網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是等級(jí)保護(hù)過(guò)程中的必要環(huán)節(jié)，通過(guò)定級(jí)可以知道我們的系統(tǒng)選擇的等級(jí)標(biāo)準(zhǔn)，從而幫助我們做好后續(xù)的等級(jí)保護(hù)工作，例如：根據(jù)確定好的等級(jí)，采購(gòu)相應(yīng)的軟件、硬件等。接下來(lái)，為您詳細(xì)介紹網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)相關(guān)知識(shí)。

　　一、網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是什么意思?

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是指對(duì)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估和劃分的一種方法。它旨在根據(jù)系統(tǒng)的重要性、安全性需求和風(fēng)險(xiǎn)評(píng)估等因素，將網(wǎng)絡(luò)系統(tǒng)等級(jí)劃分為不同的級(jí)別。這種定級(jí)方法能夠幫助企業(yè)和政府機(jī)構(gòu)有針對(duì)性地制定網(wǎng)絡(luò)安全管理政策和技術(shù)措施，以最大程度地保護(hù)網(wǎng)絡(luò)系統(tǒng)免受惡意攻擊和非法侵入。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)所考慮的因素非常廣泛。首先是系統(tǒng)的重要性。一般來(lái)說(shuō)，政府機(jī)構(gòu)和金融機(jī)構(gòu)等關(guān)鍵部門(mén)的網(wǎng)絡(luò)系統(tǒng)被視為重要系統(tǒng)，因?yàn)樗鼈兩婕暗絿?guó)家安全和經(jīng)濟(jì)穩(wěn)定。而一些企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)則相對(duì)較為次要。其次是安全性需求。不同的網(wǎng)絡(luò)系統(tǒng)對(duì)安全性的要求不同，例如對(duì)數(shù)據(jù)加密和認(rèn)證機(jī)制的要求。最后是風(fēng)險(xiǎn)評(píng)估。網(wǎng)絡(luò)系統(tǒng)會(huì)遭受各種威脅和攻擊，如木馬病毒、黑客攻擊等。通過(guò)對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，可以更好地確定系統(tǒng)的安全等級(jí)。

　　二、網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)的幾個(gè)級(jí)別

　　根據(jù)《GB/T22240—2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，安全保護(hù)等級(jí)根據(jù)等級(jí)保護(hù)對(duì)象在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素，等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為以下五級(jí)：

　　等級(jí)一，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國(guó)家安全、社會(huì)秩序和公共利益;

　　等級(jí)二，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或者特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成危害，但不危害國(guó)家安全;

　　等級(jí)三，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安全造成危害;

　　等級(jí)四，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安全造成嚴(yán)重危害;

　　等級(jí)五，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害。

　　三、網(wǎng)絡(luò)安全等級(jí)保護(hù)如何定級(jí)?

　　1、確定定級(jí)對(duì)象

　　等級(jí)保護(hù)定級(jí)對(duì)象主要包括：信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等。

　　信息系統(tǒng)就是我們?cè)诘缺?.0時(shí)候的定級(jí)對(duì)象，指的是各類信息系統(tǒng)，2.0時(shí)代根據(jù)新技術(shù)新應(yīng)用的情況還包括云計(jì)算/平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng);

　　通信網(wǎng)絡(luò)設(shè)施指的是為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施，主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專用通信網(wǎng)等;

　　數(shù)據(jù)資源指的是具有或預(yù)期具有價(jià)值的數(shù)據(jù)集合，數(shù)據(jù)資源主要是擁有大量各類有價(jià)值的數(shù)據(jù)，那么這些單位需要保護(hù)好這些數(shù)據(jù)資源，自然需要對(duì)該數(shù)據(jù)資源進(jìn)行定級(jí)，我們可以想象的這類數(shù)據(jù)有：人社數(shù)據(jù)、醫(yī)保數(shù)據(jù)、公積金數(shù)據(jù)、個(gè)人財(cái)產(chǎn)數(shù)據(jù)(銀行、房產(chǎn)、保險(xiǎn)等)等信息;值得注意的是：當(dāng)安全責(zé)任主體相同時(shí)，大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí);當(dāng)安全責(zé)任主體不同時(shí)，大數(shù)據(jù)應(yīng)獨(dú)立定級(jí);涉及到大量公民個(gè)人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺(tái)/系統(tǒng)，原則上其安全保護(hù)等級(jí)不低于三級(jí)。

　　運(yùn)營(yíng)單位根據(jù)以上等級(jí)保護(hù)對(duì)象的特點(diǎn)，首先梳理建設(shè)、使用、運(yùn)行、維護(hù)的各類信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等，確定出定級(jí)對(duì)象。

　　作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：

　　a)具有確定的主要安全責(zé)任主體;

　　b)承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用;

　　c)包含相互關(guān)聯(lián)的多個(gè)資源。

　　(主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人,以及不具備法人資格的社會(huì)團(tuán)體等其他組織;避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級(jí)對(duì)象。)

　　2、初步確定等級(jí)

　　首先要了解定級(jí)原理，安全保護(hù)等級(jí)的確定主要從受侵害的客體和對(duì)客體侵害的程度兩個(gè)維度來(lái)判斷。

　　定級(jí)對(duì)象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，安全保護(hù)等級(jí)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

　　具體流程如下：

　　a) 確定受到破壞時(shí)所侵害的客體

　　1) 確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體;

　　2) 確定系統(tǒng)服務(wù)受到侵害時(shí)所侵害的客體。

　　b) 確定對(duì)客體的侵害程度

　　1) 根據(jù)不同的受侵害客體分別評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度;

　　2) 根據(jù)不同的受侵害客體，分別評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度。

　　c) 確定安全保護(hù)等級(jí)

　　1) 確定業(yè)務(wù)信息安全保護(hù)等級(jí);

　　2) 確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

　　3)將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。

　　以上是專家評(píng)審前的理論性流程，那么實(shí)際工作開(kāi)展當(dāng)中，我們一般按以下流程進(jìn)行：

　　第一步、準(zhǔn)備專家評(píng)審材料

　　1、系統(tǒng)基本情況介紹

　　2、填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》;

　　3、編寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》;

　　4、三級(jí)以上系統(tǒng)還需提供系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明、系統(tǒng)安全建設(shè)實(shí)施方案、系統(tǒng)安全組織機(jī)構(gòu)和管理制度、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證;

　　5、專家評(píng)審意見(jiàn)初稿。

　　第二步、選取評(píng)審專家

　　在我省，評(píng)審專家從公安機(jī)關(guān)的網(wǎng)絡(luò)安全等級(jí)保護(hù)專家組中選取3名(單數(shù)個(gè))以上專家進(jìn)行評(píng)審。

　　第三步、專家現(xiàn)場(chǎng)評(píng)審

　　運(yùn)營(yíng)單位介紹待評(píng)審的系統(tǒng)基本情況，專家查看系統(tǒng)演示、定級(jí)資料，針對(duì)有關(guān)等保定級(jí)問(wèn)題進(jìn)行交流質(zhì)詢;最終形成專家評(píng)審意見(jiàn)并進(jìn)行簽字。

　　上述內(nèi)容為“網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是什么意思?”的介紹，如果您有其他疑惑，可咨詢創(chuàng)業(yè)螢火等保顧問(wèn)，我們會(huì)為您解答疑惑，并為您提供網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案。