一、引述

1、相關(guān)定義

根據(jù)有關(guān)規(guī)范標(biāo)準(zhǔn)給出相關(guān)定義，信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。那么信息系統(tǒng)是指由計算機及其配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或網(wǎng)絡(luò)。網(wǎng)絡(luò)安全是指通過采取必要的措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及以外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)信息的完整性、保密性、可用性的能力。安全分級是指：根據(jù)業(yè)務(wù)信息和系統(tǒng)服務(wù)的重要性和受損影響，確定實施某種程度的保護等級。

2、“信息安全等級保護制度”到“網(wǎng)絡(luò)安全等級保護制度”的演進

在我國進入信息化時期，一開始就堅持推行信息安全等級保護制度，使信息安全實行分等級保護，以確保海量的信息安全的有效保護。在1994年2月18日國務(wù)院頒發(fā)的《中華人民共和國計算機信息系統(tǒng)安全保護條例》（中華人民共和國國務(wù)院令第147號）中，其第九條明確規(guī)定：計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。此后，一直稱之為“信息安全等級保護制度”或“信息系統(tǒng)安全等級保護制度”并持續(xù)推動實施中。

直到2017年6月1日的《中華人民共和國網(wǎng)絡(luò)安全法》頒布，其中第二十一條規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護制度，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。至此，將信息安全等級保護制度更名為網(wǎng)絡(luò)安全等級保護制度，即開啟了“信息安全等級保護制度”演進到“網(wǎng)絡(luò)安全等級保護制度”。這是因為隨著信息技術(shù)的發(fā)展，等級保護對象已經(jīng)從狹義的信息系統(tǒng)，擴展到了網(wǎng)絡(luò)，使其保護對象變?yōu)槎嘣粌H包含信息或信息系統(tǒng)，還包含信息網(wǎng)絡(luò)，網(wǎng)絡(luò)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等。

必須指出的是：“信息安全等級保護制度”到“網(wǎng)絡(luò)安全等級保護制度”的演進，不僅僅是名稱的變更，更是制度體系的發(fā)展演進，包括等級保護對象的變化、安全技術(shù)要求的變化和制度管理要求的變化等。

欲詳細了解上述相關(guān)法律法規(guī)內(nèi)容的請進入：《計算機信息系統(tǒng)安全保護條例》；《網(wǎng)絡(luò)安全法》

二、制度的內(nèi)容確立

在1994年2月18日國務(wù)院頒發(fā)《中華人民共和國計算機信息系統(tǒng)安全保護條例》提出推行信息安全等級保護制度，并要求公安部牽頭制定制度內(nèi)容后，公安部就開始了該制度內(nèi)容的確立與建立工作。于是，分別在2004年9月15日、2006年1月17日和2007年6月22日，公安部會同國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004] 66號）、《信息安全等級保護管理辦法（試行）》（公通字[2006] 7號）和《信息安全等級保護管理辦法》（公通字[2007] 43號）。三個文件持續(xù)的對信息系統(tǒng)實行安全等級保護工作做出了不斷的管理要求。并根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素，對信息和信息系統(tǒng)的安全保護等級定級為五級。其三個文件定級要求基本類同，但表述上有些差別，尤其是公通字[2007] 43號尤為重要。為此，分別列于下表2-1~表2-3中，以供大家了解。安全等級越高，其保護與監(jiān)督的要求越高。

表 2-1：信息系統(tǒng)安全保護等級的定級與監(jiān)督要求（公通字[2004] 66號）

表 2-2：信息系統(tǒng)安全保護等級的定級與保護及監(jiān)督要求（公通字[2006] 7號）

表 2-3：信息系統(tǒng)安全保護等級的定級與保護及監(jiān)督要求（公通字[2007] 43號）

在三個文件中還規(guī)定了信息系統(tǒng)的運營或使用單位應(yīng)按安全等級進行保護；國家有關(guān)信息安全職能部門對其保護工作進行監(jiān)督管理的要求，也分別列入上述表格中。事實上，通過“公通字[2007] 43號《管理辦法》等上述文件，它確立了信息安全等級保護制度的相關(guān)管理要求，包括等級級別的設(shè)立，以及備案管理、監(jiān)督管理、測評管理等。

欲詳細了解公安部等部門發(fā)布的上述文件內(nèi)容的請進入。

三、制度的技術(shù)要求

為了使上述管理部門確立的安全等級保護制度的實施與落地，必須有相應(yīng)的標(biāo)準(zhǔn)技術(shù)要求的配合，如等級的劃分準(zhǔn)則與定級指南、制度的基本技術(shù)要求、實施技術(shù)要求、測評技術(shù)要求、管理技術(shù)要求等。為此，我國專門制定并發(fā)布了安全等級保護技術(shù)的國家標(biāo)準(zhǔn)，可以歸類為其基礎(chǔ)性標(biāo)準(zhǔn)、細化性標(biāo)準(zhǔn)和擴展性標(biāo)準(zhǔn)。

1、基礎(chǔ)性標(biāo)準(zhǔn)：GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》

在1999年9月我國發(fā)布了強制性國家標(biāo)準(zhǔn)GB 17859《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，它是專門配合國務(wù)院《中華人民共和國計算機信息系統(tǒng)安全保護條例》而制定的，該標(biāo)準(zhǔn)是信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)方面的一個基礎(chǔ)性標(biāo)準(zhǔn)，是其它類相關(guān)標(biāo)準(zhǔn)的上位標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的發(fā)布主要有三個目的：一是為計算機信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)（如上述《信息安全等級保護管理辦法》等）；二是為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持；三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)（如下述的細化性標(biāo)準(zhǔn)和擴展性標(biāo)準(zhǔn)）。

目前，該基礎(chǔ)性標(biāo)準(zhǔn)仍然有效，它是將計算機信息系統(tǒng)安全保護能力的五個等級劃分為：用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級共5個等級，其等級名稱釋義詳見下表3-1；同時給出了這些等級的劃分準(zhǔn)則，其適用于計算機信息系統(tǒng)安全保護技術(shù)能力等級的劃分。計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。該標(biāo)準(zhǔn)的保護對象是計算機信息系統(tǒng)，事實上，在早期往往是稱“計算機信息系統(tǒng)”，隨著信息通信技術(shù)（ICT）的融合發(fā)展，現(xiàn)代統(tǒng)稱為“信息系統(tǒng)”。其實，僅對計算機信息系統(tǒng)而言，其應(yīng)是信息系統(tǒng)的重要組成內(nèi)容。

表 3-1：計算機信息系統(tǒng)安全保護能力的五個等級及釋義

欲詳細了解GB 17859-1999標(biāo)準(zhǔn)具體內(nèi)容的請進入。

2、信息安全等級保護的相關(guān)國家標(biāo)準(zhǔn)

為了配合《信息安全等級保護管理辦法》（公通字[2007] 43號）的實施，我國從2008年開始又陸續(xù)發(fā)布了信息安全等級保護的細化性系列國家標(biāo)準(zhǔn)，它們以GB 17859-1999規(guī)定的五個等級，提出了相關(guān)技術(shù)要求。它們是：GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》、GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》、GB/T 25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》、GB/T 25070-2010《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》等六個。這些標(biāo)準(zhǔn)各自所規(guī)范的內(nèi)容匯總于下表3-2中，它們都是依據(jù)上述國家的法規(guī)與管理文件、GB 17859-1999上位標(biāo)準(zhǔn)及我國其它信息安全類國家標(biāo)準(zhǔn)（見下述，稱之為擴展性標(biāo)準(zhǔn)）而制定，為信息系統(tǒng)安全等級保護工作的建設(shè)和管理提供了有力的技術(shù)支撐。

表 3-2：信息系統(tǒng)安全等級保護的配套國家標(biāo)準(zhǔn)系列所規(guī)范的內(nèi)容

3、網(wǎng)絡(luò)安全等級保護的相關(guān)國家標(biāo)準(zhǔn)

上述六個標(biāo)準(zhǔn)都被它們的第1次修訂的修訂版代替了。這是因為，一是為了配合2017年頒布的《中華人民共和國網(wǎng)絡(luò)安全法》的開始實施；二是信息通信技術(shù)（ICT）的高速發(fā)展，使安全等級保護的對象在變化，故將原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動互聯(lián)技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。因此，其修訂版都將 “信息系統(tǒng)安全等級保護” 名稱修訂為“網(wǎng)絡(luò)安全等級保護”，且修訂版的內(nèi)容變化較大。這次修訂是從2018年開始的，直到2020年六個標(biāo)準(zhǔn)的修訂并發(fā)布完畢，由此也稱為安全等級保護系列標(biāo)準(zhǔn)的2.0版本。

欲詳細了解上述這些國家標(biāo)準(zhǔn)情況（包括版本、構(gòu)成情況等）和原文內(nèi)容的請進入。

承然，依據(jù)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，給出的網(wǎng)絡(luò)安全的不同級別的等級保護對象應(yīng)具備的基本安全保護能力詳見于下表3-3（其中第五級省略）。依據(jù)GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》，將網(wǎng)絡(luò)安全等級保護仍然定級為五級，同表2-3（公通字[2007] 43號文件），只是將表中的“信息系統(tǒng)”調(diào)整為“等級保護對象”。

表 3-3：網(wǎng)絡(luò)安全等級保護的基本安全保護能力

4、安全等級保護的擴展性國家標(biāo)準(zhǔn)

事實上，上述安全等級保護標(biāo)準(zhǔn)系列（包括其1.0版本和2.0版本）可以統(tǒng)稱為安全等級保護標(biāo)準(zhǔn)的細化性標(biāo)準(zhǔn)。然而，為了配合《信息安全等級保護管理辦法》（公通字[2007] 43號）的實施，以及在制定上述細化性標(biāo)準(zhǔn)時，還需要相關(guān)信息安全技術(shù)類標(biāo)準(zhǔn)的配合，我們可以將這類標(biāo)準(zhǔn)稱之為安全等級保護的擴展性標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)主要是指：GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》、GB/T 20270-2006《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、GB/T 20271-2006《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》和GB/T 20282-2006《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》等。它們依據(jù)基礎(chǔ)性標(biāo)準(zhǔn)GB 17859-1999劃分的五個安全保護等級，所規(guī)范的內(nèi)容匯總于下表3-4中。

表 3-4：信息系統(tǒng)安全等級保護的擴展性國家標(biāo)準(zhǔn)所規(guī)范的內(nèi)容

欲詳細了解上述這些國家標(biāo)準(zhǔn)情況和原文內(nèi)容的請進入。

四、特別說明

其一：由上述介紹可知，對于信息安全等級或網(wǎng)絡(luò)安全等級的定級，其管理規(guī)定（上述第二項）和國家標(biāo)準(zhǔn)（上述第三項中的基礎(chǔ)性標(biāo)準(zhǔn)和擴展性標(biāo)準(zhǔn)）確定的內(nèi)容是有所不同的。這是因為：公通字[2007] 43號等管理文件中安全等級的劃分是從管理角度出發(fā)而確定；GB 17859-1999等國家標(biāo)準(zhǔn)中安全等級的劃分是從技術(shù)角度出發(fā)而確定。它們的異同點詳見于下表4。

表 4：管理規(guī)定和國家標(biāo)準(zhǔn)關(guān)于信息系統(tǒng)安全或信息網(wǎng)絡(luò)安全等級的定級方法異同

其二：這里介紹的是信息系統(tǒng)安全或網(wǎng)絡(luò)安全的等級與等級保護的相關(guān)要求。信息安全等級保護從與信息系統(tǒng)（或網(wǎng)絡(luò)）安全相關(guān)的物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面對信息系統(tǒng)或信息網(wǎng)絡(luò)實施分等級安全保護。然而，關(guān)于分等級安全保護，我國還發(fā)布有對于電信網(wǎng)和互聯(lián)網(wǎng)分等級安全防護的相關(guān)要求，也包括法規(guī)要求和技術(shù)標(biāo)準(zhǔn)要求，其中也是按五個安全等級進行防護要求。它主要是從管理層面對電信網(wǎng)和互聯(lián)網(wǎng)分等級安全防護提出要求的。

欲進一步了解電信網(wǎng)和互聯(lián)網(wǎng)安全防護的相關(guān)要求的請進入。