網路安全等級誰定級

Ⅰ 國家安全等級劃分方法,定級對象

2018年6月27日，公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」)，標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條，包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。

《等保條例》的具體規定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布，作為等保1.0體系的核心規定，其法律效力為部門規范性文件。另根據《管理辦法》第一條規定，其制定依據為國務院行政法規《計算機信息系統安全保護條例》。

《等保條例》雖尚在徵求意見稿階段，根據《行政法規制定程序條例》第五條，行政法規的名稱一般稱「條例」，國務院各部門和地方人民政府制定的規章不得稱「條例」，因此，《等保條例》應當屬於行政法規范疇。此外，《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。

綜上可知，《管理辦法》為依據行政法規制定的部門規范性文件，而《等保條例》則屬於依據國家法律制定的行政法規，顯然，無論是自身法律效力亦或法律依據的效力位階，等保2.0均優於等保1.0。

等級保護的適用范圍

對於適用范圍，《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路，開展網路安全等級保護以及監督管理工作，而個人及家庭自建自用的網路除外，內容較為簡略。2018年1月19日，全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」)，為等保的具體適用提供了指引。

等保1.0體系中，《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此，《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。

相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統，《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍，主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外，作為定級對象的網路還應當滿足三個基本特徵：第一，具有確定的主要安全責任主體;第二，承載相對獨立的業務應用;第三，包含相互關聯的多個資源

根據《定級指南2.0》，定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路，應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業務專網既可以作為一個整體定級，也可根據區域劃分為若干對象定級。對於工業控制系統，應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級，而生產管理要素可以單獨定級。對於雲計算平台，則應區分為服務提供方與租戶方，各自分別作為定級對象。對於物聯網，雖然其包括感知、網路傳輸和處理應用等多種特徵因素，但仍應將以上要素作為一個整體的定級對象，各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似，應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據，除安全責任主體相同的平台和應用可以整體定級外，應單獨定級。

網路等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級，《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級，而《等保條例》則進行了相應修改，當等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格：

網路安全保護義務

《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任，但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定，就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。

對於安全保護義務，除《網安法》第二十一條已經明確的內容外，一般網路運營者還應：一、建立安全管理和技術保護制度，建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度，制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施，落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施，防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外，還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度，同時定期開展等級測評工作。

對於網路產品和服務采購，網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務，第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務，對重要部位使用的網路產品，還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定，因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書，以減少運營法律風險。

對於應急預案的制定，第三級以上網路的運營者應當按照國家有關規定，制定網路安全應急預案，定期開展網路安全應急演練。除及時記錄並留存事件數據信息，向公安機關和行業主管部門報告外，網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》，報告網路安全事件信息時，還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。

網路安全保護要求

近年來，隨著人工智慧、大數據、物聯網、雲計算等的快速發展，安全趨勢和形勢的急速變化，2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始，等級保護的安全要求逐步開始制定2.0標准，包括5個部分：安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月，公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求，而等保2.0標准更適應當前網路安全形勢的發展，結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。

Ⅱ 計算機網路安全等級劃分是什麼

TCSEC中根據計算機系統所採用的安全策略、系統所具備的安全功能將系統分為A、 B(B1、B2、B3)、C(C1、C2)、D等4類7個安全級別。

(1)D類：最低保護(minimal protection)，未加任何實際的安全措施。這是最低的一類，不再分級。常見的無密碼保護的個人計算機系統屬於這一類。

(2)C類：被動的自主訪問策略(discretionary access policy enforced)，分以下兩個子類。

·C1：無條件的安全保護。這是C類中較低的一個子類，提供的安全策略是無條件的訪問控制，具有識別與授權的責任。早期的UNIX系統屬於這一類。

·C2：有控制的存取保護。這是C類中較高的一個子類，除了提供C1中的策略與責任外，還有訪問保護和審計跟蹤功能。

(3)B類：被動的強制訪問策略(mandatory access policy enforced)，屬強制保護，要求系統在其生成的數據結構中帶有標記，並要求提供對數據流的監視，B類又分3個子類。

·B1：標記安全保護，是B類中最低的子類。除滿足C類要求外，要求提供數據標記。

·B2：結構安全保護，是B類中的中間子類。除滿足B1要求外，要實行強制性的控制。

·B3：安全域保護，是B類中的最高子類，提供可信設備的管理和恢復。即使計算機系統崩潰，也不會泄露系統信息。

(4)A類：經過驗證的保護(formally proven)，是安全系統等級的最高類。

Ⅲ 信息系統的安全防護等級可劃分為幾級

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

信息系統安全等級保護一共分為5級：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例

Ⅳ 根據《信息系統安全等級保護定級指南》，信息系統的安全保護等級由哪兩個定級要素決定

根據《信息系統安全等級保護定級指南》，信息系統的安全保護等級由（受侵害的客體、對客體造成侵害的程度業務）兩個定級要素決定。

《信息安全等級保護定級指南》規定，只要符合以下三個特徵，就必須進行等級保護備案。如果符合以下三個特徵，並且安全保護等級是二級及以上，還必須通過等級保護測評，網站也不例外。

等級保護定級對象的三大基本特徵：具有確定的主要安全責任主體；承載相對獨立的業務應用；包含相互關聯的多個資源。

信息系統的安全保護整改

等級保護整改是等保建設的其中一個環節，指按照等級保護建設要求，對信息和信息系統進行的網路安全升級，包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力，讓企業可以成功通過等級測評。

等級保護整改沒有什麼資質要求，只要公司可以按照等級保護要求來進行相關網路安全建設，由誰來實施，是沒有要求的。但由於目前企業網路安全人才緊缺，企業很多時候都需要尋找專業的網路安全服務公司來進行整改。

Ⅳ 網路安全分為幾個級別

網路安全級別按安全級別由高到低分為A、B、C、D四個級別。這些安全級別不是線性的，而是成倍增加的。

1、D1 級

這是計算機安全的最低級別。整個計算機系統不可信，硬體和操作系統容易受到攻擊。D1級計算機系統標准規定對用戶沒有認證，即任何人都可以無障礙地使用計算機系統。系統不需要用戶注冊（需要用戶名）或密碼保護（需要用戶提供唯一的訪問字元串）。任何人都可以坐在電腦前開始使用它。

2、C1 級

C1級系統要求硬體具有一定的安全機制（如硬體鎖定裝置和使用計算機的密鑰），用戶在使用前必須登錄系統。C1級系統還需要完全的訪問控制能力，這應該允許系統管理員為某些程序或數據建立訪問許可權。C1級保護的缺點是用戶直接訪問操作系統的根目錄。C1級不能控制用戶進入系統的訪問級別，用戶可以任意移動系統數據。

3、C2 級

C1級C2級的一些缺點強化了幾個特點。C2級引入了受控訪問環境（用戶許可權級）的增強功能。此功能不僅基於用戶許可權，而且還進一步限制用戶執行某些系統指令。授權層次結構允許系統管理員對用戶進行分組，並授予他們訪問某些程序或層次目錄的許可權。

另一方面，用戶許可權授權用戶訪問程序駐留在單個單元中的目錄。如果其他程序和數據在同一目錄中，則會自動授予用戶訪問這些信息的許可權。指揮控制級系統也採用系統審計。審計功能跟蹤所有「安全事件」，如登錄（成功和失敗），以及系統管理員的工作，如更改用戶訪問許可權和密碼。

4、B1 級

B1級系統支持多級安全，多級是指這一安全保護安裝在不同級別的系統中(網路、應用程序、工作站等)，它對敏感信息提供更高級的保護。例如安全級別可以分為解密、保密和絕密級別。

5、B2 級

這一級別稱為結構化的保護(Structured Protection)。B2 級安全要求計算機系統中所有對象加標簽，而且給設備(如工作站、終端和磁碟驅動器)分配安全級別。如用戶可以訪問一台工作站，但可能不允許訪問裝有人員工資資料的磁碟子系統。

6、B3 級

B3級要求用戶工作站或終端通過可信任途徑連接網路系統，這一級必須採用硬體來保護安全系統的存儲區。

7、A 級

這是橙色書籍中最高級別的安全性，有時被稱為驗證設計(verified design)。與以前的級別一樣，此級別包含其較低級別的所有功能。A級還包括安全系統監控的設計要求，合格的安全人員必須分析並通過設計。此外，必須採用嚴格的形式化方法來證明系統的安全性。在A級，構成系統的所有組件的來源必須得到保護，這些安全措施還必須確保這些組件在銷售過程中不會損壞。例如，在A級設置中，磁帶驅動器從生產工廠到計算機室都會被密切跟蹤

Ⅵ 網路安全等級保護條例

網路安全等級保護分為五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例

Ⅶ 等級保護定級標準是什麼

2020年4月28日，國家市場監督管理總局和國家標准化管理委員會發布了《GBT 22240-2020信息安全技術網路安全等級保護定級指南》，且該指南將於2020年11月1日正式實施。需要對信息系統進行定級的企業可以以此為定級依據。

根據規定，信息系統一共分五個等級，由一到五級別逐漸升高。

信息系統的五個等級

等級保護對象的級別由兩個定級要素決定：①受侵害的客體。分三個方面，即：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全；②對客體的侵害程度。分三種程度，即：造成一般損害；造成嚴重損害；造成特別嚴重損害。

等級保護對象定級工作流程一般為：確定定級對象→初步確定等級→專家評審→主管部門批准→公安機關審核。安全保護等級初步確定為第二級及以上的等級保護對象，其網路運營者依據本標准組織專家評審、主管部門批准和公安機關備案審核，最終確定其安全等級。初步確定為第一級的等級保護對象，可不進行專家評審、主管部門批准和公安機關審核。

Ⅷ 網路信息系統安全保護等級分為

網路信息系統安全等級保護分為五級，第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級，五級防護水平一級最低，五級最高。具體介紹如下：

1、第一級（自主保護級），會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

2、第二級（指導保護級），會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序 和公共利益造成損害，但不損害國家安全；

3、第三級（監督保護級），會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

4、第四級（強制保護級），會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

5、第五級（專控保護級），會對國家安全造成特別嚴重損害。

Ⅸ 等保保護分為幾級企業如何定級

等保測評分為五個級別，從一到五級別逐漸升高。等級越高，說明信息系統重要性越高。一般企業項目多為等保二級、三級。對網路安全有特定高要求的軍工、電力、金融等單位應符合等保三級或等保四級；等保一級和等保五級（涉密）由於安全性太低或太高，單位或組織少有涉及。

等保2.0時代，等保測評中的定級對象級別必須經過專家評審和主管部門審核。定級流程為：確定定級對象→初步確定等級→主管部門審核→專家評審→公安機關備案審查（最終確定等級）。

建議運營使用單位或者其主管部門應當選擇符合資質要求的第三方測評機構，比如國家網路安全等級保護工作協調小組辦公室推薦測評機構-時代新威（推薦理由：1、一站式等級保護服務專家，省時省心2、做過大量各行業等保測評案例。3、從事網路安全18年），依據《網路安全等級保護測評要求》等技術標准，定期對等級保護對象開展等級測評。第三級定級對象應當每年進行一次等級測評工作，第四級定級對象應當每半年進行一次等級測評工作，第五級定級對象應當依據特殊安全需求進行等級測評。

Ⅹ 網路等級保護幾個級別

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序 和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。

中華人民共和國人民警察法》第六條第十二款規定，人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。

1994年《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號）第九條明確規定，「計算機信息系統實行安全等級保護，安全等級的劃分標准和安全等級保護的具體辦法，由公安部會同有關部門制定」。

2008年國務院「三定」方案，賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責。