網路安全等級保護主要標准有哪些

① 網路安全等級保護2.0國家標准

等級保護2.0標准體系主要標准如下：1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級（自主保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
第二級（指導保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
第三級（監督保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
第四級（強制保護級），等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；
第五級（專控保護級），等級保護對象受到破壞後，會對國家安全造成特別嚴重損害
相較於1.0版本，2.0在內容上到底有哪些變化呢？
1.0定級的對象是信息系統，2.0標準的定級的對象擴展至：基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統，覆蓋面更廣。
再者，在系統遭到破壞後，對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後，等保2.0標准不再強調自主定級，而是強調合理定級，系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，定級更加嚴格。
總結通過建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網路安全綜合防禦體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據：《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

② 信息安全等級保護十三大重要標準是什麼

計算機信息系統安全等級保護劃分准則 （GB 17859-1999） （基礎類標准）
信息系統安全等級保護實施指南 （GB/T 25058-2010） （基礎類標准）
信息系統安全保護等級定級指南 （GB/T 22240-2008） （應用類定級標准）
信息系統安全等級保護基本要求 （GB/T 22239-2008） （應用類建設標准）
信息系統通用安全技術要求 （GB/T 20271-2006） （應用類建設標准）
信息系統等級保護安全設計技術要求 （GB/T 25070-2010） （應用類建設標准）
信息系統安全等級保護測評要求 （GB/T 28448-2012）（應用類測評標准）
信息系統安全等級保護測評過程指南 （GB/T 28449-2012）（應用類測評標准）
信息系統安全管理要求 （GB/T 20269-2006） （應用類管理標准）
信息系統安全工程管理要求 （GB/T 20282-2006） （應用類管理標准）
信息安全技術網路安全等級保護基本要求（GB/T 22239-2019）（基礎類標准）
信息安全技術網路安全等級保護安全設計技術要求（GB/T 25070-2019）（應用類建設標准）
信息安全技術網路安全等級保護測評要求（GB/T 28448-2019）（應用類測評標准）

③ 網路安全分為幾個級別

網路安全級別按安全級別由高到低分為A、B、C、D四個級別。這些安全級別不是線性的，而是成倍增加的。

1、D1 級

這是計算機安全的最低級別。整個計算機系統不可信，硬體和操作系統容易受到攻擊。D1級計算機系統標准規定對用戶沒有認證，即任何人都可以無障礙地使用計算機系統。系統不需要用戶注冊（需要用戶名）或密碼保護（需要用戶提供唯一的訪問字元串）。任何人都可以坐在電腦前開始使用它。

2、C1 級

C1級系統要求硬體具有一定的安全機制（如硬體鎖定裝置和使用計算機的密鑰），用戶在使用前必須登錄系統。C1級系統還需要完全的訪問控制能力，這應該允許系統管理員為某些程序或數據建立訪問許可權。C1級保護的缺點是用戶直接訪問操作系統的根目錄。C1級不能控制用戶進入系統的訪問級別，用戶可以任意移動系統數據。

3、C2 級

C1級C2級的一些缺點強化了幾個特點。C2級引入了受控訪問環境（用戶許可權級）的增強功能。此功能不僅基於用戶許可權，而且還進一步限制用戶執行某些系統指令。授權層次結構允許系統管理員對用戶進行分組，並授予他們訪問某些程序或層次目錄的許可權。

另一方面，用戶許可權授權用戶訪問程序駐留在單個單元中的目錄。如果其他程序和數據在同一目錄中，則會自動授予用戶訪問這些信息的許可權。指揮控制級系統也採用系統審計。審計功能跟蹤所有「安全事件」，如登錄（成功和失敗），以及系統管理員的工作，如更改用戶訪問許可權和密碼。

4、B1 級

B1級系統支持多級安全，多級是指這一安全保護安裝在不同級別的系統中(網路、應用程序、工作站等)，它對敏感信息提供更高級的保護。例如安全級別可以分為解密、保密和絕密級別。

5、B2 級

這一級別稱為結構化的保護(Structured Protection)。B2 級安全要求計算機系統中所有對象加標簽，而且給設備(如工作站、終端和磁碟驅動器)分配安全級別。如用戶可以訪問一台工作站，但可能不允許訪問裝有人員工資資料的磁碟子系統。

6、B3 級

B3級要求用戶工作站或終端通過可信任途徑連接網路系統，這一級必須採用硬體來保護安全系統的存儲區。

7、A 級

這是橙色書籍中最高級別的安全性，有時被稱為驗證設計(verified design)。與以前的級別一樣，此級別包含其較低級別的所有功能。A級還包括安全系統監控的設計要求，合格的安全人員必須分析並通過設計。此外，必須採用嚴格的形式化方法來證明系統的安全性。在A級，構成系統的所有組件的來源必須得到保護，這些安全措施還必須確保這些組件在銷售過程中不會損壞。例如，在A級設置中，磁帶驅動器從生產工廠到計算機室都會被密切跟蹤

④ 網路等級保護幾個級別

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序 和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。

中華人民共和國人民警察法》第六條第十二款規定，人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。

1994年《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號）第九條明確規定，「計算機信息系統實行安全等級保護，安全等級的劃分標准和安全等級保護的具體辦法，由公安部會同有關部門制定」。

2008年國務院「三定」方案，賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責。

⑤ 等級保護2.0國家標准

法律分析：等級保護2.0標准體系主要標准如下：1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。

法律依據：《中華人民共和國網路安全法》

第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

⑥ 網路安全標准

法律分析：根據網路在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網路分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網路。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網路。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網路。

（四）第四級，一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網路。

（五）第五級，一旦受到破壞後會對國家安全造成特別嚴重危害的極其重要網路。

法律依據：《網路安全等級保護條例》 第十五條 根據網路在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網路分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網路。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網路。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網路。

（四）第四級，一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網路。

（五）第五級，一旦受到破壞後會對國家安全造成特別嚴重危害的極其重要網路。

⑦ 網路安全等級保護2.0標准體系

等級保護2.0標准主要特點

首先，我們來看看網路安全等級保護2.0的主要標准，如下圖：

說起網路安全等級保護2.0標準的特點，馬力副研究員表示，主要體現在以下三個方面：

一是，對象范圍擴大。新標准將雲計算、移動互聯、物聯網、工業控制系統等列入標准范圍，構成了「安全通用要求+新型應用安全擴展要求」的要求內容。

二是，分類結構統一。新標准「基本要求、設計要求和測評要求」分類框架統一，形成了「安全通信網路」、「安全區域邊界」、「安全計算環境」和「安全管理中心」支持下的三重防護體系架構。

三是，強化可信計算。新標准強化了可信計算技術使用的要求，把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。

「標准從一級到四級全部提出了可信驗證控制項。但在標準的試用期間，對於可信驗證的落地還存在諸多挑戰。所以，我們希望與這次參會的所有硬體廠商、軟體廠商、安全服務商共同努力，把可信驗證、可信計算這方面的產品產業化，來更好地支撐新標准。」 馬力副研究員說到。

等級保護2.0標準的十大變化

隨後，他為大家解讀了等級保護2.0標準的十大變化，具體如下：

1、名稱的變化

從原來的《信息系統安全等級保護基本要求》改為《信息安全等級保護基本要求》，再改為《網安全等級保護基本要求》。

2、對象的變化

原來的對象是信息系統，現在等級保護的對象是網路和信息系統。安全等級保護的對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。

3、安全要求的變化

由「安全要求」改為「安全通用要求和安全擴展要求」。

安全通用要求是不管等級保護對象形態如何必須滿足的要求，針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求，成為安全擴展要求。

4、章節結構的變化

第三級安全要求的目錄與之前版本明顯不同，以前包含技術要求、管理要求。現在的目錄包含：安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。

對此，馬力副研究員指出：「別小看只是目錄架構的變化，這導致整個新標準的使用不同。1.0標准規定技術要求和管理要求全部實現。現在需要根據場景選擇性的使用通用要求+某一個擴展要求。」

5、分類結構的變化

在技術部分，由物理安全、網路安全、主機安全、應用安全、數據安全，變更為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;在管理部分，結構上沒有太大的變化，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理，調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

6、增加了雲計算安全擴展要求

雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的內容包括：基礎設施的位置、虛擬化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。

7、增加了移動互聯網安全擴展要求

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括：無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟體采購和移動應用軟體開發等方面。

8、增加了物聯網安全擴展要求

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括：感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等方面。

9、增加了工業控制系統安全擴展要求

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護需求。對工業控制系統主要增加的內容包括：室外控制設備防護、工業控制系統網路架構安全、撥號使用控制、無線使用控制和控制設備安全等方面。

10、增加了應用場景的說明

增加附錄C描述等級保護安全框架和關鍵技術，增加附錄D描述雲計算應用場景，附錄E描述移動互聯應用場景，附錄F描述物聯網應用場景，附錄G描述工業控制系統應用場景，附錄H描述大數據應用場景(安全擴展要求)。

等級保護2.0標準的主要框架和內容

為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內容，我重點通過PPT來闡述。

首先來看看新標准結構：

2008版基本要求文檔結構如下：

新基本要求文檔結構如下：

安全通用要求中的安全物理部分變化不大，見下面：

網路試用版到***版被拆分了三個部分：安全通信網路、安全區域邊界、安全管理中心。安全管理中心在強調集中管控的時候，再次強調了系統管理，審計管理，安全管理，構成新的標准內容。具體如下：

演講***，馬力副研究員對幾個擴展要求進行了總結展示。他強調，GB/T22239-2019《信息安全技術 網路安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》，並呼籲大家認真學習新版等保要求。

⑧ 等級保護定級標準是什麼

2020年4月28日，國家市場監督管理總局和國家標准化管理委員會發布了《GBT 22240-2020信息安全技術網路安全等級保護定級指南》，且該指南將於2020年11月1日正式實施。需要對信息系統進行定級的企業可以以此為定級依據。

根據規定，信息系統一共分五個等級，由一到五級別逐漸升高。

信息系統的五個等級

等級保護對象的級別由兩個定級要素決定：①受侵害的客體。分三個方面，即：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全；②對客體的侵害程度。分三種程度，即：造成一般損害；造成嚴重損害；造成特別嚴重損害。

等級保護對象定級工作流程一般為：確定定級對象→初步確定等級→專家評審→主管部門批准→公安機關審核。安全保護等級初步確定為第二級及以上的等級保護對象，其網路運營者依據本標准組織專家評審、主管部門批准和公安機關備案審核，最終確定其安全等級。初步確定為第一級的等級保護對象，可不進行專家評審、主管部門批准和公安機關審核。