评定等级可以分为一至五级测评。三级等保是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求，包含信息保护、安全审计、通信保密等近300项要求，共涉及测评分类73类，要求十分严格。

三级等保认证最严的地方是在技术层面，主要体现在系统安全管理和恶意代码防范上，简单的说，就是每当有黑客对平台进行攻击时，平台具备一定的防范能力。

标准如下：

十三大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）

信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）

信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

B. 网络信息安全保护等级分为几级

国家质量技术监督局标准规定了计算机信息系统安全保护能力的五个等级：
第一级：用户自主保护级， 第二级：系统审计保护级，第三级：安全标记保护级，第四级：结构化保护级，第五级：访问验证保护级。

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

C. 网络信息系统安全保护等级分为

网络信息系统安全等级保护分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级，五级防护水平一级最低，五级最高。具体介绍如下：

1、第一级（自主保护级），会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

2、第二级（指导保护级），会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序 和公共利益造成损害，但不损害国家安全；

3、第三级（监督保护级），会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

4、第四级（强制保护级），会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

5、第五级（专控保护级），会对国家安全造成特别严重损害。

D. 网络安全等级保护级别

网络信息系统安全等级保护分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级，五级防护水平一级最低，五级最高。
网络安全等级保护级别具体介绍？
1、第一级（自主保护级），会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
2、第二级（指导保护级），会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
3、第三级（监督保护级），会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
4、第四级（强制保护级），会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
5、第五级（专控保护级），会对国家安全造成特别严重损害。
国家质量技术监督局标准规定了计算机信息系统安全保护能力的五个等级：
第一级：用户自主保护级，_第二级：系统审计保护级，第三级：安全标记保护级，第四级：结构化保护级，第五级：访问验证保护级。

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。
总结网络安全等级保护的级别划分是根据网络系统在国家安全、经济建设、社会生活中的重要程度,以及网络系统遭到破坏后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益
法律依据：《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取

E. 等保2.0定级指南，你要了解在这里！

2019年12月1日网络安全等级保护2.0国家标准的正式实施，标志着我国网络安全等级保护制度进入了全新时代。作为国家等级保护标准体系的核心标准之一的 GB/T   22240-2020《信息安全技术    网络安全等级保护定级指南》 （以下简称“定级指南”）于2020年4月28日发布，2020年11月1日正式实施。

定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程，通过指导网络运营者合理划分定级对象和准确的 确定安全保护等级 ，为后续的安全建设整改、等级测评等工作奠定了良好的基础。

新版定级指南在等级保护1.0定级指南的基础上，对等级保护对象做了新的定义，增加了对云大物移工等场景的说明，修改了定级流程，以适应新形势下等级保护工作的需要，有力推动了等级保护工作的开展。那么2.0的定级指南正式实施后，我们需要注意哪些点呢？

等级保护对象新定义

等保保护定级对象主要包括： 信息系统 、 通信网络设施 和 数据资源等 。

信息系统 就是我们在1.0时候的定级对象，指的是各类信息系统；

通信网络设施 指的是为信息流通、网络运行等起基础支撑作用的网络设备设施，主要包括电信网、广播电视传输网和行业或单位的专用通信网等，所以大家得注意了自己单位的专网得定级，特别是承载了重要信息系统或者专网规模较大的网络；

数据资源 指的是具有或预期具有价值的数据集合，数据资源主要是拥有大量各类有价值的数据，那么这些单位需要保护好这些数据资源，自然需要对该数据资源进行定级，我们可以想象的这类数据有：人社数据、医保数据、公积金数据、个人财产数据（银行、房产、保险等）等信息。

定级要素与安全保护等级新关系

依据安全保护等级的定义，定级应综合考虑“等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”。因此本标准中明确等级保护对象的定级要素为两个，分别为“ 受侵害的客体 ”和“ 对客体的侵害程度 ”。

定级要素与安全保护等级的关系如下。

受侵害的客体表现形式有哪些

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织.

侵害国家安全的事项包括以下方面 :

1.影响国家政权稳固和领土主权、海洋权益完整;

2.影响国家统一、民族团结和社会稳定;

3.影响国家社会主义市场经济秩序和文化实力;

4.其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面 :

1.影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序.公共交通秩序;

2.影响人民群众的生活秩序;

3.其他影响社会秩序的事项。

侵害公共利益的事项包括以下方面 :

1.影响社会成员使用公共设施; 

2.影响社会成员获取公开数据资源;

3.影响社会成员接受公共服务等方面;

4.其他影响公共利益的事项。

业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果 :

1.影响行使工作职能;

2.导致业务能力下降;

3.引起法律纠纷;

4.导致财产损失;

5.造成社会不良影响;

6.对其他组织和个人造成损失;

7.其他影响。

侵害公民法人和其他组织的合法权益是指受法律保护的公民.法人和其他组织所享有的社会权利和利益等受到损害。

确定受侵害的客体时.首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益.最后判断是否侵害公民,法人和其他组织的合法权益。

等级保护对象新特征

作为等级保护对象的网络应具有如下基本特征：

具有确定的主要安全责任主体 ；

承载相对独立的业务应用 ；

包含相互关联的多个资源 。

在确定定级对象时，云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统在满足以上基本特征的基础上，需要满足以下要求。

定级新流程

对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准，在规划设计阶段确定其安全保护等级；对于跨省或者全国统一联网运行的网络可以由行业主管（监管）部门统一组织定级工作。安全保护等级初步确定为第二级及以上的等级保护对象，其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核，最终确定其安全保护等级。

专家评审 ：定级对象的运营、使用单位应组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，并出具专家评审意见 。

主管部门审批 ：定级对象的运营、使用单位应将初步定级结果报请行业主管（监管）部门核准，并出具核准意见。

公安机关审核 ：定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

F. 网络安全标准

法律分析：根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。

（一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

（二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

（三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

（四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

（五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

法律依据：《网络安全等级保护条例》 第十五条 根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。

（一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

（二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

（三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

（四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

（五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

G. 国家实行什么网络安全制度

法律分析：网络安全法中网络运行安全规定，国家实行网络安全等级制度。

法律依据：《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

H. 网络等级保护几个级别

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序 和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

中华人民共和国人民警察法》第六条第十二款规定，人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。

1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2008年国务院“三定”方案，赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。

I. 网络安全的级别包括什么

分为以下七个级别：

1、D1 级

这是计算机安全的最低一级。整个计算机系统是不可信任的，硬件和操作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。

2、C1 级

C1级系统要求硬件有一定的安全机制(如硬件带锁装置和需要钥匙才能使用计算机等)，用户在使用前必须登录到系统。C1级还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限。

3、C2 级

C2级在C1级的某些不足之处加强了几个特性，C2级引进了受控访问环境(用户权限级别)的增强特性。这一特性不仅以用户权限为基础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录。

4、B1 级

B1级支持多级安全，多级是指这一安全保护安装在不同级别的系统中(网络、应用程序、工作站等)，它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别。

5、B2 级

这一级别称为结构化的保护(Structured Protection)。B2 级安全要求计算机系统中所有对象加标签，而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。如用户可以访问一台工作站，但可能不允许访问装有人员工资资料的磁盘子系统。

6、B3 级

B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。

7、A 级

这是橙皮书中的最高安全级别，这一级有时也称为验证设计(verified design)。与前面提到各级级别一样，这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计。至计算机房都被严密跟踪。