网络安全等级保护是指对网络（含信息系统、数据）实施分等级保护、分等级监管。等保测评是在公安网安部门的监督指导下，参照相关法律、标准和规范对网络进行监测评估，验证信息系统是否满足相应等级安全要求的重要手段。目前执行的最主要的标准是2019年颁布实施的《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）。在网络运营过程中，跟等保测评有关系的有以下主体：业主单位信息部门、等保测评公司、公安网安部门、网安厂商、集成公司，各主体各司其职。业主单位负总责，测评公司执行检测评估，网安部门监督检查，网安厂商提供网络安全产品，集成公司提供建设整改。

　　*（1）等级划分*

　　等级保护一共分为五个等级，但是在最新的标准里面，对五级的说明为空白，只对一至四级做了说明。一级不用自主测评，二级以上需要网安部门测评备案。目前主要就是二级和三级，四级系统全国都很少，至于五级本人目前未曾见过（不代表没有，只是本人没见过）。

　　第一级：自主保护级。适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。例如，一些小型企业内部的简单办公自动化系统。

　　第二级：指导保护级。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。像一些普通的社区服务网站。

　　第三级：监督保护级。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。例如，地级市的电子政务系统。

　　第四级：强制保护级。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。典型的如国家关键基础设施的核心系统。

　　第五级：专控保护级。信息系统受到破坏后，会对国家安全造成特别严重损害。这一级别的系统涉及国家核心安全领域，相关细节通常高度保密。

　　（2）主要工作内容和流程

　　*定级备案*

　　信息系统运营、使用单位按照等级保护相关管理规范和技术标准，对信息系统确定安全保护等级，并向公安机关备案。在这个过程中，需要详细描述系统的功能、处理的数据类型、用户范围等信息，以便准确确定系统等级。

　　《信息安全技术―网络安全等级保护定级指南》规定了如何对系统进行定级，在等保1.0中，是业主单位自主定级，等保2.0中，定级是需要召开评审会，来进行定级。

　　*安全建设整改*

　　根据系统所定的安全等级，按照相应的标准要求，建设安全技术体系和安全管理体系。安全技术体系包括物理安全（如机房的访问控制、设备的防盗等）、网络安全（如防火墙的配置、入侵检测系统的部署等）、主机安全（如操作系统的安全加固）、应用安全（如 Web 应用的漏洞防护）和数据安全（如数据的加密存储和传输）。安全管理体系则包括安全管理制度、人员安全管理、系统建设和运维安全管理等方面。

　　*等级测评*

　　由具备资质的测评机构依据相关标准对信息系统的安全等级状况进行评估。测评内容包括安全技术测评和安全管理测评。测评机构会出具测评报告，指出系统在安全方面存在的问题和风险。

　　*监督检查*

　　公安机关等监管部门对信息系统运营、使用单位的等级保护工作进行监督检查。主要检查其定级备案、安全建设整改、等级测评等工作是否符合要求，对于不符合要求的单位责令限期整改，对于违反相关法律法规的行为依法进行处理。

　　*二、网络安全等级保护的演变过程*

　　网络安全等级保护的演变过程主要经历了以下几个阶段：

　　*起步阶段（1994 年 - 2003 年）：*

　　1994 年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，提出计算机信息系统实行安全等级保护，这是等级保护制度的初步立法依据，标志着等级保护工作的起步。在此阶段，等级保护主要针对政府机关、军队等重要部门的信息系统，采取较为严格的管控措施，重点关注计算机信息系统的实体安全、运行安全和信息安全。

　　*发展阶段（2003 年 - 2017 年）：*

　　2003 年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27 号），明确提出要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，实行信息安全等级保护。

　　2007 年，公安部等四部委联合发布《信息安全等级保护管理办法》，进一步明确了信息安全等级保护的工作原则、内容、流程以及各部门职责等，推动等级保护工作在全国范围内全面展开。

　　这一时期，等级保护工作从重要部门开始向企事业单位普及，形成了较为完善的定级、备案、安全建设整改、等级测评、监督检查等工作流程。相关技术标准也不断出台，如《信息安全技术信息系统安全等级保护基本要求》等，为等级保护工作的实施提供了具体的技术指导。

　　深化阶段（2017 年 - 2020 年）：

　　2017 年，《中华人民共和国网络安全法》正式施行，将网络安全等级保护制度上升为法律要求，明确规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务，使等级保护工作有了更坚实的法律依据。

　　随着云计算、大数据、物联网、移动互联网等新技术的快速发展，等级保护的对象和范围不断扩大。2019 年，等保 2.0 系列标准正式发布，在等保 1.0 的基础上，将保护对象从传统的信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网系统、工业控制系统、移动互联应用等多个领域，更加注重全方位、动态化的安全防护，强调安全管理与技术的深度融合，标志着等级保护进入了一个新的发展阶段。

　　完善与拓展阶段（2020 年-2025年）：

　　这一阶段，等级保护工作在实践中不断完善和优化，相关标准和规范持续更新，以适应新技术、新应用带来的安全挑战。例如，针对新兴技术领域的安全特点，进一步细化了安全要求和测评方法。

　　同时，随着国家对网络安全重视程度的不断提高，等级保护工作在保障国家关键信息基础设施安全、维护社会稳定和经济发展等方面发挥着越来越重要的作用，并逐渐拓展到更多的行业和领域，推动全社会网络安全防护水平的提升。

　　普及排查阶段（2025年至今）

　　“国家网络安全等级保护工作协调小组办公室”2025年3月8日印发的《关于进一步做好网络安全等级保护有关工作的函》中，取消了打分制，改为“符合、基本符合、不符合”。同时修改了一些措辞，使得测评和报告更加严谨，这一修改，接下来将会普及排查所有的网络系统，做到应测尽测，不久的将来，就会做到所有的非密系统全部过等保。

　　三、*等保测评费用*

　　测评费用全国各省市不尽相同，但是大都在4-10万之间，最近看到了别人总结了一部分省市的测评指导价，借来一用（取自公众号：信息化项目造价咨询，如有侵权，请联系删除，并致歉），以供各位参谋：

　　img

　　四、*等保备案证书*

　　等保的结果是测评，测评的结果是一纸证书。

　　其实，过等保拿证书不难，或者说还是比较容易的：机房该有的有，制度参照测评公司文档，二级部署防火墙、入侵防护、防病毒、日志审计，三级在二级的基础上部署堡垒机、网络审计，基本上就可以通过测评了。

　　如果有大佬看到这里了，可以继续看下去。

　　过等保不难，难就难在真的安全了吗？等保只是基础的安全防护措施，而且在做等保的时候，真的完全按照等保的标准做了吗？前面本人聊过，安全的本质是合规，也提到过，22239这个标准不是拍脑袋定的，都是一些大佬们绞尽脑汁写出来的标准，不要以为不管用，尽量还是靠近标准，真的按照标准来做了，安全措施才能一点一点完善起来。

　　最后说一句：千万不要为了做等保而做等保，安全的本质是安全，而不是证书。网安人，共勉！