1.5.2 信息安全等级保护

信息安全等级保护是信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织通过对信息系统分等级而实行安全保护，并对等级保护工作的实施进行监督和管理。一直以来，我国在网络安全方面的主要依据是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》（称为等保1.0），根据《信息安全等级保护管理办法》的规定，我国信息系统安全分为以下五个等级。

• 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

• 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

• 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

• 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重的损害，或者对国家安全造成严重损害。

• 第五级，信息系统受到破坏后，会对国家安全造成特别严重的损害。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护问题，2019年由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，随着《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）和《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019）等核心标准的正式发布，网络安全等级保护正式进入2.0时代（如图1-5所示）。从等保1.0到等保2.0，安全防护的范围从原有的信息系统扩展到整个网络空间，涵盖了云计算平台、大数据、物联网、移动互联网等多个系统平台和工控安全等。从网络安全、系统安全过渡到网络空间安全，这个过程中传统的安全边界日益模糊，等保2.0正是顺应这个发展趋势而出台的。除了等保1.0要求的定级、备案、建设整改、等级评测与监督检查五个规定动作之外，等保2.0增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。等保2.0安全观念从被动转变到主动防御，让安全管理必须贯穿企业基础设施建设和业务全过程，安全不仅仅是检测、响应、防御，而要全面、整体地考虑到事前、事中、事后，要做到事前能够预警异常事件，事中可以及时阻断攻击和违规行为，并且在各个环节做到全方位、多层次审计。