1、等級保護三級基本介紹信息系統處理能力和連接能力在不斷的提高。同時，基于網絡連接的安全問題也日益突出，整體的網絡安全主要表現在以下幾個方面：網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。如何才能保證網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷，需要做到保證網絡的物理安全，保證網絡拓撲結構和系統的安全。以下內容由主要來自社區專家doc在交流活動“你的網絡安全嗎？能達到等保三級嗎嚴2018年6月27日，公安部發布網絡安全等級保護條例（征求意見稿）（以下簡稱“保護條例”）o作為網

2、絡安全法的重要配套法規，保護條例對網絡安全等級保護的適用范圍、各監管部門的職責、網絡運營者的安全保護義務以及網絡安全等級保護建設提出了更加具體、操作性也更強的要求，為開展等級保護工作提供了重要的法律支撐。條例適用范圍保護條例的適用范圍擴大。所有網絡運營者都要進行對相關網絡開展等保工作。監管部門保護條例確立了各部門統籌協作、分工負責的監管機制，所涉及的監管部門包括中央網絡安全和信息化領導機構、國家網信部門、國務院公安部門、國家保密行政管理部門、國家密碼管理部門、國務院其他相關部門、以及縣級以上地方人民政府有關部門等。各國家行業主管或監管部門的監管權力和職責具體如下表：網絡的安全保護網絡定級定級步

3、驟為：確定定級對象-初步確認定級對象-專家評審-主管部門審核-公安機關備案審查1）網絡等級網絡等級主要以網絡的重要程度以及一旦遭受破壞造成的危害程度來評估。值得注意的是，在信息安全等級保護管理辦法中，對于信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害的情況，最高保護等級只到第二級。保護條例將“會造成特別嚴重損害的情況下，信息系統應采取的保護等級提高到第三級，即使對社會公共利益沒有造成危害，或者對國家安全造成危害。這也是本條例重大變化之2）網絡定級保護條例第十六條規定，網絡運營者應當在規劃設計階段確定網絡的安全保護等級。意味著系統使用前必須先定級。與此同時，網絡功能、服務范圍

4、、服務對象和處理的數據等發生重大變化時，需要根據情況調整定級。3）定級評審保護條例在定級階段新增要求，第二級以上必須經過專家評審、行業主管部門核準。跨省或者全國統一聯網由行業主管部門統一擬定安全保護等級、統一組織定級評審。4）定級備案第二級以上網絡運營者在定級、撤銷或變更調整網絡安全保護等級時，需在10個工作日內，到縣級以上公安機關備案。地點上由之前所在地設區的市級以上公安機關擴展到縣級，更加便捷。5）備案審核由公安機關對備案材料進行審核，并在10個工作日內岀具網絡安全等級保護備案證明。一般保護義務及特殊保護義務等級保護一般安全保護義務對責任人、安全管理、技術保護制度等要求與網絡安全法第21條

5、內容對應。同時對個人信息的保護、身份驗證、報告時限要求等進行明確。第三級以上還需履行特殊安全保護義務，包含管理機構、總體規劃和整體防護策賂、背景審查等。要求落實網絡安全態勢感知監測預曾措施，并與同級公安機關對接。上線檢測新建二級系統上線前按照相關標準進行安全性測試。新建三級以上系統上線前優先進行等保測評，通過等級測評后方可投入運行。等級測評保護條例下調了等級測評周期。對四級網絡來說測評周期下調帶來部分便利，但并不意味著安全防護和檢查要求降低。安全整改與之前一樣，都要求網絡運營者在等保測評中發現安全風險隱患時進行安全整改。自查工作要求單位每年進行一次自查，并向備案的公安機關報告。三級網絡每年做測

6、評可以看做一次自查。對二級網絡來說，可能會每年要向公安機關提交一份自查報告，實際上是對二級網絡要求進行了補充增強。監測預警通報與網絡安全法要求一致，進行安全監測預警通報。涉及以下三方協作：?地市級以上人民政府：建立監測預警制度及信息通報制度，開展安全監測、態勢感知、通報預警等工作。?第三級以上網絡運營者：向公安機關及行業主管部門報送安全預警信息及安全事件。?行業主管部門：建立健全本行業冷頁域的安全監測預警和信息通報制度，向同級網信部門、公安機關報送監測預警信息及安全事件。數聒和信思安全侏護網絡運營者應當建立并落實重要數據和個人信息安全保護制度。保障重要數據的完整性、保密性和可用性，以及確保個人

7、信息安全。應急處置要求第三級以上網絡的運營者，需制定網絡安全應急預案，并定期開展演練。處置網絡事件時需保護現場，留存數據，并及時向公安機關和行業主管部門報告。審核審計要求對于向社會公眾提供經營活動的網絡運營者，主管部門應當將等級保護納入審計、審核范圍，也意味著相關運營者將被審計、審核。新技術新應用風險管控保護條例對云計算、人工智能、物聯網等新技術要求進行風險識別及風險管控。體現了等級保護定級對象大擴展。此外，保護條例也對測評活動安全管理、網絡服務機構、產品服務采購使用、技術維護等提岀了相應的要求。涉密網絡的安全保護分級保護等級保護是針對非涉密系統和網絡，涉密網絡進行分級保護。分級保護定級有三個

8、級別:秘密級機密級晩密級，安全要求依次增強。網絡定級保護條例確定了分級保護網絡定級流程：確定涉密網絡的密級-本單位保密委員會（領導小組）的審定-同級保密行政管理部門備案（保密局）。方案審查論證涉密網絡運營者規劃建設涉密網絡，應當依據國家保密規定和標準要求，制定分級保護方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉管控、電磁泄漏發射防護、病毒防護、密碼保護和保密監管等技術與管理措施。這也就是分級保護方案需要關注的防護重點。建設管理分級保護項目，需要選擇具備涉密信息系統集成資質的單位承接建設，與建設單位簽訂保密協議。信息設備、安全保密產品管理涉密網絡中使用的安全保密產品，應當從國家

9、有關主管部門發布的涉密專用信息設備名錄中選擇，并通過國家保密行政管理部門設立的檢測機構檢測。測評審查和風險評估絕密級網絡每年至少進行一次，機密級和秘密級網絡每兩年至少進行一次。涉密網絡重大變化的處置有下列情形之一的，需及時向保密行政管理部門報告并采取相應措施，由管理部門評估是否對涉密網絡重新檢測與審查:（-）密級發生變化的；（-）連接范圍、終端數量超出審查通過的范圍、數量的；（三）所處物理環境或者安全保密設施變化可能導致新的安全保密風險的；（四）新增應用系統的，或者應用系統變更、減少可能導致新的安全保密風險的。涉密網絡廢止的處理涉密網絡不再使用的，需向保密行政管理部門報告，特定場所及措施處置，

10、不能直接丟棄。此外，涉密網絡運營者要求建立安全保密管理制度，健全涉密網絡預警通報制度，及時采取應急處置措施等。密碼管理涉密網絡及傳輸的國家秘密信息，應當依法采用密碼保護。第三級以上網絡應當使用國家密碼管理部門認可的密碼技術、產品和服務（等級保護三級使用），需委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡運營者應建立密碼安全制度、完善密碼安全管理措施，規范密碼使用行為。任何單位和個人不得利用密碼從事違法犯罪活動。監督管理1）第三級以上網絡運營者實行重點監督管理；每年等級保護工作情況通報同級網信部門。2）公安機關對第三級以上網絡運營者每年至少開展一次安全檢查。可會同其行業主管部門開展安全檢

11、查。3）明確公安機關的檢查處宣權利。限期整改、第三級以上通報行業主管部門，并向同級網信部門通報。4）公安機關在監督檢查中發現重大隱患處置需報告同級人民政府、網信部門和上級公安機關。5）第三級以上網絡運營者的關鍵人員（含安全服務人員）管理要求，不得擅自參加境外組織的網絡攻防活動。6）網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處宣工作。刀網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的，緊急情況下公安機關可以責令其停止聯網、停機整頓。8）網絡運營者的法定代表人、主要負責人及其行業主管部門對等級保護情況要進行管理及監管。發生重大安全風險及隱患，省級以上人民政府公安部門、保密行政管理部門、密碼管理部門有權對其進行約談。法律責任保護條例的規定處罰基本上依照網絡安全法，處罰措施集中在警告處分、責令整改、罰款（包括單位和直接負責人）、責令停產停業、行政拘留等形式。值得注意的是，第三級以上網絡運營者違反本條例第