一、《信息安全技術網絡安全等級保護基本要求》

1. 出臺背景及目的

為了配合《中華人民共和國網絡安全法》（一下簡稱“《網安法》”）的實施，同時適應云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作的開展，國家標準GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》（以下簡稱“《基本要求》”和/或“GB/T 22239”）應運而生。

《基本要求》代替了GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》，針對網絡安全共性安全保護需求提出安全通用要求，針對云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出安全拓展要求，形成新的網絡安全等級保護基本要求標準。

2. 關鍵定義

網絡安全：通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，并保障網絡數據的完整性、保密性、可用性的能力。

安全保護能力：能夠抵御威脅、發現安全事件以及在遭到損害后能夠恢復先前狀態等的程序。

等級保護對象：是指網絡安全等級保護工作中的對象，通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、處理的系統，主要包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破化后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高被劃分為五個安全保護等級。

3. 不同安全保護等級的等級保護對象應具備的基本安全保護能力

在《網絡安全等級保護制度2.0：回顧與展望》中，我們介紹了根據網絡在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網絡分為五個安全保護等級。在這里，根據《基本要求》，我們向大家說明不同級別的等級保護對象應具備的基本安全保護能力：

第一級：

能夠防護免受來自個人的，擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的關鍵資源損害，在自身遭到損害后，能夠恢復部分功能。

第二級：

能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時間內恢復部分功能。

第三級：

能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠及時發現、監測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快回復絕大部分功能。

第四級：

能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難，以及其他相當危害程度的威脅所造成的資源損害，能夠及時發現、監測發現攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復所有功能。

4. 安全要求的分類

《基本要求》將安全要求分為10個小項，分別是安全物理環節、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。為方便各位理解與記憶，我們可以將上述10個小項分為兩個大類，即網絡技術安全要求與網絡管理安全要求：

網絡技術安全要求：

安全物理環節、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心

網絡管理安全要求：

安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理

除此以外，《基本要求》又對以上每個小項做出安全通用要求和安全拓展要求。其中，通用要求針對共性化保護需求提出，安全拓展要求針對個性化保護需求提出，根據安全保護等級和使用的特定技術或特定應用場景選擇實現拓展要求。安全通用要求和安全拓展要求企共同構成了安全要求的一部分。

5. 等級保護安全架構

開展網絡等級保護是一個系統性、復雜性、細節性極強的工作，企業需要依據國家相關法律法規、政策、標準，開展一系列組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。