技術分享

網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網絡安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作，信息系統運營、使用單位應當選擇符合國家要求的測評機構，依據信息安全等級保護等技術標準，定期對信息系統開展測評工作。

我國在網絡安全方面主要依據的是2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規被稱為等保1.0。隨著科技的發展，等保1.0的局限性逐漸顯露，除了缺乏對一些新技術和新應用比如云計算、大數據和物聯網等的保護規范，而且在風險評估、安全監測和通報預警等方面，以及政策、標準、測評、技術和服務等體系上都有待與時俱進的完善。為適應新技術的發展，解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入2.0時代。

等級保護相關流程從1.0到2.0的變化如下圖所示：

等級保護主要應用于“關鍵基礎設施（CII）”，包含重大基礎設置，如交通設施、能源設施、城市基建等；也包含重點領域網絡與信息系統，如航空航天、醫療保障、人社教育等。

網絡安全等級保護一共分為五個等級，對安全要求越高等級保護級別就越高，一般醫院信息系統需要二級或者三級保護。

網絡安全等級保護由兩大部分組成：一個是“管理”，另一個是“技術”。這兩部分構成了“等保2.0”評測得分點：

等級保護架構體系：

安全控制措施全景圖：

等保2.0具體技術組成：

等保2.0典型拓撲圖：

安全運營體系：

等級保護通用要求產品推薦：