淺談信息安全等級保護的發展歷程及現狀

田繼紅 蔣岱

［摘要］信息系統安全等級保護工作從概念的提出到現今開展定級、整改、測評已過去二十多年了，現已成為一項常態性的工作。本文從等級保護的發展到具體實施進行了逐一的介紹，系統而全面地論述了信息安全等級保護的相關問題。

［關鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引言

隨著全球信息技術的快速發展，我國國民經濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內容。為進一步提高信息安全保障工作的能力和水平，2016年國家網絡安全宣傳周首次在全國范圍內統一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規化工作，對保障國家網絡安全具有重要意義。下文對信息安全等級保護的概念及發展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產品、系統、信息等依據等級保護思想確立的安全工作；狹義上一般指信息系統安全等級保護。

2 信息安全等級保護的發展歷程

全球化網絡快速發展的同時其脆弱性和安全性也日益彰顯，西方發達國家制定了一系列強化網絡信息安全建設的政策和標準，其核心就是將不同重要程度的信息系統劃分為不同的安全等級，以便于對不同領域的信息安全工作進行指導。鑒于此，我國相關部門和專家結合我國信息領域的實際情況經過多年的研究，于1994年由國務院下發了《中華人民共和國計算機信息系統安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規，并實施工程。從計算機系統的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規范標準的出臺，各行業及監管部門迅速發文響應并落實行業內信息系統安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內進行信息系統等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據是《信息系統安全保護等級定級指南》（國家）或行業制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統：適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。

第二級信息系統：適用于縣級一些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如：不涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統，地市級以上國家機關、企事業單位網站等。

第三級信息系統：一般適用于地市級以上國家機關、企事業單位內部重要的信息系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業及控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省門戶網站和重要網站；跨省連接的網絡系統等，例如，網上銀行系統、證券集中交易系統、海關通關系統、民航離港控制系統等為三級信息系統。

第四級信息系統：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩定的核心系統。例如：電信骨干傳輸網、電力能量管理系統、銀行核心業務系統、鐵路票客系統、列車指揮調度系統等。

第五級信息系統：適用于國家特殊領域的極其重要系統。

3.2 等級備案

已運行的系統在安全保護等級定級后30日內，由運營、使用單位到所在地區的市級以上公安機關辦理備案手續。新建的系統，在通過立項申請后30日內辦理。將定級情況報各地公安部門備案。

辦理備案手續時備案單位需向公安機關網監部門提交以下備案材料。①《信息系統安全等級保護備案表》紙質材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統備案時需提交表中的表一、二、三；第三級以上信息系統還應當在系統整改、測評完成后30日內提交表四及其有關材料。②《信息系統安全等級保護定級報告》紙質材料一式兩份。每個備案的信息系統均需提供對應的《信息系統安全等級保護定級報告》。

③備案電子數據。每個備案的信息系統，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設分析整改

備案工作完成后，需要對照所定的級別對信息系統進行安全建設整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業機構幫助給出整改意見，在技術和管理兩個方面進行整體規劃和設計。在設計過程中要考慮近期和遠期規劃，從而給出總體和詳細的方案，特別要把技術體系、物理安全、管理安全、應急與災備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統完成建設整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構來完成。有“DJCP”資質的機構在“中國信息安全等級保護網”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統拓撲圖、規章制度、設備參數等），測評機構根據提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構針對測評對象制定測評指標，填寫測評內容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內容和測評流程。

（3）現場測評階段：測評機構按照測評方案的測評內容對項目中的管理和技術測評項進行逐一的測評，記錄測評相關數據。需要注意的是在現場測評過程中盡量不要影響被測系統的正常運行。可以選擇錯開業務高峰期或下班后的時間。為了保證被測系統不受影響，系統維護人員應在現場進行配合。

（4）報告編制階段：測評機構根據測評內容和數據進行整理，給出測評報告，告知風險點和測評發現的問題。

測評結果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統應當每年至少進行一次安全自查和安全測評；四級的信息系統應當每半年至少進行一次安全自查和安全測評；五級的應當依據特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發展現狀

隨著信息技術的不斷發展，云計算、移動互聯、物聯網、工業控制、大數據等概念的出現對信息系統等級保護提出了新的要求。在新技術應用背景下，等級保護的標準和規范也將隨之不斷調整，信息系統和測評機構都需要不斷提高自身的技術能力以適應新技術發展的需求。保證信息系統的循序建設和長期穩定的運行，是等級保護建設的重要意義。

主要參考文獻

［1］全國信息安全標準化技術委員會.信息系統安全等級保護實施指南［S］.2008.

［2］郭啟全．加快落實信息安全等級保護整改建設工作［J］．信息安全與通信保密，2010(5).