一�、引述
1、相關定義
根據有關規范標準給出相關定義�����,信息是指在信息系統中存儲�、傳輸、處理的數字化信息。那么信息系統是指由計算機及其配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲�、傳輸�、處理的系統或網絡�。網絡安全是指通過采取必要的措施,防范對網絡的攻擊��、侵入���、干擾�����、破壞和非法使用以及以外事故,使網絡處于穩定可靠運行的狀態���,以及保障網絡數據信息的完整性、保密性����、可用性的能力����。安全分級是指:根據業務信息和系統服務的重要性和受損影響�,確定實施某種程度的保護等級。
2��、“信息安全等級保護制度”到“網絡安全等級保護制度”的演進
在我國進入信息化時期���,一開始就堅持推行信息安全等級保護制度���,使信息安全實行分等級保護��,以確保海量的信息安全的有效保護。在1994年2月18日國務院頒發的《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務院令第147號)中��,其第九條明確規定:計算機信息系統實行安全等級保護�����。安全等級的劃分標準和安全等級保護的具體辦法����,由公安部會同有關部門制定���。此后��,一直稱之為“信息安全等級保護制度”或“信息系統安全等級保護制度”并持續推動實施中。
直到2017年6月1日的《中華人民共和國網絡安全法》頒布�,其中第二十一條規定:國家實行網絡安全等級保護制度��,網絡運營者應當按照網絡安全等級保護制度的要求����,履行安全保護義務����,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取���、篡改。至此,將信息安全等級保護制度更名為網絡安全等級保護制度�����,即開啟了“信息安全等級保護制度”演進到“網絡安全等級保護制度”�。這是因為隨著信息技術的發展,等級保護對象已經從狹義的信息系統�����,擴展到了網絡��,使其保護對象變為多元����,不僅包含信息或信息系統��,還包含信息網絡��,網絡包括網絡基礎設施����、云計算平臺/系統�����、大數據平臺/系統、物聯網����、工業控制系統����、采用移動互聯技術的系統等����。
必須指出的是:“信息安全等級保護制度”到“網絡安全等級保護制度”的演進,不僅僅是名稱的變更,更是制度體系的發展演進,包括等級保護對象的變化���、安全技術要求的變化和制度管理要求的變化等���。
欲詳細了解上述相關法律法規內容的請進入:《計算機信息系統安全保護條例》��;《網絡安全法》
二�����、制度的內容確立
在1994年2月18日國務院頒發《中華人民共和國計算機信息系統安全保護條例》提出推行信息安全等級保護制度,并要求公安部牽頭制定制度內容后,公安部就開始了該制度內容的確立與建立工作��。于是����,分別在2004年9月15日���、2006年1月17日和2007年6月22日����,公安部會同國家保密局、國家密碼管理局��、國務院信息化工作辦公室聯合發布了《關于信息安全等級保護工作的實施意見》(公通字[2004] 66號)�����、《信息安全等級保護管理辦法(試行)》(公通字[2006] 7號)和《信息安全等級保護管理辦法》(公通字[2007] 43號)����。三個文件持續的對信息系統實行安全等級保護工作做出了不斷的管理要求。并根據信息和信息系統在國家安全����、經濟建設�、社會生活中的重要程度����;遭到破壞后對國家安全、社會秩序���、公共利益以及公民、法人和其他組織的合法權益的危害程度����;針對信息的保密性�����、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素�,對信息和信息系統的安全保護等級定級為五級。其三個文件定級要求基本類同���,但表述上有些差別,尤其是公通字[2007] 43號尤為重要。為此����,分別列于下表2-1~表2-3中��,以供大家了解。安全等級越高�����,其保護與監督的要求越高�����。
表 2-1:信息系統安全保護等級的定級與監督要求(公通字[2004] 66號)
表 2-2:信息系統安全保護等級的定級與保護及監督要求(公通字[2006] 7號)
表 2-3:信息系統安全保護等級的定級與保護及監督要求(公通字[2007] 43號)
在三個文件中還規定了信息系統的運營或使用單位應按安全等級進行保護��;國家有關信息安全職能部門對其保護工作進行監督管理的要求,也分別列入上述表格中��。事實上�����,通過“公通字[2007] 43號《管理辦法》等上述文件���,它確立了信息安全等級保護制度的相關管理要求�����,包括等級級別的設立,以及備案管理、監督管理����、測評管理等�����。
欲詳細了解公安部等部門發布的上述文件內容的請進入。
三��、制度的技術要求
為了使上述管理部門確立的安全等級保護制度的實施與落地���,必須有相應的標準技術要求的配合,如等級的劃分準則與定級指南���、制度的基本技術要求���、實施技術要求�����、測評技術要求、管理技術要求等。為此��,我國專門制定并發布了安全等級保護技術的國家標準��,可以歸類為其基礎性標準���、細化性標準和擴展性標準�。
1�����、基礎性標準:GB 17859-1999《計算機信息系統安全保護等級劃分準則》
在1999年9月我國發布了強制性國家標準GB 17859《計算機信息系統安全保護等級劃分準則》,它是專門配合國務院《中華人民共和國計算機信息系統安全保護條例》而制定的,該標準是信息系統安全等級保護標準方面的一個基礎性標準���,是其它類相關標準的上位標準。該標準的發布主要有三個目的:一是為計算機信息系統安全法規的制定和執法部門的監督檢查提供依據(如上述《信息安全等級保護管理辦法》等);二是為計算機信息系統安全產品的研制提供技術支持����;三是為安全系統的建設和管理提供技術指導(如下述的細化性標準和擴展性標準)��。
目前,該基礎性標準仍然有效,它是將計算機信息系統安全保護能力的五個等級劃分為:用戶自主保護級�、系統審計保護級����、安全標記保護級���、結構化保護級����、訪問驗證保護級共5個等級,其等級名稱釋義詳見下表3-1��;同時給出了這些等級的劃分準則��,其適用于計算機信息系統安全保護技術能力等級的劃分���。計算機信息系統安全保護能力隨著安全保護等級的增高�,逐漸增強。該標準的保護對象是計算機信息系統����,事實上����,在早期往往是稱“計算機信息系統”�,隨著信息通信技術(ICT)的融合發展�,現代統稱為“信息系統”。其實�,僅對計算機信息系統而言����,其應是信息系統的重要組成內容。
表 3-1:計算機信息系統安全保護能力的五個等級及釋義
欲詳細了解GB 17859-1999標準具體內容的請進入��。
2�����、信息安全等級保護的相關國家標準
為了配合《信息安全等級保護管理辦法》(公通字[2007] 43號)的實施�����,我國從2008年開始又陸續發布了信息安全等級保護的細化性系列國家標準����,它們以GB
17859-1999規定的五個等級�,提出了相關技術要求。它們是:GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》����、GB/T 22240-2008《信息安全技術 信息系統安全等級保護定級指南》����、GB/T 25058-2010《信息安全技術 信息系統安全等級保護實施指南》��、GB/T 25070-2010《信息安全技術 信息系統等級保護安全設計技術要求》���、GB/T 28448-2012《信息安全技術 信息系統安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統安全等級保護測評過程指南》等六個��。這些標準各自所規范的內容匯總于下表3-2中,它們都是依據上述國家的法規與管理文件�����、GB 17859-1999上位標準及我國其它信息安全類國家標準(見下述�,稱之為擴展性標準)而制定,為信息系統安全等級保護工作的建設和管理提供了有力的技術支撐���。
表 3-2:信息系統安全等級保護的配套國家標準系列所規范的內容
3、網絡安全等級保護的相關國家標準
上述六個標準都被它們的第1次修訂的修訂版代替了���。這是因為,一是為了配合2017年頒布的《中華人民共和國網絡安全法》的開始實施�;二是信息通信技術(ICT)的高速發展����,使安全等級保護的對象在變化,故將原來的信息系統調整為基礎信息網絡、信息系統(含采用移動互聯技術的系統)����、云計算平臺/系統��、大數據應用/平臺/資源、物聯網和工業控制系統等。因此��,其修訂版都將 “信息系統安全等級保護” 名稱修訂為“網絡安全等級保護”�,且修訂版的內容變化較大。這次修訂是從2018年開始的,直到2020年六個標準的修訂并發布完畢,由此也稱為安全等級保護系列標準的2.0版本��。
欲詳細了解上述這些國家標準情況(包括版本�����、構成情況等)和原文內容的請進入�����。
承然�����,依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》��,給出的網絡安全的不同級別的等級保護對象應具備的基本安全保護能力詳見于下表3-3(其中第五級省略)。依據GB/T 22240-2020《信息安全技術 網絡安全等級保護定級指南》���,將網絡安全等級保護仍然定級為五級��,同表2-3(公通字[2007]
43號文件),只是將表中的“信息系統”調整為“等級保護對象”。
表 3-3:網絡安全等級保護的基本安全保護能力
4、安全等級保護的擴展性國家標準
事實上�,上述安全等級保護標準系列(包括其1.0版本和2.0版本)可以統稱為安全等級保護標準的細化性標準�。然而,為了配合《信息安全等級保護管理辦法》(公通字[2007] 43號)的實施,以及在制定上述細化性標準時,還需要相關信息安全技術類標準的配合,我們可以將這類標準稱之為安全等級保護的擴展性標準���。這些標準主要是指:GB/T 20269-2006《信息安全技術 信息系統安全管理要求》、GB/T 20270-2006《信息安全技術 網絡基礎安全技術要求》、GB/T 20271-2006《信息安全技術 信息系統通用安全技術要求》和GB/T 20282-2006《信息安全技術 信息系統安全工程管理要求》等�����。它們依據基礎性標準GB 17859-1999劃分的五個安全保護等級��,所規范的內容匯總于下表3-4中����。
表 3-4:信息系統安全等級保護的擴展性國家標準所規范的內容
欲詳細了解上述這些國家標準情況和原文內容的請進入�。
四、特別說明
其一:由上述介紹可知�,對于信息安全等級或網絡安全等級的定級����,其管理規定(上述第二項)和國家標準(上述第三項中的基礎性標準和擴展性標準)確定的內容是有所不同的�。這是因為:公通字[2007] 43號等管理文件中安全等級的劃分是從管理角度出發而確定;GB 17859-1999等國家標準中安全等級的劃分是從技術角度出發而確定。它們的異同點詳見于下表4�。
表 4:管理規定和國家標準關于信息系統安全或信息網絡安全等級的定級方法異同
其二:這里介紹的是信息系統安全或網絡安全的等級與等級保護的相關要求。信息安全等級保護從與信息系統(或網絡)安全相關的物理層面���、網絡層面、系統層面�、應用層面和管理層面對信息系統或信息網絡實施分等級安全保護����。然而����,關于分等級安全保護,我國還發布有對于電信網和互聯網分等級安全防護的相關要求��,也包括法規要求和技術標準要求�����,其中也是按五個安全等級進行防護要求��。它主要是從管理層面對電信網和互聯網分等級安全防護提出要求的�����。
欲進一步了解電信網和互聯網安全防護的相關要求的請進入。
