在中国的互联网安全领域,等保2.0(网络安全等级保护 2.0 标准)将网络信息系统的安全保护等级划分为 5 个等级,从 第一级(最低)到 第五级(最高)。这些等级根据系统重要性和遭受攻击后可能造成的影响来定义,具体如下:
1. 第一级(自主保护级)
- 适用场景:
- 对信息安全要求较低的系统,例如个人网站、小型内部管理系统。
- 安全影响:
- 该系统被破坏仅对系统所有者自身有影响,对社会、第三方无重大影响。
- 特点:
- 用户自主进行保护,不需强制进行等级保护备案和测评。
2. 第二级(指导保护级)
- 适用场景:
- 中小型企业系统、普通的企业网站和应用。
- 安全影响:
- 该系统被破坏可能对系统所有者造成一定影响,并对第三方和社会公共利益有较小的负面影响。
- 特点:
- 需要备案并定期进行测评;需建立较为规范的安全管理制度。
3. 第三级(监督保护级)
- 适用场景:
- 政府门户网站、银行系统、教育和医疗领域的信息化系统等关键业务系统。
- 安全影响:
- 系统被破坏可能对社会公共秩序、经济利益、国家安全造成显著影响。
- 特点:
- 必须备案并由相关部门进行严格监督;要求较高的安全措施和管理规范。
4. 第四级(强制保护级)
- 适用场景:
- 国防、能源、金融核心业务系统;国家级关键基础设施的控制系统。
- 安全影响:
- 系统被破坏可能对国家安全、社会稳定、经济命脉造成重大影响。
- 特点:
- 国家对系统的运行、安全措施和管理进行强制监督;需要顶级的安全技术手段和策略。
5. 第五级(专控保护级)
- 适用场景:
- 最高级别的国家核心机密系统、国家安全和军事系统。
- 安全影响:
- 系统被破坏可能导致国家安全的全面崩溃。
- 特点:
- 由国家直接控制和保护,严格限制接入和操作。
等保2.0 的主要特点
-
覆盖范围更广:
- 相较于等保1.0,等保2.0 重点新增了对云计算、大数据、物联网、工业控制、移动互联网等新兴领域的安全保护要求。
-
注重动态防御:
- 强调系统的持续保护能力,不仅关注技术安全,还更加注重管理与流程安全。
-
以风险为导向:
- 根据系统重要性和风险级别实施不同的保护策略。
-
合规性要求:
- 第三级及以上的系统需接受定期测评,确保其符合国家标准。
如何确定等级?
系统等级一般由以下三方面综合评估:
- 系统的重要性:系统是否涉及国家安全、社会公共利益或个人隐私。
- 系统受攻击后的影响:系统被破坏对社会、经济或个人的影响程度。
- 法律法规要求:某些行业(如金融、能源)有特定的强制等级要求。