网络安全等级保护五个等级
2020-07-05 08:27:36
网络安全等级保护共分为五个安全保护级别,具体如下:
第一级(自主保护级)适用对象为一般信息系统,如小型企业内部办公系统、个人博客、普通企业官网等。防护要求以自主保护为主,运营单位需依据国家规范和技术标准防范偶然、非蓄意的威胁,保障系统基本可用性。仅需基础的访问控制和用户身份验证,无强制测评周期要求,适用于对安全性要求较低的场景。
第二级(指导保护级/系统审计保护级)适用于涉及重要信息的系统,如供水、供电、燃气等基础服务系统,以及学校、医院的部分业务系统。防护要求在自主保护基础上,需接受国家信息安全监管部门的指导,抵御有一定技术能力的攻击者,防范蓄意的非复杂攻击。2025年新版要求从175项精简至135项,聚焦通信加密、访问控制等关键控制点,建议每2年开展一次自查,鼓励委托第三方测评。
第三级(监督保护级/安全标记保护级)针对涉及关键信息的系统,如国家机关、金融机构、电信、交通等领域的重要信息系统。防护要求在自主保护和指导保护基础上,需接受国家监管部门的监督和检查,抵御持续攻击,保护数据机密性和完整性。2025年新版要求从290项缩减至211项,强化安全计算环境与区域边界防护,每年需通过第三方测评,漏洞修复周期缩短至15天。
第四级(强制保护级/结构化保护级)适用于涉及核心信息的系统,如国防、军事、国家安全等部门的核心业务系统。防护要求依据国家规范、技术标准和业务专门需求进行保护,并接受强制监督和检查,抵御高级持续威胁(APT),确保系统在攻击下仍能正常运行。每半年至少测评一次,需实时监控和深度防御策略,并通过国家密码管理局的密码应用测评。
第五级(专控保护级/访问验证保护级)针对涉及极其重要信息的系统,如军事指挥系统、国家关键基础设施等,被破坏后会对国家安全造成特别严重损害。防护要求依据国家规范、技术标准和业务特殊安全需求进行保护,由国家指定专门部门进行管理和监督,防御全方位攻击,确保绝对安全。测评周期根据需求定制,需同时满足等保和密码测评的最高要求。
热门标签
