流程

定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

受侵害客体

公民、法人和其他组织的合法权益

社会秩序和公共利益

国家安全

一般损害

严重损害

特别严重损害

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。

范围增大，如对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”，三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。

要求细化：如人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。

粒度细化：如网络安全中的“访问控制”，二级要求“控制粒度为网段级”，三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样增强了要求的强度

堡垒机，也叫做运维安全审计系统，它的核心功能是 4A：

简单总结一句话：堡垒机是用来控制哪些人可以登录哪些资产（事先防范和事中控制），以及录像记录登录资产后做了什么事情（事后溯源.）。