等级保护划分为五个级别，由低到高依次为一级自主保护级、二级指导保护级、三级监督保护级、四级强制保护级和五级专控保护级。这一划分基于系统重要程度和被破坏后的危害程度，确保不同安全需求的信息系统得到恰当保护，更好地保障网络安全使用。

　　一、等级保护划分为多少级?

　　等级保护(信息安全等级保护)根据系统重要程度和被破坏后的危害程度，划分为五个等级：

　　一级(自主保护级)：系统受破坏后，仅对公民、法人和其他组织的合法权益造成一般损害，不危害国家安全、社会秩序和公共利益。

　　二级(指导保护级)：系统受破坏后，会对公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或对社会秩序和公共利益造成危害，但不危害国家安全。

　　三级(监督保护级)：系统受破坏后，会对社会秩序和公共利益造成严重危害，或对国家安全造成危害。

　　四级(强制保护级)：系统受破坏后，会对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害。

　　五级(专控保护级)：系统受破坏后，会对国家安全造成特别严重损害。

　　二、等级保护二级要求

　　等级保护二级要求涵盖物理安全、网络安全、主机安全、应用安全、数据安全及安全管理等多个层面，具体包括：

　　物理安全：

　　物理位置选择：机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

　　物理访问控制：机房出入口应有专人值守，鉴别进入的人员身份并登记在案;应批准进入机房的来访人员，限制和监控其活动范围。

　　防盗窃和防破坏：主要设备应放置在物理受限的范围内，并对设备或主要部件进行固定，设置明显的不易除去的标记。

　　防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

　　网络安全：

　　结构安全与网段划分：网络设备的业务处理能力应具备冗余空间，满足业务高峰期需要;应设计和绘制与当前运行情况相符的网络拓扑结构图。

　　网络安全审计：应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录。

　　边界完整性检查：应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为。

　　网络入侵防范：应在网络边界处监视端口扫描、强力攻击、木马后门攻击等入侵行为。

　　恶意代码防范：应在网络边界及核心业务网段处对恶意代码进行检测和清除。

　　网络设备防护：应对登录网络设备的用户进行身份鉴别，限制网络设备管理员的登录地址。

　　主机安全：

　　身份鉴别：操作系统和数据库管理系统用户的身份标识应具有唯一性，应对登录用户进行身份标识和鉴别。

　　自主访问控制：应依据安全策略控制主体对客体的访问，自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。

　　恶意代码防范：服务器和重要终端设备应安装实时检测和查杀恶意代码的软件产品。

　　资源控制：应限制单个用户的会话数量，通过设定终端接入方式、网络地址范围等条件限制终端登录。

　　应用安全：

　　身份鉴别：应用系统用户的身份标识应具有唯一性，应对登录用户进行身份标识和鉴别。

　　访问控制：应依据安全策略控制用户对客体的访问，实现应用系统特权用户的权限分离。

　　安全审计：安全审计应覆盖到应用系统的每个用户，记录应用系统重要的安全相关事件。

　　数据安全及备份恢复：

　　数据完整性：应确保数据的完整性，防止数据被篡改或损坏。

　　数据保密性：应确保数据的保密性，防止数据泄露给未经授权的用户。

　　数据备份和恢复：应提供数据备份和恢复功能，确保数据在丢失或损坏后能够恢复。

　　安全管理：

　　安全管理制度：应建立安全管理制度，明确安全管理责任和权限，制定安全策略和操作规程。

　　安全管理机构：应设立安全管理机构，明确安全管理职责和人员，建立安全管理责任制。

　　人员安全管理：应对人员进行安全意识教育和技能培训，确保人员具备必要的安全知识和技能。

　　系统建设管理：应确保信息系统的建设符合安全要求，包括系统定级、方案设计、产品采购、软件开发、工程实施、测试验收等。

　　系统运维管理：应确保信息系统的运行和维护符合安全要求，包括环境管理、资产管理、介质管理、设备维护管理、监控管理和安全管理中心等。

　　三、等级保护的目的

　　等级保护的目的主要包括以下几点：

　　发现安全隐患和不足：通过等级保护测评，发现单位信息系统存在的安全隐患和不足，进行安全整改后，提高安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

　　遵守国家法律法规：等级保护是我国关于网络安全的基本政策，《网络安全等级保护管理办法》和《中华人民共和国网络安全法》等国家法律法规、相关政策制度要求单位开展等级保护工作。

　　落实网络安全保护义务：通过等级保护，落实个人及单位的网络安全保护义务，合理规避风险。

　　满足行业主管单位要求：很多行业主管单位要求行业客户开展等级保护工作，还有一些主管单位发过相关文件或通知要求去做。开展网络安全等级保护测评，能够切实提升网络安全防护能力，使用户信息系统或网络满足国家等级保护基本要求，全方位助力互联网安全发展。

　　各级保护要求随等级提升而加强。一级属最低级别，无需测评;二级为一般系统，需指导保护;三级为重要系统，需每年测评;四级和五级则分别适用于国家关键信息基础设施和极端重要系统，保护要求极为严格，需国家强制监督或专门部门管理。