关于网络信息安全等级保护制度的思考

hyforsky

一、为什么要等级保护

信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键，而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。

社会发展的不同阶段有不同特质的信息安全问题，在社会发展要求网络化信息系统互连互通的信息化时代，信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。

引发信息安全问题的因素有多个方面，有外部因素和内部的，但最主要的因素在于内部。信息安全政策不确定、信息安全发展方向不明朗；信息安全保护工作组织管理制度不健全，安全责任制不落实，导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系；信息安全市场和服务混乱、不规范；国家监管机制（执法队伍及其技术支撑体系）不健全，监管手段缺乏等。因此导致：国家对信息安全状况很难有效把握；信息系统主管、建设、使用者对如何搞好信息信息系统安全建设和管理，信息系统安全究竟存在什么问题、如何改进、需要多少投资等，心中无数；科研单位和企业对开发生产什么样的安全产品心中无数；信息安全专家对安全产品审查不好提出评审结果意见；信息安全职能部门对如何进行有效监督、检查评估、服务指导，如何处罚违规者等，也是心中无数。进而导致国家信息安全科学技术水平和整体信息安全保护能力很难提高，国家信息安全只好看国外，依赖国外，受国外思潮主导。对这些问题认识不足，不尽快采取有效的解决办法，势必影响信息化建设、经济发展、社会稳定、国防建设、国家安全。

为此，国家高度重视信息安全保护工作。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。这一重大决定，明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

国家实行信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、针对性，推动网络安全服务机制的建立和完善；有利于采取系统、规范、经济有效、科学的管理和技术保障措施，提高整体安全保护水平，保障信息系统安全正常运行，保障信息安全，进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转。有利于信息安全保护科学技术和产业化发展。

二、等级保护是什么？

1. 等级保护概念：对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化，进而牵动经济发展，提高综合国力。

国家实行信息系统安全等级保护的型式：国家意志、政府行为、科研单位、企业、社会广泛参与。国家意志：国家必须有统一的信息系统安全保护的法律规范、技术规范。政府行为：在国家信息化领导小组的统一领导，在国务院信息化工作办公室的统一组织、协调下，各级政府及其内部各部门应当对其信息系统安全建设与管理负责，开展信息系统安全等级保护工作。首先，各级政府在信息化建设过程中，应该按照等级保护政策法规规定、管理与技术规范，组织进行信息系统安全等级保护建设、管理。其次，信息安全保护职能部门要当严格依法行政，履行职责，做好安全等级保护工作。法律、法规和标准确定之后，政府信息安全保护职能部门的监督管理是推进和保障信息安全保护的关键。如果没有有效贯彻推进措施，再好的法律和标准也发挥不了其应有的效力。第三，信息系统安全涉及到社会的方方面面，有关科研机构和企业应积极开发市场所需等级保护安全技术和产品。全社会要提高信息安全保护意识，职业道德，自觉遵守有关法律、法规，创造和维护良好的信息安全保护社会环境。

信息安全等级保护要贯彻突出重点（国家保护重点和基础信息网络与重要信息系统内分区重点）、兼顾一般的原则。等级保护制度要求落实各级安全责任。国家重点保护下列基础信息网络和重要信息系统：

(1) 国家事务处理信息系统（党政机关办公系统）；

(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；

(3) 国防工业、国家科研等单位的信息系统；

(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统；

(5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统；

(6)其他领域的重要信息系统。

2. 为什么要实行等级保护？网络信息系统与现实社会的组织体系构成是对应的。信息系统是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映。这种体系是分层次和级别的，这种组织体系中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律。信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护必须遵循的客观规律。

3. 实行等级保护制度目的: 是统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展。

hyforsky

三、等级保护做什么？
1. 信息系统安全等级保护监管级别划分为:
第一级 :自主性保护 ；第二级 :指导性保护；第三级 :监督性保护 ；第四级 :强制性保护 ；第五级 :专控性保护 。政府信息安全保护职能部门应当逐级加大安全保护力度。系统主管部门也应按级加强自管、自查、自评力度。
2. 国家已发布实施《计算机信息系统安全保护等级划分准则》GB17859-1999。这是一部强制性国家标准，是技术法规。它从功能上对信息系统的安全等级划分为五个级别的安全保护能力：第一级：用户自主保护级 ；第二级：系统审计保护级 ；第三级：安全标记保护级 ；第四级：结构化保护级 ；第五级：访问验证保护级。 安全保护能力从第一级到第五级逐级增强。以此为基础，有关部门已经研究提出了信息安全等级保护管理与技术标准体系，正在开展等级保护标准体系的建设，目前已发布了一些重要标准，并完成该标准体系的实施指南。各部门、各单位应当依照等级保护实施指南及相关标准，根据实际安全需求，按照等级的确定原则、要求和方法，确定本部门所属信息系统的安全保护等级，制定各自的安全等级保护解决方案，组织对现有信息系统进行加固改造，逐步开展新建系统的安全等级保护工作。
3. 信息系统主管部门及其建设、使用单位都应当本着“突出重点、兼顾一般，效费统一、合理保护”的原则。网络化信息系统中也要按等级保护要求，区别重点加强保护工作。在试点的基础上，开展信息系统安全等级保护建设。
4. 安全等级保护制度实行五个关键环节控制：
(1) 法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系。
(2) 管理与技术规范：制定符合国情的标准,建立等级保护体系。
(3) 实施过程控制：明确落实系统拥有者的安全责任制系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。
(4) 结果控制：建立非盈利并能够覆盖全的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。
(5) 监督管理：公安机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系。这五个关键控制环节，构成了国家信息安全等级保护长效运行机制。国家通过控制这五个关键环节，就能够从宏观上把握信息安全等级保护制度建设。
5. 信息系统安全等级保护整体要求-PDRＭ模型：
(1) 防范与保护：由系统五个层面(物理、支撑系统、网络、应用、管理)分的安全控制机制构系统整体安全控制机制，包括内部防范、国家保护。对于大网络系统可引入安全域和边界的概念，即大域和子域。为了便于实现纵深分级防护，大型网络可以分解为最小网络单元，重要信息系统应当分解为最小子系统单元，简化基本模型为：安全计算环境、安全终端系统、安全集中控制管理中心、安全通信线路、最小安全防护边界。由小到大、从里到外实现多级纵深防范。对重点区域、重点部位应当采用综合措施进行重点防范。不同安全等级系统之间应当本着"知所必需、用所必需、共享必需、公开必需、互联通信必需"的信息系统安全控制管理原则，进行互联互通。系统安全集中控制管理中心应当向系统主管部门负责，并接受国家信息安全保护职能部门监督、指导，协助并支持国家信息安全保护职能部门安全等级保护工作。
(2) 监控与检查：包括对系统的安全等级保护状况的监控和检查，对服务器、路由器、防火墙等网络部件、系统安全运行状态、信息（包括有害信息和数据）的监控和检查。系统主管部门和国家信息安全职能部门都有职责和权力实施安全监控和检查。
(3) 响应与处置：事件发现、响应、处置、应急恢复。系统主管部门和国家信息安全职能部门都有职责和权力实施响应与处置。
6. 信息系统安全管理方面应当建立和完善各项安全管理制度，特别要建立完善组织责任管理、系统资源的管理、信息资源的管理、用户管理、密码管理、保密信息管理、事件管理等。
7. 不同安全等级网络系统之间应当按访问控制等防范控制措施尽可能实现纵横互连互通，符合信息安全等级保护和共享要求。

四、等级保护如何实施
等级保护如何实施应当在国家信息化领导小组的统一领导下，在国务院信息化工作办公室的统一组织、协调下，各级党部门及其各单位对其信息系统安全等级保护建设与管理负责。开展信息系统安全等级保护工作要坚持实行谁主管谁负责，谁运营谁负责，谁使用谁负责，谁提供安全服务谁负责。信息安全职能部门负责监督、检查、指导，并提供安全保护服务。
1. 各部门、各单位应当适用法律和有关标准，确定其系统安全保护等级，报其主管部门领导批准，并报当地同级信息安全职能部门备案。
2. 各部门、各单位应当适用有关标准规定， 制定本系统安全等级保护解决方案，进行安全建设、使用、管理。
3. 安全等级保护产品研发、系统承建单位、安全服务等单位应当按标准和法规规定，提供产品满足市场需求，提供安全服务。
4. 安全等级保护评估机构按标准和法规规定提供评估服务。
5. 政府职能部门依法按标准进行监督、检查、指导、提供服务。
6. 安全等级保护技术产品政策。信息安全等级保护产品是信息系统等级保护的基础，重要、关键的信息安全技术和产品是国家信息安全之安全。国家对信息技术安全产品应当分政府用、军用、商用三类实行特别安全管理政策（国外早就实行了这种政策）。政府用安全等级保护技术产品：为保障重要信息系统安全、国家安全和利益，高级别的安全保护技术产品应当由政府信息安全职能部门从研发、生产、销售、采购、使用等诸环节进行有效指导和管理。对高级别技术产品出口应当纳入审批制度。军用信息安全等级保护技术产品由军队有关部门进行管理。商用信息安全技术产品可以实行市场化管理，可以进行国际交流。

五、分三步推进等级保护
第一阶段，宣传培训，试点，推广信息安全等级保护试点经验和方法，落实安全管理制度和责任，由各单位确定保护等级，加固改造现有系统安全，报其上级主管部门审批后实施。各部门、各地区也可以开展试点工作。在试点的基础上积极稳妥地推进信息安全等级保护工作。
第二阶段，完成现有系统加固改造，开展部分新建工作，初步实现规范化、等级化、制度化、法制化，保障基础信息网络安全和重要信息系统安全。
第三阶段，逐步更新网络系统的安全设备，使我国信息安全扎根于国家信息安全科学技术和产业的基础之用上，基本实现信息安全技术产业化，牵动国家经济和现代化发展。

六、实施准备
目前，在国家信息化领导小组的领导下，在国务院信息办的组织协调下，公安部正在联合有关部门，有关信息安全保护职能部门正在积极开展信息安全等级保护以及实施准备工作：信息系统安全等级保护办法、实施指南等有关重要标准、系统安全等级保护技术集成、检查评估手段、执法队伍和技术支撑队伍建设等工作。

网路游侠

相对于某些行业的政策，等级保护的可操作性还是不错的
有些行业政策，虽然力度很大，但是不可否认可操作性不好
仅仅和你说要怎么做，但是这个怎么做，仅仅只有一两句话
可能有时候是1台设备，也有可能是3台设备，也有可能要定制开发
并且很多负责解释的部门，不同区域、不同级别的解释也不一样

yaotiandong

等级保护的可操作性比较大，在定级的过程中一般都是按照所保护信息的重要程度作为划分依据，因此，在实施的过程中，可以参考等级保护实施指南来进行操作。但就纵深防护而言，还需要加大对人的管理和教育，并对此持续改进才行。

alex17171

有深度  学习哈

柠檬兔/mg

挺全了挺全了

reaye

学习学习，谢谢谢谢

lanruochen

谢谢分享  mark下 回去仔细研究

csd2015

多谢楼主的无私分享！

旭陈@

老铁没毛病。学习中