开展等级保护工作是国家信息安全保障工作的重要内容,等级保护制度已成为国家信息安全工作的一项基本制度。随着等保2.0正式发布时间临近,安全产业发展正面临新的历史发展机遇。针对等级保护发展现状,有必要对我国等级保护法律法规、政策规范、标准体系、机构建设、关键信息基础设施、能力建设等多个方面进行回顾与总结,结合目前我国等级保护工作中面临的实际问题,开展标准体系研究,为新时期开展等级保护工作、推动经济社会平稳发展夯实基础。

DOI:10.19358/j.issn.2096-5133.2019.03.003

等级保护工作现状

我国制定了适应自身发展状况的等级保护法律法规和标准体系。1994年,我国颁布《中华人民共和国计算机信息系统安全保护条例》,为信息系统实行等级保护提供法律依据,首次提出计算机信息系统实行安全等级保护。其中第三条明确了信息系统安全保护的内容,要求“应当保障计算机及相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。

2007年,我国颁布了《信息系统等级保护管理办法》,标志我国信息系统安全等级保护建设正式拉开序幕。2016年下半年,政策发布速度显著加快,包括《中华人民共和国网络安全法》(以下简称《网络安全法》)、《国家网络空间安全战略》等多项政策密集出台。其中,《网络安全法》第21条明确提出国家实行网络安全等级保护制度。2017年5月2日,《网络产品和服务安全审查办法(试行)》发布(该办法自2017年6月1日起施行)。自此,我国等级保护工作进入了新时期。

法律法规、政策规范与标准体系

等级保护制度包括定级、备案、建设整改、等级测评和监督检查五个阶段,构成完整的等级保护工作流程,各阶段对应法律法规和政策规范如表1所示(点击见大图)。

目前,各行业等级保护测评标准体系由各行业协会或行业监督管理委员会制定,各行业或领域特色的部分政策文件和标准体系如表2所示(点击见大图)。

机构建设

依据《网络安全等级保护测评机构管理办法》,截至目前,全国现有公安部等级保护评估中心推荐的测评机构共170余家。其中,国家级等保测评机构17家,可以在全国范围内开展等保测评工作,其余测评机构为省级测评机构,可以在本省范围内开展等保测评工作。在国家级和各省、区、市级范围内,信息系统分级分类参加等保测评。组织机构上设立国家级等保办和各省级等保办,国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐,监督管理全国级别测评机构;各省级等保办负责受理本省申请单位的申请,对申请单位进行审核、推荐,监督管理其推荐的省级测评机构。

测评机构在公安部等级保护评估中心牵头下成立了中关村信息安全等级保护测评联盟,目前联盟理事长单位为公安部信息安全等级保护评估中心,副理事长单位共16家,理事单位21家。

关键信息基础设施与能力建设

实施等级保护制度的根本目的是保护国家关键信息基础设施,因此,测评机构与测评人员能力建设的关键在于对关键信息基础设施的认定、测评和保护。借鉴国外相关经验做法,并结合我国国情,经研究认为:关键信息基础设施是指关系国家安全、国计民生的基础信息网络、重要信息系统、大数据和大型公共服务平台。

近十年来,全国公安机关共受理7万多家单位、约14万个信息系统的备案。根据《关于加强国家级重要信息系统安全保障工作有关事项的通知》,确定对涵盖电力、石油、银行、证券、保险、民航、铁路等47个重要行业、276家重点单位、500余个信息系统为国家级重要信息系统。

2017年7月,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》,对关键信息基础设施进行了认定。《网络安全法》要求关键信息基础设施的保护应高于网络安全等级保护制度的一般要求,并从制度、培训、灾备、应急等方面提出了要求。

等级保护测评工作面临的实际问题

当前,等级保护测评工作面临一些实际问题,如信息系统运营使用单位对等级保护工作重视不够,主动性、专业性不强;信息系统运营使用单位的建设和整改工作不到位;对等级保护工作的监督检查机制有待完善;全国等级保护测评机构和测评师数量不足、能力参差不齐、测评周期有限,无法满足为数众多的等级保护测评服务需求;现有行业标准、技术手段和测评工具箱难以满足新技术发展应用中的安全防护需求等。

等级保护制度标准体系分析

《网络安全法》的发布标志着等级保护工作正式进入2.0时代。国家标准GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》被应用于各个行业领域开展信息安全等级保护的建设整改和等级测评环节。随着信息技术发展,GB/T 22239—2008迫切需要进一步细化与完善。为了适应移动互联、云计算、大数据、物联网和工业控制等新技术条件下信息安全等级保护工作的开展,需对GB/T 22239—2008进行修订,修订的基本思路和方法是针对新技术、新应用领域提出具体的扩展安全要求。

等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指具体的一个领域内的扩展要求,例如云计算、移动互联、物联网和工业控制系统等。随着未来技术的发展,N会不断扩展。据分析,新版《信息安全技术网络完全等级保护基本要求》拟分为第一至五级安全要求,其中每一级包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。安全通用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理;云计算、移动互联、物联网、工业控制系统安全扩展要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及管理要求组成。等级保护工作只有进行时,没有完成时,仍然需要诸多努力才能不断与时俱进,真正满足新形势下经济社会发展的新要求。

作者:何占博,王颖,等

(原文发表在《信息技术与网络安全》2019年第3期,总第38卷503期,内容有删减

声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。