4.2 深入理解网络安全等级保护_网络空间安全与关键信息基础设施安全-QQ阅读男生科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

4.2 深入理解网络安全等级保护

4.2.1 分等级保护是底线思维

国家实行网络安全等级保护制度，其目的是将全国的信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度梳理清楚。等级保护制度是国家意志的体现，是网络运营者必须遵循的网络安全保护底线思维。

据不完全统计，全国二级信息系统大概50 万个左右，三级系统大约5万个，四级系统（如支付宝、银行总行系统、国家电网系统）大约 1000 个。采用等级保护的思想可以梳理清楚每个级别的数量，做到“底数清，业务明”。

网络安全保护等级由低到高分为五个等级。

第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

4.2.2 分等级保护是管理手段

等级保护是指对信息系统分等级实行安全保护，对信息系统中使用的信息安全产品分等级管理，对信息系统中发生的信息安全事件分等级响应、处置。从概念上来看，分等级保护体现的是管理思想，是网络安全和信息化建设很好的管理抓手。

对监管者来讲，网络安全等级保护将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级，按照不同安全保护级别实行不同强度的监管政策。具体来讲，第一级依照国家管理规范和技术标准进行自主保护；第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护；第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查；第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。级别越高，监管越严格，采取的管理手段也不同。

对网络运营者来讲，网络安全等级保护可以帮助其明确安全保护对象的级别，依据网络安全等级保护的基本要求做好合规的防护。网络安全等级保护可以使其安全保护对象至少达到五方面的管理目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。

4.2.3 分等级保护是能力体现

网络安全等级保护中的等级描述的是一种安全保护能力。等级越高，表明保护能力越强。下面通过二级和三级对比，给出保护能力的描述，如表4-1所示。

表4-1 等级保护二级和三级保护能力对比表

从表4-1中可以看出，在安全策略的制定上，三级要有统一的安全策略，二级可以不具备。从安全威胁源上，二级仅仅能够抵抗外部小型组织的、拥有少量资源的威胁源，三级可以抵抗外部有组织的团体、拥有较为丰富的资源，如 APT 就是一种有组织的威胁源。从损害程度上，二级受到损害后能影响到重要资源，三级是主要资源，要保护的资产数量上存在差异。在响应处置时间上，二级仅仅是发现重要的安全漏洞并处置安全事件，三级要求必须及时发现、监测攻击行为并处置安全事件，在安全保障上增加了监测环节。在系统恢复维度上，二级可以在一段时间内恢复部分功能，三级要求较快恢复绝大部分功能。网络安全等级保护对时间、性能参数很少有定量描述，仅仅通过定性模糊的语言来表达安全保护能力的不同。建议在具体工作中，各行业根据各自业务系统的不同来设定，这样便于操作。

具体来讲，从低到高五个安全保护能力的要求描述如下。

第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：略。