一、引述
1、相关定义
根据有关规范标准给出相关定义,信息是指在信息系统中存储、传输、处理的数字化信息。那么信息系统是指由计算机及其配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。网络安全是指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及以外事故,使网络处于稳定可靠运行的状态,以及保障网络数据信息的完整性、保密性、可用性的能力。安全分级是指:根据业务信息和系统服务的重要性和受损影响,确定实施某种程度的保护等级。
2、“信息安全等级保护制度”到“网络安全等级保护制度”的演进
在我国进入信息化时期,一开始就坚持推行信息安全等级保护制度,使信息安全实行分等级保护,以确保海量的信息安全的有效保护。在1994年2月18日国务院颁发的《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)中,其第九条明确规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。此后,一直称之为“信息安全等级保护制度”或“信息系统安全等级保护制度”并持续推动实施中。
直到2017年6月1日的《中华人民共和国网络安全法》颁布,其中第二十一条规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。至此,将信息安全等级保护制度更名为网络安全等级保护制度,即开启了“信息安全等级保护制度”演进到“网络安全等级保护制度”。这是因为随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到了网络,使其保护对象变为多元,不仅包含信息或信息系统,还包含信息网络,网络包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
必须指出的是:“信息安全等级保护制度”到“网络安全等级保护制度”的演进,不仅仅是名称的变更,更是制度体系的发展演进,包括等级保护对象的变化、安全技术要求的变化和制度管理要求的变化等。
欲详细了解上述相关法律法规内容的请进入:《计算机信息系统安全保护条例》;《网络安全法》
二、制度的内容确立
在1994年2月18日国务院颁发《中华人民共和国计算机信息系统安全保护条例》提出推行信息安全等级保护制度,并要求公安部牵头制定制度内容后,公安部就开始了该制度内容的确立与建立工作。于是,分别在2004年9月15日、2006年1月17日和2007年6月22日,公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室联合发布了《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号)、《信息安全等级保护管理办法(试行)》(公通字[2006] 7号)和《信息安全等级保护管理办法》(公通字[2007] 43号)。三个文件持续的对信息系统实行安全等级保护工作做出了不断的管理要求。并根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,对信息和信息系统的安全保护等级定级为五级。其三个文件定级要求基本类同,但表述上有些差别,尤其是公通字[2007] 43号尤为重要。为此,分别列于下表2-1~表2-3中,以供大家了解。安全等级越高,其保护与监督的要求越高。
表 2-1:信息系统安全保护等级的定级与监督要求(公通字[2004] 66号)
表 2-2:信息系统安全保护等级的定级与保护及监督要求(公通字[2006] 7号)
表 2-3:信息系统安全保护等级的定级与保护及监督要求(公通字[2007] 43号)
在三个文件中还规定了信息系统的运营或使用单位应按安全等级进行保护;国家有关信息安全职能部门对其保护工作进行监督管理的要求,也分别列入上述表格中。事实上,通过“公通字[2007] 43号《管理办法》等上述文件,它确立了信息安全等级保护制度的相关管理要求,包括等级级别的设立,以及备案管理、监督管理、测评管理等。
欲详细了解公安部等部门发布的上述文件内容的请进入。
三、制度的技术要求
为了使上述管理部门确立的安全等级保护制度的实施与落地,必须有相应的标准技术要求的配合,如等级的划分准则与定级指南、制度的基本技术要求、实施技术要求、测评技术要求、管理技术要求等。为此,我国专门制定并发布了安全等级保护技术的国家标准,可以归类为其基础性标准、细化性标准和扩展性标准。
1、基础性标准:GB 17859-1999《计算机信息系统安全保护等级划分准则》
在1999年9月我国发布了强制性国家标准GB 17859《计算机信息系统安全保护等级划分准则》,它是专门配合国务院《中华人民共和国计算机信息系统安全保护条例》而制定的,该标准是信息系统安全等级保护标准方面的一个基础性标准,是其它类相关标准的上位标准。该标准的发布主要有三个目的:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据(如上述《信息安全等级保护管理办法》等);二是为计算机信息系统安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导(如下述的细化性标准和扩展性标准)。
目前,该基础性标准仍然有效,它是将计算机信息系统安全保护能力的五个等级划分为:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级共5个等级,其等级名称释义详见下表3-1;同时给出了这些等级的划分准则,其适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。该标准的保护对象是计算机信息系统,事实上,在早期往往是称“计算机信息系统”,随着信息通信技术(ICT)的融合发展,现代统称为“信息系统”。其实,仅对计算机信息系统而言,其应是信息系统的重要组成内容。
表 3-1:计算机信息系统安全保护能力的五个等级及释义
欲详细了解GB 17859-1999标准具体内容的请进入。
2、信息安全等级保护的相关国家标准
为了配合《信息安全等级保护管理办法》(公通字[2007] 43号)的实施,我国从2008年开始又陆续发布了信息安全等级保护的细化性系列国家标准,它们以GB 17859-1999规定的五个等级,提出了相关技术要求。它们是:GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》、GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》、GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等六个。这些标准各自所规范的内容汇总于下表3-2中,它们都是依据上述国家的法规与管理文件、GB 17859-1999上位标准及我国其它信息安全类国家标准(见下述,称之为扩展性标准)而制定,为信息系统安全等级保护工作的建设和管理提供了有力的技术支撑。
表 3-2:信息系统安全等级保护的配套国家标准系列所规范的内容
3、网络安全等级保护的相关国家标准
上述六个标准都被它们的第1次修订的修订版代替了。这是因为,一是为了配合2017年颁布的《中华人民共和国网络安全法》的开始实施;二是信息通信技术(ICT)的高速发展,使安全等级保护的对象在变化,故将原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。因此,其修订版都将 “信息系统安全等级保护” 名称修订为“网络安全等级保护”,且修订版的内容变化较大。这次修订是从2018年开始的,直到2020年六个标准的修订并发布完毕,由此也称为安全等级保护系列标准的2.0版本。
欲详细了解上述这些国家标准情况(包括版本、构成情况等)和原文内容的请进入。
承然,依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,给出的网络安全的不同级别的等级保护对象应具备的基本安全保护能力详见于下表3-3(其中第五级省略)。依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》,将网络安全等级保护仍然定级为五级,同表2-3(公通字[2007] 43号文件),只是将表中的“信息系统”调整为“等级保护对象”。
表 3-3:网络安全等级保护的基本安全保护能力
4、安全等级保护的扩展性国家标准
事实上,上述安全等级保护标准系列(包括其1.0版本和2.0版本)可以统称为安全等级保护标准的细化性标准。然而,为了配合《信息安全等级保护管理办法》(公通字[2007] 43号)的实施,以及在制定上述细化性标准时,还需要相关信息安全技术类标准的配合,我们可以将这类标准称之为安全等级保护的扩展性标准。这些标准主要是指:GB/T 20269-2006《信息安全技术 信息系统安全管理要求》、GB/T 20270-2006《信息安全技术 网络基础安全技术要求》、GB/T 20271-2006《信息安全技术 信息系统通用安全技术要求》和GB/T 20282-2006《信息安全技术 信息系统安全工程管理要求》等。它们依据基础性标准GB 17859-1999划分的五个安全保护等级,所规范的内容汇总于下表3-4中。
表 3-4:信息系统安全等级保护的扩展性国家标准所规范的内容
欲详细了解上述这些国家标准情况和原文内容的请进入。
四、特别说明
其一:由上述介绍可知,对于信息安全等级或网络安全等级的定级,其管理规定(上述第二项)和国家标准(上述第三项中的基础性标准和扩展性标准)确定的内容是有所不同的。这是因为:公通字[2007] 43号等管理文件中安全等级的划分是从管理角度出发而确定;GB 17859-1999等国家标准中安全等级的划分是从技术角度出发而确定。它们的异同点详见于下表4。
表 4:管理规定和国家标准关于信息系统安全或信息网络安全等级的定级方法异同
其二:这里介绍的是信息系统安全或网络安全的等级与等级保护的相关要求。信息安全等级保护从与信息系统(或网络)安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息系统或信息网络实施分等级安全保护。然而,关于分等级安全保护,我国还发布有对于电信网和互联网分等级安全防护的相关要求,也包括法规要求和技术标准要求,其中也是按五个安全等级进行防护要求。它主要是从管理层面对电信网和互联网分等级安全防护提出要求的。
欲进一步了解电信网和互联网安全防护的相关要求的请进入。
