1. 《計算機信息系統安全保護等級劃分準則》（GB17859－1999）

（1）主要用途

本标準将計算機信息系統的安全保護能力劃分成五個等級，并明确了各個保護級别的技術保護措施要求。本标準是國家強制性技術規範，其主要用途包括：規範和指導計算機信息系統安全保護有關标準的制定；為安全産品的研究開發提供技術支持；為計算機信息系統安全法規的制定和執法部門的監督檢查提供依據。

（2）主要内容

本标準界定了計算機信息系統的基本概念，即計算機信息系統是由計算機及其相關和配套的設備、設施（含網絡）構成的，按照一定的應用目标和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

信息系統按照安全保護能力劃分為五個等級，分别是第一級用戶自主保護級、第二級系統審計保護級、第三級安全标記保護級、第四級結構化保護級、第五級訪問驗證保護級。從自主訪問控制、強制訪問控制、标記、身份鑒别、客體重用、審計、數據完整性、隐蔽信道分析、可信路徑、可信恢複十個方面，采取逐級增強的方式提出了計算機信息系統的安全保護技術要求。

2.《網絡安全等級保護定級指南》（GA/T 1389－2017）

（1）主要用途

網絡定級是等級保護工作的首要環節，是開展網絡安全建設整改、等級測評、監督檢查等後續工作的重要基礎。《網絡安全等級保護定級指南》從網絡對國家安全、經濟建設、社會生活的重要作用，網絡承載業務的重要性及業務對網絡的依賴程度等方面，提出确定網絡的安全保護等級的方法。

（2）主要内容

《定級指南》包括定級原則、定級方法及等級變更等内容。網絡安全保護定級是确定等級保護對象的安全保護等級，等級保護對象是網絡安全等級保護工作的作用對象，主要包括基礎信息網絡、信息系統（例如工業控制系統、雲計算平台、物聯網、使用移動互聯技術的信息系統及其他信息系統）和大數據等。

● 定級原則：給出了網絡五個安全保護等級的具體定義，将網絡受到破壞時所侵害的客體和對客體造成侵害的程度兩方面因素作為信息系統的定級要素，并給出了定級要素與網絡安全保護等級的對應關系。

● 定級方法：網絡安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，網絡定級可以分别确定業務信息安全保護等級和系統服務安全保護等級，并取二者中的較高者為網絡的安全保護等級。

● 等級變更：網絡的安全保護等級會随着網絡所處理信息或業務狀态的變化而變化，當網絡發生變化時應重新定級并備案。

3.《網絡安全等級保護基本要求》

（1）主要用途

網絡按照重要性和被破壞後對國家安全、社會秩序、公共利益的危害性分為五個安全保護等級。不同安全保護等級的網絡有着不同的安全需求，為此，針對不同等級的網絡提出了相應的基本安全保護要求，各個級别網絡的安全保護要求構成了《網絡安全等級保護基本要求》。

《基本要求》以《計算機信息系統安全保護等級劃分準則》（GB17859一1999）為基礎硏究制定，提出了各級網絡應當具備的安全保護能力，并從技術和管理兩方面提出了相應的措施，為網絡運營者在網絡安全建設中提供參照。

（2）主要内容

《基本要求》的技術部分吸收和借鑒了《計算機信息系統安全保護等級劃分準則》及相關标準，采納其中的身份鑒别、數據完整性、自主訪問控制、強制訪問控制、審計、客體重用（改為剩餘信息保護）标記、可信路徑共八個安全機制，并将這些機制根據各級的安全目标，擴展到網絡層、主機系統層、應用層和數據層。《基本要求》的管理部分充分借鑒了 ISO／IEC 17799：2005等國際流行的信息安全管理方面的标準。

● 總體框架

《基本要求》主體内容包括安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

安全通用要求是針對不同安全保護等級對象應該具有的安全保護能力提出的安全要求，根據實現方式的不同，安全要求分為技術要求和管理要求兩大類。技術類安全要求與提供的技術安全機制有關，主要通過部署軟硬件并正确配置其安全功能來實現；管理類安全要求與各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規範、流程及記錄等方面做出規定來實現。安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，必須根據安全保護等級實現相應級别的安全通用要求。

● 擴展要求的主要内容

由于業務目标的不同、使用技術的不同、應用場景的不同等因素，不同的等級保護對象會以不同的形态出現，表現形式可能被稱為網絡基礎設施、傳統信息系統、雲計算平台、物聯網系統、工業控制系統等。應用場景的差異導緻不同的等級保護對象面臨的威脅有所不同，安全保護需求也會有所差異。

1）雲計算安全擴展要求

針對雲計算的特點提出特殊保護要求。雲計算安全擴展要求重點在“基礎設施的位置”“虛拟化安全保護”“鏡像和快照保護”“雲服務商選擇”“雲計算環境管理”等方面提出要求。雲計算安全擴展要求主要提出雲計算平台自身的特殊保護要求和雲計算平台應該向租戶提供的保護能力要求。

2）移動互聯安全擴展要求

是針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的内容包括“無線接入點的物理位置”“移動終端管控”“移動應用管控”“移動應用軟件采購”“移動應用軟件開發”等方面。

2）物聯網安全擴展要求

是針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的内容包括“感知節點的物理防護”“感知節點設備安全”“網關節點設備安全”“感知節點的管理”“數據融合處理”等方面。

2）工業控制系統安全擴展要求

是針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的内容包括“室外控制設備防護”“工業控制系統網絡架構安全”“撥号使用控制”“無線使用控制”“控制設備安全”等方面，針對工業控制系統實時性要求高的特點，調整了“漏洞和風險管理”“惡意代碼防範管理”等方面的要求。工業控制系統是較為複雜的等級保護對象，通常是幾種類型控制系統的總稱，包括數據采集與監視控制系統（SCADA）系統、集散控制系統（DCS）和其他控制系統。工業控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造（例如汽車、航空航天和耐用品）等行業。國際标準IEC 62264－1（《企業控制系統第1部分：模型和術語》）将工業控制系統進行了層次結構模型劃分，層次模型從上到下共分為五個層級，依次為企業資源層、生産管理層、過程監控層、現場控制層和現場設備層，不同層級的實時性要求不同。工業控制系統安全擴展要求主要針對現場控制層和現場設備層提出特殊安全要求，其他層次使用安全通用要求條款。

● 保護要求的分級方法

網絡分為五個安全保護等級，其安全保護能力逐級增高，因此相應的安全保護要求和措施逐級增強，體現在兩個方面：一是随着網絡安全級别的提高，安全要求的項數将有所增加；二是随着網絡安全級别的提高，同一項安全要求的強度将有所增加。

例如，第三級網絡基本要求是在第二級基本要求的基礎上，在技術方面增加了網絡惡意代碼防範、剩餘信息保護、抗抵賴的要求，同時對身份鑒别、訪問控制、安全審計、數據完整性及保密性方面的要求在強度上有所增加；在管理方面增加了監控管理和安全管理中心兩項要求，同時對安全管理制度評審、人員安全和網絡建設過程管理提出了進一步要求。通過安全要求項數和強度的不同，綜合體現了不同等級網絡安全要求的級差。

（3）使用說明

《基本要求》對第一級網絡的基本要求僅供網絡運營者參考，按照自主保護的原則采取必要的安全技術和管理措施。網絡運營者在進行網絡安全建設整改時，可以在《基本要求》的基礎上，根據行業和網絡實際，提出特殊安全要求，開展安全建設整改。

《基本要求》給出了各級網絡每一保護方面需要達到的要求，不是具體的安全建設整改方案或作業指導書，所以，實現《基本要求》的措施或方式并不局限于《基本要求》給出的内容，要結合網絡自身的特點綜合考慮采取的措施來達到《基本要求》提出的保護能力。

《基本要求》中不包含安全設計和工程實施等内容，因此，在網絡安全建設整改中，可以參照《信息系統安全等級保護實施指南》《網絡安全等級保護安全設計技術要求》《信息系統安全工程管理要求》進行。《基本要求》是網絡安全建設整改的目标，《網絡安全等級保護安全設計技術要求》是實現該目标的方法和途徑之一。《基本要求》綜合了《信息系統物理安全技術要求》《信息系統通用安全技術要求》《信息系統安全管理要求》的有關内容，在進行網絡安全建設整改方案設計時可進一步參考後三個标準。

網絡定級時要根據業務信息安全等級和系統服務安全等級确定的網絡安全等級，因此，在進行網絡安全建設時，應根據業務信息安全等級和系統服務安全等級确定《基本要求》中相應的安全保護要求，而通用安全保護要求要與網絡等級對應。

網絡運營者在根據《基本要求》進行安全建設整改方案設計時，要按照整體安全的原則，綜合考慮安全保護措施，建立并完善網絡安全保障體系，提高網絡的整體安全防護能力。對于《基本要求》中提出的基本安全要求無法實現或有更加有效的安全措施可以替代的，可以對基本安全要求進行調整，調整的原則是保證不降低整體安全護能力。

中雄世紀征信，關于等保悉心講解。 中雄世紀征信有限公司（以下簡稱：“企信360”），成立于2016年6月20日，以打造數據 科技智能信用生态圈為願景，緻力于為客戶呈現專業化、個性化的綜合信用服務。服務于金融、電商等行業的綜合類門戶網站平台，專注為互聯網行業提供行業資訊、政策指引、數據分析等信息，潛心為互聯網行業參與者及其關注者搭建公平、公開、言論自由和信息共享的開放式溝通平台，緻力于為用戶打造一站式互聯網導航服務。

企信360提供個人及企業風險篩查、智能風控分析決策和中小企業信用風險控制等綜合信用服務，并通過對數據的積累、理解、挖掘、分析和應用，持續完善産品體系與服務模式。

企信360作為我國信用服務行業的開拓者和先行者，經過多年的探索與發展，在綜合信用服務領域積累了雄厚的技術實力與豐富的實踐經驗，未來必将以更專業的技術和更優質的服務，與客戶及行業夥伴協同互助，共同推進社會信用體系建設與發展。

中雄世紀征信有限公司主要針對金融、電商、教育、醫療、物流、政務平台辦理資質認證服務，服務包含：ICP證、EDI證、ISP證、呼叫中心證、三級等保測評、文網文證、可信認證、誠信認證、創宇信用、SSL證書、中企信認證。旗下梵天科技是河北省股權交易所挂牌企業。