4.3 网络安全等级保护的基本内容
4.3.1 网络安全等级保护的主体和责任
网络运营者一旦开展网络安全等级保护,公安机关就具有对定级对象的备案受理及监督检查职责,第三方测评机构具有对定级对象的安全评估职责,上级主管单位具有对所属单位的安全管理职责,运营使用单位具有对定级对象的等级保护职责。总之,网络安全等级保护的主体包括如下。
1.国家监管部门
公安机关负责网络安全等级保护工作的监督、检查、指导,是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国家网络安全和信息化工作办公室及地方网络安全和信息化领导小组办事机构负责等级保护工作的部门间协调。
2.等级保护协调工作小组
等级保护协调工作小组负责网络安全等级保护工作组织领导,制定本地区、本行业开展网络安全等级保护的工作部署和实施方案,并督促有关单位落实,研究、协调、解决等级保护工作中的重要工作事项,及时通报或报告等级保护实施工作的相关情况。
3.等级保护对象主管部门
等级保护对象主管部门负责依照国家网络安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的网络安全等级保护工作。
4.等级保护对象运营、使用单位
等级保护对象运营、使用单位负责依照国家网络安全等级保护的管理规范和技术标准,确定其安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计;使用符合国家有关规定,满足网络安全保护等级需求的信息技术产品和信息安全产品,开展安全建设或者改建工作;制定、落实各项安全管理制度,定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级网络安全事件的响应、处置预案,对等级保护对象的网络安全事件分等级进行应急处置。
5.信息安全服务机构
信息安全服务机构负责根据等级保护对象运营、使用单位的委托,依照国家网络安全等级保护的管理规范和技术标准,协助等级保护对象运营、使用单位完成等级保护的相关工作,包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
6.网络安全等级测评机构
网络安全等级测评机构负责根据等级保护对象运营、使用单位的委托或根据国家管理部门的授权,协助等级保护对象运营、使用单位或国家管理部门,按照国家网络安全等级保护的管理规范和技术标准,开展等级测评。
7.信息安全产品供应商
信息安全产品供应商负责按照国家网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
8.网络安全等级保护专家组
网络安全等级保护专家组负责宣传等级保护相关政策、标准;指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用;参与定级和安全建设整改方案论证、评审;协助发现树立典型、总结经验并推广;跟踪国内外信息安全技术最新发展,开展等级保护关键技术研究;研究提出完善等级保护政策体系和技术体系的意见和建议。
4.3.2 网络安全等级保护对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
依据 GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》,定级对象称呼由“信息系统”更改为“等级保护对象”。这样,原来的“信息系统安全保护”等同于现在的“等级保护对象安全保护”;同时,定级对象范围也发生了变化,由“信息系统”更改为“基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等”。
4.3.3 等级保护常规动作
根据《信息安全等级保护管理办法》的规定,等级保护主要由 5 个环节组成:定级、备案、建设整改、等级测评、监督检查。
1.定级
定级是网络安全等级保护的首要环节和关键环节,可以梳理各行业、各部门、各单位的等级保护对象类型、重要程度和数量等基本信息,确定分级保护的重点。定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义,等级保护对象安全就没有保证。
网络运营者应当按照网络安全等级保护2.0标准确定定级对象。确定定级对象后,网络运营者应当进行定级对象的等级确定。定级环节需经专家评审,或出具省级以上主管部门定级指导意见。
2.备案
安全保护等级为第二级及以上的等级保护对象,运营使用单位或主管部门需要到公安机关办理备案手续,提交有关备案材料及电子数据文件。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。公安机关负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发网络安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。
3.建设整改
等级保护对象确定等级后,按照等级保护标准规范要求,建立健全并落实符合相应等级要求的安全管理制度,明确落实安全责任;结合行业特点和安全需求,制定符合相应等级要求的建设整改方案,开展安全技术措施建设。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。
4.等级测评
等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《网络安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的最新版网络安全等级测评报告格式编制等级测评报告。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
5.监督检查
公安机关等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。网络安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。每年对第三级信息系统的运营使用单位网络安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位网络安全等级保护工作检查一次。
4.3.4 常规动作在实施过程中的基本要求
等级保护对象要按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。
1.准确定级
安全保护等级是等级保护对象本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以等级保护对象的重要性和等级保护对象遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。定级要站在国家安全、社会稳定的高度统筹考虑信息系统等级,而不能从行业和信息系统自身安全角度考虑。不能认为信息系统级别定的高,花费的资金和投入的力量多而降低级别。同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。在定级实施过程中,各信息系统要依据国家标准或行业指导意见开展系统定级工作。
2.严格审批
公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。公安机关公共信息网络安全监察部门对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关公共信息网络安全监察部门可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关公共信息网络安全监察部门同意后,同时通报备案单位上级主管部门。
3.及时备案
信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后 30 日内,到公安机关公共信息网络安全监察部门办理备案手续。公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
4.认真整改
以《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)为基本目标,针对信息系统安全现状发现的问题进行整改加固,缺什么补什么。做好认真整改工作,落实信息安全责任制,建立并落实各类安全管理制度,开展安全管理机构、安全管理人员、安全建设管理和安全运维管理等工作,落实安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等安全保护技术措施。
5.科学测评
通过对测评机构进行统一的能力评估和严格审核,保证测评机构的水平和能力达到有关标准规范要求。加强对测评机构的安全监督,规范其测评活动,保证为备案单位提供客观、公正和安全的测评服务。
4.3.5 实施等级保护的基本原则
网络安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。网络安全等级保护制度遵循以下基本原则:
(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与网络安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的网络安全保护责任。在重要信息系统安全方面,运营使用单位和主管部门是第一责任部门,负主要责任,信息安全监管部门是第二责任部门,负监管责任。
(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求自行保护。
(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
4.3.6 等级保护的发展历程
我国的等级保护工作发展主要经历了五个阶段。
1994年至2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护;2003年,中央办公厅国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)明确指出实行信息安全等级保护。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。
2004年至2006年是等级保护工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及 65117 家单位共 115319 个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导组织协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007年至2010年是等级保护工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》;7 月,四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
2010年至2017年是等级保护工作1.0阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此,我国信息安全等级保护工作全面展开,等级保护工作进入规模化推进阶段。
2017年6月至今,等级保护工作进入2.0阶段。《中华人民共和国网络安全法》在第二十一条明确规定“国家实行网络安全等级保护制度”,第三十一条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。因此,网络安全等级保护进入法制化阶段。2019年12月1日正式实施的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)标志着网络安全等级保护正式进入2.0时代。
4.3.7 网络安全等级保护的标准体系
现将网络安全等级保护标准体系中比较新的、比较重要的《计算机信息系统安全保护等级划分准则》《网络安全等级保护基本要求》《网络安全等级保护实施指南》《网络安全等级保护定级指南》《网络安全等级保护安全设计技术要求》《网络安全等级保护测评要求》《网络安全等级保护测评过程指南》七个标准进行简要说明。
1.《计算机信息系统安全保护等级划分准则》(GB17859—1999)
本标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:一是规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。
本标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统安全保护能力五级划分。信息系统按照安全保护能力分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。
本标准从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
2.《网络安全等级保护基本要求》(GB/T22239—2019)
国家标准《信息安全技术 网络安全等级保护基本要求》(简称《基本要求》,GB/T 22239—2019)代替了《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008),针对网络安全共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。
《基本要求》将安全要求分为十个层面,分别是安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。《基本要求》对这十个层面做出了安全通用要求和安全扩展要求。其中,通用要求针对共性化保护需求提出,安全扩展要求针对个性化保护需求提出,根据安全保护等级和使用的特定技术或特定应用场景选择实现扩展要求。安全通用要求和安全扩展要求企共同构成了安全要求。
3.《网络安全等级保护实施指南》(GB/T 25058—2019)
《信息安全技术 网络安全等级保护实施指南》(简称《实施指南》,GB/T 25058—2019) 2020年3月1日正式实施,取代《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058—2010)。
《实施指南》在等级保护1.0实施指南的基础上,对等级保护对象定级与备案阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段共计四个阶段的内容进行了增加和删减变化。在定级对象的确定、安全技术体系结构设计、技术措施实现内容的设计、安全控制开发等规划阶段的章节中,增加了云计算、移动互联、大数据等新技术新应用在实施过程中的处理;在安全设计与实施和安全运行与维护阶段增加了风险分析、安全态势感知、安全监测、通报预警、应急处置、追踪溯源、应急响应与保障等安全服务的内容,测试环节则更加侧重安全漏洞扫描、渗透测试的内容。
《实施指南》用于指导定级对象运营使用单位,从规划设计到终止运行的过程中如何按照网络安全等级保护政策、标准要求实施等级保护工作。可通过该标准了解定级对象实施等级保护的过程、主要内容和脉络,不同角色在不同阶段的作用,不同活动的参与角色、活动内容等。《实施指南》给出了标准使用范围、规范性引用文件和术语定义,介绍了等级保护实施的基本原则、参与角色和几个主要工作阶段,对对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、定级对象终止进行了详细描述和说明。
4.《网络安全等级保护定级指南》(GB/T22240—2020)
新版《信息安全技术 网络安全等级保护定级指南》(简称《定级指南》,GB/T 22240—2020)是《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)的修订版,并取代之。《定级指南》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源。
《定级指南》给出了等级保护对象五个安全保护等级的具体定义,将等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两个因素作为等级保护对象的定级要素,并给出了定级要素与等级保护对象安全保护等级的对应关系。等级保护对象安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同。因此,等级保护对象定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为等级保护对象的安全保护等级。
《定级指南》中规定,安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门审核,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
5.《网络安全等级保护安全设计技术要求》(GB/T 25070—2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)对网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求进行了规定,特别针对云计算、移动互联、物联网、工业控制和大数据等新的应用场景提出了特殊的安全设计技术要求,适合指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
网络安全等级保护安全技术设计包括两方面:各级系统安全保护环境的设计及其安全互联的设计。所谓安全保护环境,是指“一个中心”管理下的“三重防护”系统,针对安全管理中心建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障的系统安全整体体系。所谓安全互联,是指定级系统互联,其由安全互联部件和跨定级系统安全管理中心组成。
6、《网络安全等级保护测评要求》(GB/T 28448—2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)替代了《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448—2012)规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求,适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。GB/T 28448—2019细化了单项测评的规定、增加了等级测评的扩展要求,并对测评力度进行了更严格的规定。
GB/T 28448—2019介绍了等级测评的原则、测评内容、测评强度、结果重用和使用方法,分别规定了对五个等级信息系统进行等级测评的单元测评要求,描述了整体测评的四方面,即安全控制点间安全测评、层面间安全测评、区域间安全测评和系统结构测评安全测评。
网络安全等级保护 2.0 测评结果包括得分与结论评价:得分为百分制,及格线为 70分;结论评价分为优、良、中、差四个等级。
7.《网络安全等级保护测评过程指南》(GB/T 28449—2018)
《网络安全等级保护测评过程指南》(简称《测评过程指南》,GB/T 28449—2018)取代《信息系统安全等级保护测评过程指南》(GB/T 28449—2012)。
为规范等级测评机构的测评活动,保证测评结论准确、公正,《测评过程指南》明确了等级测评的测评过程,阐述了等级测评的工作任务、分析方法以及工作结果等,为测评机构、运营使用单位及其主管部门在等级测评工作中提供指导。
《测评过程指南》以测评机构对三级信息系统的首次等级测评活动过程为主要线索,定义信息系统等级测评的主要活动和任务,包括四个活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。其中,测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务;方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发及测评方案编制六项任务;现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务;分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成及测评报告编制七项任务。对于每个活动,《测评过程指南》介绍了工作流程、主要的工作任务、输出文档、双方的职责等;对于各工作任务,描述了任务内容和输入/输出产品等。
《测评过程指南》也对云计算、移动互联、物联网、IPv6、工业控制系统等新技术新应用、等级测评过程以及具体任务的影响进行了分析,并给予了相应的测评指导。