公安大学专家：网络安全等级保护工作的创新发展

自1994年我国确立计算机信息系统实行安全等级保护制度以来，等级保护与我国信息化共同发展，从探索走向成熟，有力地保障了国家信息安全。随着信息技术的迅猛发展，等级保护的对象发生了变化，国内外网络安全领域也面临新形势、新问题，驱动等级保护在成熟经验的基础上开启新一轮创新发展。

一、等级保护制度发展的三个阶段

随着云计算、大数据、人工智能等新技术、应用的发展，数据资产快速泛在化，传统安全防御边界被打破，信息资产安全面临前所未有的威胁。与此同时，等级保护工作持续健康发展，已成为国家信息安全保护的基本制度。回顾我国等级保护制度的发展，大致可分为以下三个阶段。

第一阶段：等级保护确立和探索阶段。这个阶段从1994年确立计算机信息系统实行安全等级保护制度开始，到2003年等级保护从一项计算机信息系统安全保护制度提升至国家信息安全保障基本制度。2004年至2006年，公安部联合四部委开展了涉及6万余家单位，共11万余信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点，探索开展等级保护工作领导、组织、协调的模式和办法，营造等级保护工作的政策环境，为全面开展等级保护工作奠定了坚实的基础。

第二阶段：等级保护全面实施阶段。历经十多年的探索，2007年正式启动实施等级保护工作，陆续出台等级保护基本要求、安全设计和测评要求等一系列标准，实现了完善测评体系、开展三级以上系统测评、建设整改等有关等级保护工作的阶段性目标。2010年以后，金融、电力、教育、医疗、交通等行业监管部门和企事业单位陆续配套相关制度，全面贯彻执行等级保护工作，标志着我国信息安全等级保护工作全面展开，等级保护工作进入规模化推进阶段。

第三阶段：等级保护创新发展阶段。2017年6月1日，《中华人民共和国网络安全法》正式实施，明确将国家网络安全等级保护制度从我国的基本国策和基本制度上升为国家法律。网络安全等级保护的保护对象也发生了较大变化，原有的“信息系统”扩展成更广范围的“等级保护对象”，包括网络基础设施、信息系统、云计算平台、大数据、物联网和工业控制系统等。等级保护的基本要求不断丰富和完善，风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施全部纳入等级保护制度并加以实施。建立更为完善的等级保护体系，包括政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。以等级保护为核心，构建包括安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。

二、等级保护工作取得显著成效

历经二十多年的持续发展，等级保护工作在机构队伍、测评和安全检查等方面成效显著。

等级保护的机构和队伍建设不断加强。设置了国家和省两级信息安全等级保护工作协调小组办公室，在行业主管部门、网络安全重点保护单位建立了信息安全等级保护联络员制度，成立了等级保护专家组。规范测评机构和人员的管理，发展完善测评机构和测评师队伍。根据国家网络安全等级保护协调小组办公室公布的《全国网络安全等级保护测评机构推荐目录》，现有160余家测评机构。国家对测评人员实行等级测评师管理，逐步构建了具备职业道德和工作操守、等级分布和人员规模相对合理的测评师队伍。统计数据表明，已注册的高级测评师130余人，中级测评师1200余人，初级测评师3400余人。注重建设测评机构和人员的质量监督与管理体系，开展网络安全等级保护测评能力验证，确保等级测评服务的安全、客观、公正。

系统测评与建设工作有序开展。截至2017年底，我国已累计受理备案14万余个信息系统，其中三级以上重要信息系统1.7万余个，基本涵盖所有关键信息基础设施。根据等级保护的政策要求，金融、电力和水利等各重点行业，依据行业实际制定等级保护实施细则，进一步细化、落实本系统内的等级保护工作。以金融行业为例，行业管理部门制定了《证券期货业信息系统安全等级保护基本要求》《金融行业信息安全等级保护测评服务安全指引》《金融行业信息系统信息安全等级保护测评指南》《金融行业信息系统信息安全等级保护实施指引》等行业细化规范，以此为依托，全面开展金融行业等级保护工作。

开展网络安全执法大检查和网络安全信息通报预警。对纳入等级保护的信息系统开展常态化检查，按照公安机关网络安全执法检查的相关工作方案要求，对第三级（含）以上信息系统、重点网站及所属单位，开展执法检查。采取现场检查、技术检测和远程渗透相结合的方式，下发执法检查反馈意见书、整改通知书、安全隐患告知书，督促其开展整改，消除问题和隐患。近年来，累计发现整改各类安全漏洞近40万个。按照中央和国家相关要求，建立覆盖部省市三级、200多个重要行业、横纵通畅的立体化全国网络安全预警通报体系。

三、新时期等级保护工作新要求

为贯彻落实《中华人民共和国网络安全法》，应深入推进实施国家网络安全等级保护制度，有效应对动态、非对称、复杂和不确定等特性的网络安全挑战，积极融入网络空间国际治理环境，通过自主创新推进网络安全保障工作，为新时代网络安全事业作出新贡献。

积极构建等级保护安全、开放、合作的良好生态。首先，政府管理部门应按照法律规定和授权，建立良好的统筹协调机制，避免监管职能交叉和内容重复，规避监管中出现对同一单位、同一事项重复检查且标准不一等问题。其次，网信部门统筹协调，公安、保密和密码等部门分工负责，其他部门协同开展等级保护工作。公安机关发挥主力军作用，政府其他职能部门尤其是行业监管部门充分履行网络安全保护职责，营造社会多方参与网络安全保护工作的良好生态。再次，充分发挥群众的基础性作用，通过组织社会力量参与网络安全防范工作，一方面强化网络安全社会力量的防范意识和能力，另一方面带动更多的群众关注、重视、支持、配合网络安全防范工作，真正起到以点带面、以面保点的基础性作用。

加强对等级保护工作的系统研究。首先开展等级保护的制度体系研究，不断完善等级保护的法律政策、标准、技术支撑、人才队伍、教育训练和综合保障等各分支体系。其次，应开展对网络安全综合防控体系的研究，调动社会各种有效资源，实现开放协同、资源共享、主动防御、快速处置、精细管理的一体化系统工程，构建网络空间立体化综合防控体系。再次，开展网络安全技术研究，增强主动防御、监测发现、态势感知、通报预警、快速处置和监督管理等能力。使用大数据、人工智能等技术，让安全保护从局部走向全局，从被动转向主动，从局部的检测防御转向整体的威胁检测和感知，从静态转向更多的动态自适应体系，开创网络防护新时代。

加强等级保护工作的国际化交流与合作。积极服务国家网络空间国际合作战略，提供中国方案，分享中国经验。面对全球性的网络安全问题，加强国家间的合作对话、沟通与交流，以政府间、企业间、民间的各种友好合作，研究探讨网络安全等级保护工作模式，共同维护网络空间安全。加强网络安全保护的立法、经验和技术交流，推动世界各国就网络安全等级保护达成共识，制定合作措施。加强全球在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作，提高网络风险的防范和应对能力。

（本文刊登于《中国信息安全》杂志2018年第8期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。