如何根据不同安全等级选择信息安全设备？

国家标准GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》（以下简称《定级指南》）将安全保护等级划分为了五个等级。那么，采购人应如何根据不同安全等级选择信息安全设备？

政府采购信息报记者了解到，安全保护等级主要依据对客体的侵害程度划分，侵害程度从第一级至第五级逐渐递增。例如，对公民、法人和其他组织的合法权益产生一般损害的为第一级；对国家安全产生特别严重损害的为第五级。一位业内资深人士告诉记者：“大部分采购人的安全保护等级均为第一级，因此采购较为基础的信息安全设备便能够满足采购需求。”

按照《定级指南》划定的安全保护等级，采购人应具备对应的安全保护能力。例如第一级安全保护能力要求：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

政府采购信息报社智库专家、首席顾问曹石林说：“对于涉及大量公民个人信息以及为公民提供公共服务的大数据平台或系统，例如医保系统，原则上其安全保护等级不低于第三级。根据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》，安全保护等级第三级相比一、二级需要执行更加严格的标准，例如在安全审计方面，对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析等。”

“普通的行政机关、事业单位一般不会遇到大规模的网络攻击，因此在IDS网络层吞吐量、IPS吞吐量等性能上不会有太高要求；党政机关有安全可靠测评的要求，可能会更侧重于选择国产CPU芯片和国产化操作系统的信息安全设备。”业内资深人士秦志龙说。

​