一、等级保护体系设计的主要工作要求
 
等级保护体系设计的主要工作要求包括：
 
（1）等级保护体系设计应包含技术和管理两方面的内容；
 
（2）等级保护体系设计不仅应满足国家相应保护等级的要求，还应满足所在行业和领域的相应保护等级的要求；
 
（3）运营者应在等级保护体系设计结束后，形成设计文档；
 
（4）等级保护体系设计过程中，若有变更，应执行变更管理；
 
（5）如委托外部机构协助开展等级保护体系设计工作的，应与外部机构签订保密协议。
 
2021最新整理网络安全/渗透测试/安全学习/100份src技术文档（全套视频、大厂面经、精品手册、必备工具包、路线）一>点我<一
 
二、等级保护体系设计的基础准备工作
 
运营者在开始设计网络安全等级保护体系前，应首先完成等级保护对象的定级备案、安全需求分析等工作。其中：
 
（1）等级保护对象的定级备案：确定等级保护对象的安全保护等级，以指导等级保护体系设计时对标相应级别的安全保护要求。感兴趣的读者可参考《浅谈如何规范开展等级保护定级和备案工作》一文。
 
（2）等级保护对象的安全需求分析：对标相应保护保护等级的安全保护要求明确运营者的网络安全等级保护需求，以在后续的等级保护体系设计时，采取有针对性的等级保护措施。感兴趣的读者可参考《浅谈如何规范有序地开展网络安全需求分析》。
 
三、等级保护体系设计主要过程
 
在完成等级保护体系设计的基础准备工作之后，正式开始等级保护体系的设计过程。等级保护体系设计主要过程如下：
 
 
3.1  确定实现目标
 
设计网络安全等级保护体系时，运营者应结合本单位实际情况，首先确定开展网络安全等级保护体系的设计目标，以明确后续网络安全等级保护体系的建设任务、建设内容等。
 
实现目标可分为总体目标和详细目标。其中：
 
（1）总体目标即等级保护体系设计要达到的总体安全保护目标。
 
（2）详细目标可以根据项目分期、分阶段等确定具体目标。例如：
 
——运营者可将总体目标分解为等级保护对象各阶段的具体安全目标，如开发建设阶段目标、运行维护阶段目标等。
 
——等级保护体系设计要完成的内容以项目形式分解到若干时期实现时，总体目标可分解为各项目的实现目标。
 
3.2  明确设计原则、依据和思路
 
确定实现目标后，运营者应明确遵循的设计原则、依据和思路。
 
3.2.1  明确设计原则
 
一般而言，设计原则应体现自主保护、分区分域、重点保护、适度安全、“三同步”、动态调整、技术管理并重、标准性、成熟性、科学性、合理性、保密性等内容。
 
3.2.2  明确设计依据
 
设计依据应包含国家和行业的网络安全等级保护相关的政策、法律法规、标准规范以及系统集成、安全开发等方面的工程规范。
 
3.2.3  明确设计思路
 
设计思路是指导总体及后续详细设计的灵魂，一般而言，应把握以下几点：
 
（1）构建分域的控制体系
 
按照分域保护思路设计安全体系架构，从结构上划分为不同的安全区域，以安全区域为单位进行安全防护技术措施的建设，各个安全区域内部还可根据安全需求的不同进一步划分子安全域和三级安全域。子安全域和三级安全域的边界也采用与一级安全域相同的边界安全防护措施，从而构成了分域的安全控制体系。
 
（2）构建纵深的防御体系
 
按照纵深防御思路设计安全体系架构，纵深防御体系根据“一个中心”管理下的“三重保护”体系框架进行设计，从物理环境安全防护、通信网络安全防护、网络边界安全防护、计算环境安全防护（主机设备安全防护/应用和数据安全防护）进行安全技术和措施的设计，以及通过安全管理中心对整个等级保护对象实施统一的安全技术管理。充分考虑各种技术的组合和功能的互补性，提供多重安全措施的综合防护能力，从外到内形成纵深防御体系。
 
（3）保证一致的安全强度
 
对于部署于同一安全区域的等级保护对象采取强度一致的安全措施，并采取统一的防护策略（低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则），使各安全措施在作用和功能上相互补充，形成动态的防护体系。
 
3.3  安全域划分设计
 
一般而言，对等级保护对象进行安全保护时，不是对整个等级保护对象进行同一等级的保护，而是对等级保护对象内不同业务区域进行不同等级的保护。因此，安全域划分是进行网络安全等级保护的重要环节。
 
安全域是指同一系统内根据信息性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域内具有相互信任关系，同一安全域共享同样的安全策略。简单来说，安全域是指具有相同或相近的安全需求、相互信任的网络区域或网络实体的集合。
 
3.3.1  安全域划分原则
 
安全域划分的基本原则如下：
 
 
3.3.2  安全域划分方式
 
安全域划分需考虑网络中业务系统访问终端与业务主机的访问关系以及业务主机间的访问关系。若业务主机间没有任何访问关系，则单独考虑各业务系统安全域的划分；若业务主机间有访问关系，则几个业务系统一起考虑安全域的划分。
 
一个物理网络区域可以对应多个安全区域，而一个安全区域一般只对应一个物理网络区域。
 
 
3.3.3  局域网安全域划分
 
局域网内部安全域划分是安全域划分的重点，可以依据业务的安全策略进行划分，主要参考在各业务的业务功能、安全等级以及局域网网络结构三方面因素。
 
（1）根据业务功能特点划分
 
不改变当前业务逻辑，可以使用两级三层结构进行划分：
 
 
（2）根据安全等级要求划分
 
网络安全等级保护是通过安全域划分将信息系统划分为多个子系统。实施等级保护时，一定会落实到每一个安全域中去。
 
等级保护的对象其实是安全域。在重要信息系统进行网络安全等级保护定级工作后，将相同安全等级的应用业务系统部署在相同的安全域。
 
（3）根据VLAN划分
 
局域网内部安全域划分的技术基础是VLAN。同一个VLAN内部的成员可以视为具有相同安全策略的对象，相互信任。VLAN边界可以视为网络边界，在VLAN之间使用相应的安全策略，便实现了简单的安全域划分。
 
3.3.4  安全域划分的隔离措施
 
安全域进行划分后主要采用边界隔离、边界访问控制等技术手段，将不同安全域的网络依据不同安全策略，实施必要的安全技术措施。
 
VLAN逻辑隔离是在同一台交换机内，建立不同的VLAN，承载不同的安全域。此方法对于现有网络支持较好，易于实施，但网络安全风险较大。
 
IP逻辑隔离是在VLAN逻辑隔离的基础上，不同安全域使用不同IP子网地址，实现数据链路层隔离和网络层隔离。此方式对现有网络改动较大，网络安全风险一般。
 
物理隔离是不同安全域完全使用单独网络基础设施，包括网线、交换机、路由器等设备，并且相互间没有任何逻辑或物理连接。此方式投资相对较大，对现有网络改动很大，但网络安全风险最小。
 
3.3.5  安全域划分后的安全技术措施
 
安全域划分最主要的目的是落实安全策略，由于安全域边界通常是基于网络划分，所以通常的方式是，在管理层面根据安全策略制定制度和要求，技术层面通过部署安全设备，使用相应的安全技术，实现安全域划分后的安全要求。
 
 
3.3.6  安全域划分示例
 
某运营者根据安全域划分的原则和一般划分方式，将本单位的安全域做出如下表的等级划分：
 
 
3.4  确定各安全域的保护强度
 
根据等级保护对象的定级情况和安全域划分情况，分别确定各安全域的防护强度。例如：
 
 
 
——某运营者划分了“核心域”用来统一部署核心的业务系统，核心的业务系统的保护等级被定为三级，则“核心域”确定按照第三级保护等级要求设计防护强度。
 
 
3.5  设计安全技术体系
 
运营者在实现安全域合理划分、确定各安全域的保护强度的基础上，进行等级保护安全技术体系设计。
 
3.5.1  安全技术体系架构设计
 
由于不同运营者的具体目标不同、使用技术不同、应用场景不同等因素，等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统（包括采用移动互联等技术的系统），云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。
 
由于形态不同的等级保护对象面临的威胁有所不同，安全保护需求也有所差异，为了便于描述实现对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护，基于通用和特定应用场景说明等级保护安全技术体系设计。其中：
 
（1）通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现，都应根据安全保护等级，实现相应级别的安全技术要求。
 
（2）特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出，针对特定应用场景，实现相应网络安全保护级别的安全技术要求。
 
安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。
 
 
其中：
 
（1）“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏；
 
（2）“通信网络安全防护”保护暴露于外部的通信线路和通信设备；
 
（3）“网络边界安全防护”对等级保护对象实施边界安全防护，内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域，低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则；
 
（4）“计算环境安全防护”即内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”。
 
（5）“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
 
等级保护对象的安全技术体系架构见下图：
 
 
（1）规定不同级别定级对象的物理环境的安全保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出不同级别定级对象物理环境的安全保护策略和安全技术措施。定级对象物理环境安全保护策略和安全技术措施提出时应考虑不同级别的定级对象共享物理环境的情况。如果不同级别的定级对象共享同一物理环境，物理环境的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
 
（2）规定不同级别定级对象的通信网络的安全保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出通信网络的安全保护策略和安全技术措施。通信网络的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况。如果不同级别的定级对象通过通信网络的同一线路和设备传输数据，线路和设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
 
（3）规定不同级别定级对象的网络边界保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出不同级别定级对象的网络边界的安全保护策略和安全技术措施。如果不同级别的定级对象共享同一设备进行边界保护，则该边界设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
 
（4）规定不同级别定级对象的内部安全保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出不同级别定级对象内部网络平台、系统平台、业务应用和数据的安全保护策略和安全技术保护措施。如果低级别定级对象部署在高级别定级对象的网络区域，则低级别定级对象的系统平台、业务应用和数据的安全保护策略和安全技术措施应满足高级别定级对象的等级保护基本要求。
 
（5）规定定级对象之间互联的安全保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出跨局域网互联的定级对象之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等，提出局域网内部互联的定级对象之间的信息传输保护策略要求和具体的安全技术保护措施，包括同级互联的策略、不同级别互联的策略等。
 
（6）规定云计算、移动互联等新技术的安全保护技术措施
 
运营者根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出云计算、移动互联等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级保护其本要求。
 
将骨干网或城域网、通过骨干网或城域网的定级对象互联、局域网内部的定级对象互联、定级对象的边界、定级对象内部各类平台，机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总，形成等级保护对象的安全技术体系结构。
 
3.5.2  提出实现等级保护技术体系的安全技术措施
 
根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、行业基本要求（不同行业的网络安全等级保护规范性文件）、安全需求等，提出等级保护对象需要实现的安全技术措施，形成运营者特定的等级保护对象安全技术体系架构，用以指导等级保护的具体实现。
 
将安全技术体系中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范。
 
对于新建的等级保护对象，运营者可根据网络安全相应等级保护要求提出的安全控制点内容进行逐项安全技术措施的设计。
 
对于改建、扩建等级保护对象的，运营者可根据网络安全相应等级保护要求提出的安全控制点内容，对等级保护对象新增或改变的部分进行安全技术措施的设计。
 
运营者从安全物理环境、安全区域边界、安全通信网络、安全计算环境（主机安全/应用和数据安全）、安全管理中心五个方面进行详细设计，提出具体应采用的安全技术措施。例如：
 
——网络安全等级保护第三级安全通用要求的“安全区域边界”的“访问控制”提出以下要求：
 
 
基于如上要求，运营者根据本单位实际情况，设计使用防火墙做如下部署：
 
 
设计使用防火墙做如下策略配置：
 
 
3.6  设计安全管理体系
 
运营者根据安全保护相应等级对安全管理制度的要求，结合本单位实际情况，设计安全管理体系。
 
安全管理体系由安全策略、安全管理制度、操作规程、记录表单等构成。
 
 
一般而言，安全管理体系设计包括设计方法，体系框架设计，内容设计，安全管理制度的制修订、评审、发布、执行、检查与废弃工作机制设计等内容。
 
感兴趣的读者可参考《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文。
 
3.7  设计安全组织体系
 
根据网络安全保护相应等级对安全组织的要求，结合本单位实际情况，设计安全组织体系。
 
一般而言，安全组织设计包括组织机构、岗位及职责设计、安全从业人员管理工作机制设计等内容。具体而言：
 
（1）根据安全组织体系设计提出的设计内容，对岗位职责设计不合理的，明确应如何重塑职责；
 
（2）缺乏相应岗位的，明确应新设哪些岗位，相应的职责内容以及可能存在的岗位重组情况；
 
（3）从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面详细设计安全从业人员的管理工作机制。
 
感兴趣的读者可参考《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文。
 
3.8  梳理等级保护建设清单
 
根据安全技术体系、安全管理体系、安全组织体系具体实现所需要的各项建设内容，梳理形成建设清单。
 
3.9  形成项目分期规划
 
等级保护是系统工程，涉及政策、预算、技术、管理、人才、资源等多方面因素，在开展等级保护相关工作时，运营者可能无法“毕其功于一役”完成一系列保护措施的落地与执行。因此，运营者应通过项目形式科学、合理、务实的分期分批开展等级保护对象保护相关工作。
 
等级保护建设项目规划的主要步骤包括：确定项目分期目标、规划项目分期建设内容以及形成项目分期规划。
 
 
（1）确定项目分期目标
 
运营者结合本单位网络安全和信息化建设的中长期发展规划，网络安全建设的预算投入、资金状况，待解决安全问题的优先级等因素，综合确定项目分期的安全实现目标。
 
（2）规划项目分期建设内容
 
运营者在制定项目分期目标后，可根据项目分期目标和建设清单，规划分期分批的主要建设内容，并将建设内容根据实际需要组合成不同的项目，同时阐明项目之间的依赖或促进关系等，以指导分期建设项目的持续推进和加强对分期建设项目的管理。
 
（3）形成项目分期规划
 
运营者根据项目分期目标和建设内容，结合时间、解决问题的优先级和预算经费等情况，对建设清单进行总体考虑，将建设清单分配到不同的时期和阶段，统筹安排建设顺序，进行投资估算。
 
运营者梳理项目分期目标、建设内容等文档，形成等级保护对象项目分期规划。
 
3.10  分析预期建设成效
 
按照等级保护体系设计，分析按项目分期建设完成后的预期建设成效，包括社会效益、经济效益等。
 
小结
 
本文描述了网络安全等级保护体系设计的通用实践。运营者可参考本文，结合本单位实际情况，对本单位的网络安全等级保护体系进行设计或调整。若有不成熟的地方，敬请指正。

一、等级保护工作依据
 
       网络安全等级保护制度是一项国家级别制度。网络运营者依照《信息安全等级保护管理办法 公通字[2007]43号》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等相关法律法规要求对本单位的信息系统进行等级保护建设。
 
二、等级保护工作中用到的主要标准
 
（一）基础类
 
 1、《计算机信息系统安全保护等级划分准则》GB 17859-1999
 
 2、《网络安全等级保护实施指南》GB/T 25058
 
（二）系统定级环节
 
 3、《网络安全保护等级定级指南》GB/T 22240
 
（三）建设整改环节
 
 4、《网络安全等级保护基本要求》GB/T22239-2019
 
（四）等级测评环节
 
 5、《网络安全等级保护测评要求》GB/T28448-2019
 
 6、《网络安全等级保护测评过程指南》GB/T28449-2018
 
三、等级保护工作过程
 
      等级保护工作过程分为：系统定级、系统备案、建设整改、等级测评、监督检查。
 
（一）系统定级 
 
      根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，确定信息系统的安全保护等级。
 
      信息系统安全保护等级共分为五级：
 
      第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
 
      第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
 
      第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
 
     第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
 
     第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。
 
     网络运营者根据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》标准，选择需要进行定级备案的系统，网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。
 
 (二)系统备案 
 
       根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》规范，网络安全等级保护为第二级以上网络（信息系统）的运营者使用单位应当到公安机关网络安全保卫部门办理备案手续。
 
（1）备案时机
 
       已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、 使用单位到所在地设区的市级以上公安机关办理备案手续。
 
（2）备案地点
 
        隶属于省级的备案单位，其跨地（市） 联网运行的信息系统，由省级公安机关网络安全保卫部门受理备案。
 
        跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，由所在地地市级以上公安机关网络安全保卫部门受理备案。
 
        各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也 要到当地公安网络安全保卫部门备案。
 
（3）备案结果
 
备案审核通过，由公安主管部分颁发《信息系统安全等级保护备案证明》。
 
 (三)建设整改 
 
（1）安全建设整改环节用到的主要技术标准
 
1、网络安全等级保护实施指南 (GB/T 25058-2019)
 
2、网络安全等级保护基本要求（GB/T 22239-2019）
 
3、网络安全等级保护安全设计技术要求（GB/T 25070- 2019）
 
（2）建设整改过程
 
建设整改过程包括：需求分析、总体规划、详细设计、工程实施共四个阶段。
 (四)等级测评 
 
      信息系统建设完成后，运营、使用单位或者其主管部门应当选择《全国网络安全等级保护测评机构推荐目录》中的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。  
 
   等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 
 
等保2.0实施后，等保测评结论包括如下几种情况。
 
 
测评结论
 
 
判别依据
 
 
优
 
 
被测对象中存在安全问题，但不会导致被测对象面临中、高 等级安全风险，且系统综合得分90分以上（含90分）。
 
 
良
 
 
被测对象中存在安全问题，但不会导致被测对象面临高等级 安全风险，且系统综合得分80分以上（含80分）。
 
 
中
 
 
被测对象中存在安全问题，但不会导致被测对象面临高等级 安全风险，且系统综合得分70分以上（含70分）。
 
 
差
 
 
被测对象中存在安全问题，而且会导致被测对象面临高等级 安全风险，或被测对象综合得分低于70分。
 
 (五)监督检查
 
      监督检查是公安机关依据有关规定会同主管部门进行，由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
 
四、等级保护测评考核机制
 
      江西省已将网络安全等级保护工作中定级备案、测评工作纳入年度综合考核评价内容。 根据《关于加强网络安全等级保护工作的通知 赣等保办[2020]6号》，对于尚未进行网络安全等级保护定级备案和网络安全等级保护三级以上信息系统未开展年度测评的单位，将在年度综治考核评价中进行相应的扣分。
 
五、等保测评项目工作流程
 
（1）本单位内部通过等保测评项目立项后，选择合适的招标代理机构进行公开招标，并一同制定招标文件。
 
（2）由招标代理机构组织等保测评项目的挂网公开招标。招标完成后，中标公司与本单位签订项目合同。
 
（3）合同签订后，由中标的公司即等保测评机构进行系统的安全测评，出具安全整改建议报告或差距评估报告。
 
（4）依据测评机构出具的差距评估报告，制定解决方案及项目上会材料。
 
（5）本单位组织系统研发单位、系统运维部门进行安全整改建设，可向等保测评机构进行技术咨询。
 
（6）整改建设完成之后，由测评机构对单位网络环境做测评，并出具测评报告。
 
（7）由测评机构对系统进行测评，并出具测评报告。
 
（8）以上工作完成后，与中标公司走项目验收流程。
 

等保1.0政策规范概述
 
1.为什么要实施等级保护：
 ■国家信息安全形势严峻（敌对势力），针对基础信息系统的违法犯罪持续上升（网上诈骗、入侵、网上盗窃）
 ■维护国家安全的需求（基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施）
 ■信息安全是非传统安全（防火防盗等）
 2.为什么要实施等级保护：
 ■国家信息安全的基本制度，是国策。做不做不能商量，怎么做可以商量
 ■开展信息安全的基本方法，促进国家信息化的根本保证
 3.实施等级保护的目的：
 ■明确信息安全重点、干活时突出重点、把钱用在重点建设上
 ■有利于同步建设、协调发展、优化信息安全资源配置、明确信息安全的责任、推动信息安全产业的发展
 4.公安部门开展信息安全等级保护的依据
 警察法规定：监督、管理、计算机信息系统的安全保护工作
国务院147号令：公安部主管等保工作，等级保护的具体办法由公安部会同有关部门制定公安部82号令，151号令，《网络安全法》
 08年国务院三定方案给公安部新增等级一个职能：监督、检察、指导信息安全保护工作。
 网络安全保卫局11局，省网络总队，市支队，区县大队
 
信息安全等级保护发展历程
 
公安部牵头实施信息安全等级保护制度，开展了如下具体工作：
 ■出台了等级保护规范标准。
 2004年9月，《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
 2007年6月，《信息安全等级保护管理办法》（公通字[2007]43号）
 ■开展了等级保护基础调查工作。
 2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。
 ■开展了等级保护试点工作。
 2006年6月，公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号）。
 ■部署开展定级工作。
 2007年7月20日，公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议"，部署在全国范围内开展重要信息系统安全等级保护定级工作。
 
等级保护相关标准
 
等级保护主要标准：
 
 
 
《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（GB/T22239-2019）；
 《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）；
 《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）；
 《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）。
 《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）。
 
 
等级保护配套标准：
 
 
 
《计算机信息系统安全保护等级划分准则》（GB17859-1999）；
 《信息系统通用安全技术要求》（GB/T20271）；
 《网络基础安全技术要求》（GB/T20270）；
 《操作系统安全技术要求》（GB/T20272）；
 《数据库管理系统安全技术要求》（GB/T20273）；
 《终端计算机系统安全等级技术要求》（GA/T671）；
 《信息系统安全管理要求》（GB/T20269）；
 《信息系统安全工程管理要求》（GB/T20282）。
 
 
等级保护相关部门的职能和义务
 
·代表国家制定管理规范和管理标准，组织各单位开展实施等级保护工作，开展监督、检查、指导。
 2007年6月，《信息安全等级保护管理办法》（公通字2007年43号文）明确了公安、保密、密码、信息化部门的职责：
 ①公安：牵头、领导、对全国这项工作的开展进行监督指导
 ②保密局：负责有关保密工作的监督、检察、指导，并涉及国家秘密信息系统（军队、军工、检察院）的分级保护工作。【只是针对涉及国家秘密的信息系统】
 ③密码局：负责有关密码工作的监督、检查、指导
 ④工业和信息化部：负责各部门间的协调
 
等级保护级别标准
 
计算机信息系统安全等级保护划分准则（GB 17859-1999）
 信息安全等级保护管理办法 公通字200743号 重要等级

 其目的就是对信息系统安全防护体系能力的分析与确认，发现存在的安全隐患，帮助运营使用单位认识不足，及时改进，有效提升其信息安全防护水平。
 
等保项目过程分析
 

 ■自主定级，专家评审，主管部门审批，公安机关审核
 -信息系统运营使用单位或主管部门按照如下原则确定定级对象：
 ·起支撑作用的传输网络：内网、外网等（分区域、分节点）
 ·用于生产、调度、管理、指挥、作业控制、办公等目的的各类业务系统需要单独定级
 ·各单位网站要作为独立的定级对象
 ·确认负责定级的单位是否对所定级系统负有主管责任。【业务部门应主导对业务信息系统定级，运维部门（如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作】
 ·具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而形成的有形实体。应避免将某个单一的系统组建（如服务器、终端、网络设备等）作为定级对象。
 ■定级级别
 -管理办法的定级：43号文，5个等级，重要性等级
 -17859里的定级技术保护等级
 
实际落地定级参照
 
·第一级信息系统：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。
 ·第二级信息系统：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。（区县法院、医院）
 ·第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。（大部分定级三级）
 ·第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
 ·第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。
 
等保技术标准概述
 
等级保护基本要求
 
等保基本要求由技术基本要求和管理基本要求组成
 ■技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现
 ■管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。
 
等级保护建设基本标准
 
信息系统安全等级保护基本要求（GB/T22239-2008）

 剩余信息保护在2.0中已去掉

 安全管理机构：公安一般是科信
 
等级保护三级系统的控制类及控制项
 
 
网络安全风险
 
对应等保的安全技术要求
 
等保安全产品解析
 
等级保护咨询及安全产品覆盖情况–三级系统
 
 
等级保护咨询及安全产品覆盖情况–二级系统
 

 资源控制：应该是通过认证+软件控制。
 
安全产品要求
 
 
全生命周期的等级保护咨询服务
 
服务产品名称：【等级保护咨询服务】
 
 
服务内容及成果：
 
 
等保管理与制度要求解析
 
三级系统——管理要求建设整改
 

 五大块，每一块下面又有很多小点，例如：系统运维管理包含：
 环境管理、
 资产管理、
 介质管理、
 设备管理、
 监控管理和安全管理中心
 网络安全管理、
 系统安全管理、
 恶意代码防范管理、
 密码管理、
 变更管理、
 备份与恢复管理、
 安全事件处置、
 应急预案管理
 
三级系统安全管理能力——安全管理制度
 
■安全管理制度：
 包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
 ■整改要点：
 形成信息安全管理制度体系、统一发布、定期修订等。
 
三级系统安全管理能力——安全管理机构
 
■安全管理机构：
 在单位的内部结构上，建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构，来约束和保证各项安全管理措施的执行。
 ■整改要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等。
 
三级系统安全管理能力——安全管理机构
 
■安全管理机构：
 在单位的内部结构上，建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构，来约束和保证各项安全管理措施的执行。
 ■整改要点：信息安全领导小组与职能部门、专职安全员，定期全面安全检查、定期协调会议、外部沟通与合作等。
 
三级系统安全管理能力——人员安全管理
 
■人员安全管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。
 ■整改要点：
 全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理。
 
三级系统安全管理能力——系统建设管理
 
系统建设管理
 分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项安全管理活动。
 
三级系统安全管理能力——系统运维管理
 
系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。

 
《等级保护2.0基本要求-二级三级对比表》由会员分享，可在线阅读，更多相关《等级保护2.0基本要求-二级三级对比表(22页珍藏版)》请在人人文库网上搜索。
 
1、1一般技术要求1.1安全的物理环境需要满足要求的，不需要满足要求的或空的序列号姓名具体要求二级三年级1物理位置的选择a)机房应位于具有防震、防风、防雨功能的建筑内；b)机房应避免在建筑物的顶层或地下室，否则应加强防水防潮措施。2物理访问控制计算机房的出入口应配备专门人员或配备电子门禁系统，以控制、识别和记录进入人员。计算机房的出入口应配备电子门禁系统，以控制、识别和记录进入人员。3防盗和防止故意破坏a)设备或主要部件应固定，并有明显的难以拆卸的标记；b)通信电缆应敷设在隐蔽、安全的地方。c)设置机房防盗报警系统或有专人值班的视频监控系统。4防雷法各种机柜、设施和设备应通过接地系统安全接地。b)。
 
2、应采取措施防止感应雷，如设置避雷装置或过电压保护装置。5防火a)机舱应配备自动灭火系统，能自动探测火灾、报警和自动灭火；b)机房及相关工作间和辅助用房应采用耐火等级的建筑材料。c)机房分区管理，分区之间设置隔离和防火措施。6防水防潮a)应采取措施防止雨水穿过机房的窗户、屋顶和墙壁；b)应采取措施防止机房内水汽凝结和地下水的转移和渗透。c)安装对水敏感的测试仪器或部件，对机房进行防水测试和报警。7抗静电的应采用防静电地板或地面，并采取必要的接地和防静电措施。b)应采取防静电措施，如静电消除器和防静电手环。8湿温度控制应设置自动温湿度调节设施，使机房内的温湿度变化在设备运行的允许范围内。9电源a)。
 
3、稳压器和过压保护设备应配置在机房的供电线路上；b)在停电时，应提供至少满足设备正常运行要求的短期备用电源。c)应提供冗余或平行的电力电缆线路，为计算机系统供电。10电磁保护a)电源线和通信电缆应分开敷设，以免相互干扰。b)对关键设备实施电磁屏蔽。1.2安全通信网络序列号姓名具体要求二级三年级1网络体系结构a)保证网络设备的业务处理能力，满足业务高峰期的需要；b)网络各部分的带宽应保证满足高峰营业时间的需要；c)应划分不同的网络区域，并根据方便管理和控制的原则为每个网络区域分配地址；d)应避免在边界部署重要网络区域，并在重要网络区域和其他网络区域之间采取可靠的技术隔离措施e)应提供通信线路、关键。
 
4、网络设备和关键计算设备的硬件冗余，以确保系统的可用性。2通信传输应采用验证技术来确保通信过程中的数据完整性(2级)a)通信过程中的数据完整性(三级)应采用验证技术或密码技术来保证；b)采用加密技术，确保通信过程中数据的保密性。3可信验证基于可信根可以对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证。在检测到其可信度被破坏后，将发出警报，并且验证结果将形成审核记录并被保存c)它应该能够检查或限制内部用户到外部网络的未授权连接；d)应限制无线网络的使用，以确保无线网络通过受控的边界设备接入内部网络。2访问控制a)应根据访问控制策略在网络边界或区域之间设置访问控制规则。默认。
 
5、情况下，除了允许通信之外，所有通信都被受控接口拒绝；b)删除冗余或无效的访问控制规则，优化访问控制列表，尽量减少访问控制规则的数量；c)检查源地址、目的地址、源端口、目的端口和协议等。以允许/拒绝数据包进入和退出；d)它应该能够根据会话状态信息为传入和传出数据流提供明确的访问许可/拒绝能力。e)进出网络的数据流应实施基于应用协议和应用内容的访问控制。3入侵防御应在关键网络节点监控网络攻击。a)从外部发起的网络攻击应该在关键网络节点被检测、阻止或限制；b)从内部发起的网络攻击应在关键网络节点被检测、阻止或限制；c)应采取技术措施分析网络行为，从而实现对网络攻击，尤其是新的网络攻击的分析；d)当检。
 
6、测到攻击时，记录攻击源的IP、攻击类型、攻击目标和攻击时间，并在发生严重入侵事件时发出警报。4恶意代码防范(第2级)恶意代码和垃圾邮件防护(第3级)a)在关键网络节点检测并清除恶意代码，维护恶意代码保护机制的升级和更新。b)应在关键网络节点检测和保护垃圾邮件，并升级和更新垃圾邮件保护机制。5安全审计a)安全审计应在网络边界和重要网络节点进行，覆盖每个用户，审计重要用户行为和重要安全事件；b)审核记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；c)审计记录应受到保护并定期备份，以避免意外删除、修改或覆盖。d)对远程访问和互联网访问的用户行为进行独立的行为审计和数。
 
7、据分析。6可信验证可信根可用于验证边界设备的系统引导程序、系统程序、重要配置参数和边界保护应用程序，并在检测到其可信度受损后发出警报，并将验证结果作为审核记录发送至安全管理中心。可信根可用于验证边界设备的系统启动程序、系统程序、重要配置参数和边界保护应用程序，并可在应用程序的关键执行环节进行动态可信验证，在检测到其可信度受损后发出警报，验证结果将形成审核记录并发送至安全管理中心。1.4安全计算环境序列号姓名具体要求二级三年级1身份认证a)应识别并验证登录用户。标识是唯一的，认证信息具有复杂性要求，应定期更换；b)应具有登录失败处理功能，并应通过结束会话、限制非法登录次数、登录连接超时自动退出等。
 
8、相关措施进行配置和启用；c)进行远程管理时，应采取必要的措施防止认证信息在网络传输过程中被窃听。d)应使用密码、密码技术和生物技术等两种或两种以上的认证技术对用户身份进行认证，其中至少一种认证技术应通过密码技术实现。2访问控制a)帐户和权限应分配给登录用户；b)应重命名或删除默认账户，并修改默认账户的默认密码；c)冗余和过期账户应及时删除或停用，以避免共享账户的存在；d)应授予管理用户所需的最低权限，并实现管理用户的权限分离。e)授权主体应配置访问控制g)重要的主题和对象应设置安全标志，并控制主题对带有安全标志的信息资源的访问。3安全审计a)应启用安全审计功能，覆盖每个用户，审计重要的用户行为。
 
9、和重要的安全事件；b)审核记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；c)审计记录应受到保护并定期备份，以避免意外删除、修改或覆盖。d)审计过程应受到保护，以防止未经授权的中断。4入侵防御a)应遵循最小安装的原则，仅安装所需的组件和应用程序；b)应关闭不需要的系统服务、默认共享和高风险端口；c)应通过设置终端接入模式或网络地址范围来限制通过网络管理的管理终端；d)应提供数据有效性检查功能，以确保通过人机界面或通信界面输入的内容满足系统设置要求；e)它应该能够发现可能的已知漏洞，并在充分测试和评估后及时修复它们。f)应能检测重要节点的入侵，并在发生严重入侵时。
 
10、发出警报。5恶意代码反恶意代码软件应安装或配置相应的功能，反恶意代码库应定期升级和更新。应采取防范恶意代码攻击的技术措施或主动免疫可信验证机制，及时识别入侵和病毒行为，并有效阻止它们。6可信验证可信根可用于验证计算设备的系统引导程序、系统程序、重要配置参数和应用程序，并在检测到其可信度受损后发出警报，并将验证结果作为审计记录发送给安全管理中心。可信根可用于验证计算设备的系统引导程序、系统程序、重要配置参数和应用程序，动态可信验证可在应用程序的关键执行环节进行。在检测到其可信度受损后，将发出警报，验证结果将形成审核记录并发送至安全管理中心。7数据完整性应采用验证技术，以确保传输过程中重要数据的完。
 
11、整性。a)应采用验证技术或密码技术确保传输过程中重要数据的完整性，包括但不限于认证数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。b)应采用验证技术或密码技术，确保存储过程中重要数据的完整性，包括但不限于认证数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。8数据保密性a)应采用加密技术确保传输过程中重要数据的机密性，包括但不限于认证数据、重要业务数据和重要个人信息；b)应采用加密技术确保存储过程中重要数据的机密性，包括但不限于认证数据、重要业务数据和重要个人信息。9数据备份恢复a)提供重要数据的本地数据备份和恢复功能；b)应提供远程数。
 
12、据备份功能，重要数据应利用通信网络定期分批传输至备用现场。b)提供远程实时备份功能，重要数据通过通信网络实时备份到备份站点；c)应提供重要数据处理系统的热冗余，以确保系统的高可用性。10剩余信息保护确保身份验证信息所在的存储空间在释放或重新分发之前已完全清空b)确保包含敏感数据的存储空间在被释放或重新分配之前被完全清除。11个人信息保护a)只应收集和保存业务所需的用户个人信息；b)禁止未经授权访问和非法使用用户的个人信息。1.5安全管理中心序列号姓名具体要求二级毕业生b)系统管理员应对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行异常处理、数据和设备。
 
13、的备份和恢复等。2审计管理a)审核管理员应经过认证，只允许通过特定的命令或操作界面进行安全审核操作，并对这些操作进行审核；b)审核记录由审核管理员进行分析，并根据分析结果进行处理，包括根据安全审核策略对审核记录进行存储、管理和查询等。3安全管理a)安全管理员应经过认证，仅允许通过特定的命令或操作界面执行安全管理操作，并对这些操作进行审核；b)系统中的安全策略应由安全管理员配置，包括安全参数的设置、主体和对象的统一安全标记、主体的授权以及可信验证策略的配置。4集中控制a)应划分特殊管理区域，以控制网络中分布的安全设备或安全组件；b)应能建立安全的信息传输路径，以管理网络中的安全设备或安全组件；c。
 
14、)对网络链路、安全设备、网络设备和服务器的运行状态进行集中监控；d)收集、汇总和分析分散在各种设备上的审计数据，确保审计记录的保留时间符合法律法规的要求；e)集中管理安全策略、恶意代码、补丁升级和其他安全相关事宜；f)能够识别、报警和分析网络中的各种安全事件。2一般管理2.1安全管理体系序列号姓名具体要求二级三年级1安全策略制定网络安全工作的总体政策和安全策略，明确组织安全工作的总体目标、范围、原则和安全框架。2管理系统a)针对安全管理活动中的主要管理内容，建立安全管理体系；b)应建立由经理或操作员执行的日常管理操作的操作程序。c)形成由安全方针、管理体系、操作程序和记录表组成的综合安全管理体系。3开发和发布a)指定或授权专门部门或人员负责安全管理体系的制定；b)安全管理体系应正式有效发布，并对其版本进行控制。4审查和修订安全管理体系的合理性和适用性应定期进行论证和检查，不足或需要改进的安全管理体系应进行修订。2.2安全管理组织序列号姓名具体要求二级三年级1架支柱a)设立网络安全管理职能部门，设置安全监督员和安全管理各方面负责人的岗位，明确各负责人的职责；b)设置系统管理员、审核管理员和安全管理员的岗位，并明确部门。