田繼紅 蔣岱

［摘要］信息系統(tǒng)安全等級保護工作從概念的提出到現(xiàn)今開展定級、整改、測評已過去二十多年了，現(xiàn)已成為一項常態(tài)性的工作。本文從等級保護的發(fā)展到具體實施進行了逐一的介紹，系統(tǒng)而全面地論述了信息安全等級保護的相關(guān)問題。

［關(guān)鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引言

隨著全球信息技術(shù)的快速發(fā)展，我國國民經(jīng)濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內(nèi)容。為進一步提高信息安全保障工作的能力和水平，2016年國家網(wǎng)絡(luò)安全宣傳周首次在全國范圍內(nèi)統(tǒng)一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規(guī)化工作，對保障國家網(wǎng)絡(luò)安全具有重要意義。下文對信息安全等級保護的概念及發(fā)展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產(chǎn)品、系統(tǒng)、信息等依據(jù)等級保護思想確立的安全工作；狹義上一般指信息系統(tǒng)安全等級保護。

2 信息安全等級保護的發(fā)展歷程

全球化網(wǎng)絡(luò)快速發(fā)展的同時其脆弱性和安全性也日益彰顯，西方發(fā)達國家制定了一系列強化網(wǎng)絡(luò)信息安全建設(shè)的政策和標準，其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級，以便于對不同領(lǐng)域的信息安全工作進行指導。鑒于此，我國相關(guān)部門和專家結(jié)合我國信息領(lǐng)域的實際情況經(jīng)過多年的研究，于1994年由國務(wù)院下發(fā)了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經(jīng)過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規(guī)，并實施工程。從計算機系統(tǒng)的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規(guī)范標準的出臺，各行業(yè)及監(jiān)管部門迅速發(fā)文響應(yīng)并落實行業(yè)內(nèi)信息系統(tǒng)安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術(shù)措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統(tǒng)進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內(nèi)進行信息系統(tǒng)等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據(jù)是《信息系統(tǒng)安全保護等級定級指南》（國家）或行業(yè)制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：適用于縣級一些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如：不涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機關(guān)、企事業(yè)單位網(wǎng)站等。

第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)及控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等，例如，網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。

第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如：電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。

第五級信息系統(tǒng)：適用于國家特殊領(lǐng)域的極其重要系統(tǒng)。

3.2 等級備案

已運行的系統(tǒng)在安全保護等級定級后30日內(nèi)，由運營、使用單位到所在地區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內(nèi)辦理。將定級情況報各地公安部門備案。

辦理備案手續(xù)時備案單位需向公安機關(guān)網(wǎng)監(jiān)部門提交以下備案材料。①《信息系統(tǒng)安全等級保護備案表》紙質(zhì)材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交表中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當在系統(tǒng)整改、測評完成后30日內(nèi)提交表四及其有關(guān)材料。②《信息系統(tǒng)安全等級保護定級報告》紙質(zhì)材料一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《信息系統(tǒng)安全等級保護定級報告》。

③備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設(shè)分析整改

備案工作完成后，需要對照所定的級別對信息系統(tǒng)進行安全建設(shè)整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業(yè)機構(gòu)幫助給出整改意見，在技術(shù)和管理兩個方面進行整體規(guī)劃和設(shè)計。在設(shè)計過程中要考慮近期和遠期規(guī)劃，從而給出總體和詳細的方案，特別要把技術(shù)體系、物理安全、管理安全、應(yīng)急與災備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統(tǒng)完成建設(shè)整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構(gòu)來完成。有“DJCP”資質(zhì)的機構(gòu)在“中國信息安全等級保護網(wǎng)”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統(tǒng)拓撲圖、規(guī)章制度、設(shè)備參數(shù)等），測評機構(gòu)根據(jù)提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構(gòu)針對測評對象制定測評指標，填寫測評內(nèi)容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內(nèi)容和測評流程。

（3）現(xiàn)場測評階段：測評機構(gòu)按照測評方案的測評內(nèi)容對項目中的管理和技術(shù)測評項進行逐一的測評，記錄測評相關(guān)數(shù)據(jù)。需要注意的是在現(xiàn)場測評過程中盡量不要影響被測系統(tǒng)的正常運行。可以選擇錯開業(yè)務(wù)高峰期或下班后的時間。為了保證被測系統(tǒng)不受影響，系統(tǒng)維護人員應(yīng)在現(xiàn)場進行配合。

（4）報告編制階段：測評機構(gòu)根據(jù)測評內(nèi)容和數(shù)據(jù)進行整理，給出測評報告，告知風險點和測評發(fā)現(xiàn)的問題。

測評結(jié)果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統(tǒng)應(yīng)當每年至少進行一次安全自查和安全測評；四級的信息系統(tǒng)應(yīng)當每半年至少進行一次安全自查和安全測評；五級的應(yīng)當依據(jù)特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發(fā)展現(xiàn)狀

隨著信息技術(shù)的不斷發(fā)展，云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等概念的出現(xiàn)對信息系統(tǒng)等級保護提出了新的要求。在新技術(shù)應(yīng)用背景下，等級保護的標準和規(guī)范也將隨之不斷調(diào)整，信息系統(tǒng)和測評機構(gòu)都需要不斷提高自身的技術(shù)能力以適應(yīng)新技術(shù)發(fā)展的需求。保證信息系統(tǒng)的循序建設(shè)和長期穩(wěn)定的運行，是等級保護建設(shè)的重要意義。

主要參考文獻

［1］全國信息安全標準化技術(shù)委員會.信息系統(tǒng)安全等級保護實施指南［S］.2008.

［2］郭啟全．加快落實信息安全等級保護整改建設(shè)工作［J］．信息安全與通信保密，2010(5).