网络安全等级保护基础

01、我国等级保护的起源

中华人民共和国计算机信息系统安全保护条例

1994.2.18，国务院147号令第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

GB 17859 计算机信息系统安全保护等级划分准则 1999.9.13发布，2001.1.1实施5个等级：

第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

GB 17859安全等级划分的要素

02、等级保护主管部门

公安部

网络安全保卫局
信息安全等级保护评估中心

省级公安厅

网络总队 – 测评机构管理

地市级公安局

网安大队 – 备案、检查

03、等级保护政策

中华人民共和国网络安全法

2017.6.1实施第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

网络安全法中的几个术语（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

规章制度

信息安全等级保护管理办法（公通字〔2007〕43号）
定级 – 备案 – 建设整改 – 测评 – 监督检查
网络安全等级保护测评机构管理办法（公信安〔2018〕765号）
测评机构推荐目录
测评师管理
http://www.djbh.net
网络安全等级保护条例（征求意见稿）

等级保护标准网络安全等级保护的标准大概分为国家标准与行业标准这两类。下图为大家列出10个我们常用的、比较重要的网络安全等级保护的标准。

04、GB/T 22239 网络安全等级保护基本要求

1 范围

本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。本标准适用于指导分等级的非涉密对象的安全建设和监督管理。对第五级等级保护对象的安全要求不在本标准中描述。

GB/T 22239 的几个术语3.1 网络安全 cybersecurity通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。3.2 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。5.1 等级保护对象等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

GB/T 22239 五个等级的安全保护能力