何占博，王 穎，劉 軍

(1.北京京航計算通訊研究所，北京 100074;2.北京市涉密信息載體安全管理工程技術研究中心，北京 100074)

0 引言

習近平總書記在2014年中央網(wǎng)絡安全和信息化領導小組第一次會議上指出“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，提出“網(wǎng)絡安全和信息化是一體之兩翼，驅動之雙輪”，這一系列重要論斷闡明了網(wǎng)絡安全在國家安全體系中的重要戰(zhàn)略地位以及網(wǎng)絡安全和信息化的辯證關系，標志著網(wǎng)絡安全上升至國家戰(zhàn)略高度，我國網(wǎng)絡安全發(fā)展跨入了一個全新時期。

2018年8月，中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布第42次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》指出，2018年上半年國家互聯(lián)網(wǎng)應急中心(CNCERT)接到網(wǎng)絡安全事件報告累計54 190件，相比2017年同期的48 283件增長12.2%； 2018年上半年全國各級網(wǎng)絡舉報部門受理有效舉報3 902.8萬件，較2017年同期的1 797.8萬件增長117.1%[1]。如今，等級保護制度已成為國家網(wǎng)絡安全工作的基本制度、基本國策、基本方法。開展等級保護工作不僅是加強國家信息安全保障工作的重要內(nèi)容，更是一項事關國家安全、社會穩(wěn)定的政治任務。

本文針對國外網(wǎng)絡安全等級保護發(fā)展現(xiàn)狀，以及我國網(wǎng)絡安全等級保護法律法規(guī)、政策規(guī)范、標準體系、機構建設、關鍵信息基礎設施、能力建設、會議舉辦與經(jīng)驗交流等多個方面進行了宏觀全面的闡述，針對目前我國等級保護工作中面臨的實際問題進行了總結與思考，并結合新時代下國家等級保護制度2.0標準體系進行了對比與分析。

1 國外網(wǎng)絡安全等級保護發(fā)展現(xiàn)狀

等級保護思想最早可追溯到20世紀60年代美國軍方文件保密制度，美國國防部為適應軍事信息系統(tǒng)保密要求提出了《可信計算機系統(tǒng)評估準則》(TCSEC)。受美國等級保護思想的啟發(fā)，1991年，英、法、德、荷等國在歐盟范圍內(nèi)首次提出了包含保密性、完整性、可用性“三要素”概念的歐洲《信息技術安全評估準則》(ITSEC)，作為歐盟安全評估標準適用于政府、軍隊和商業(yè)部門。1993年，加拿大也公布了《可信計算機產(chǎn)品評估準則》(CTCPEC)3.0版本，CTCPEC作為TCSEC與ITSEC相結合的產(chǎn)物，將安全分為功能性要求和保證性要求兩部分，其中功能性要求包括機密性、完整性、可用性和可控性四類。

為解決各國標準在概念和技術上的差異，1996年，美國、歐盟和加拿大聯(lián)合發(fā)布了通用評估準則(Common Criteria)，CC中定義了評估信息技術產(chǎn)品和信息系統(tǒng)安全性所需的基礎準則，1999年出臺CC2.1版本已被ISO采納作為ISO15408標準對外發(fā)布。

在信息系統(tǒng)安全方面，美國突出體現(xiàn)了對信息系統(tǒng)分類分級實施保護的發(fā)展思路。美國政府認為：對所有的聯(lián)邦信息系統(tǒng)在所有時間內(nèi)都實行高級別技術和行政管理保護水平是不合理的。因此，提出基于信息系統(tǒng)對機構完成其使命的重要性來建立保護優(yōu)先級，并根據(jù)優(yōu)先級的不同而對信息系統(tǒng)實施不同級別的安全保護措施，對信息系統(tǒng)的安全措施實施評估。

在上述思想指導下，美國制定了一系列體系化的標準和指南文件，對聯(lián)邦政府重要信息系統(tǒng)實行安全分級，從整體上體現(xiàn)分級保護和管理的思想。

2002年，美國通過了《聯(lián)邦信息安全管理法案》(FISMA)，為美國政府機構信息安全改善設定了目標，突出了信息安全分類分級實施保護的發(fā)展思路。2003年，美國發(fā)布《保護網(wǎng)絡空間國家戰(zhàn)略》，按重要程度實施五個級別的分級保護，并要求國家標準與技術研究所(簡稱NIST)制定分類分級標準和指南，其中包括：《信息和信息系統(tǒng)安全分類標準》、《選擇實施安全控制標準和測試安全控制標準》等。2013年發(fā)布《增強關鍵基礎設施網(wǎng)絡安全》行政令，按此令NIST于2014年提出了《美國增強關鍵基礎設施網(wǎng)絡安全框架》，按風險程度不同分為四個等級，實行識別、保護、監(jiān)測、響應、恢復全過程的風險管理。

NIST制定的分級分類標準屬于美國聯(lián)邦信息處理標準(FIPS)一類安全出版物，多為強制性標準。FIPS-199《聯(lián)邦信息和信息系統(tǒng)安全分類標準》描述了如何確定一個信息系統(tǒng)的安全類別，從而使機構明確哪些信息系統(tǒng)最需要重點保護。FIPS-200《聯(lián)邦信息系統(tǒng)最小安全控制》標準進一步完善了信息系統(tǒng)的安全控制的選擇，作為強制性標準要求聯(lián)邦機構無條件執(zhí)行。

為配合FIPS-199的實施并指導機構完成分級保護活動，NIST發(fā)布了《信息系統(tǒng)安全規(guī)劃》(SP800-18)、《信息系統(tǒng)風險評估》(SP800-30)、《信息系統(tǒng)安全授權和驗證》(SP800-37)、《信息系統(tǒng)分類分級》(SP800-60)、《信息系統(tǒng)安全控制》(SP800-53)等。SP800-60《將信息和信息系統(tǒng)映射到安全類別的指南》詳細介紹了聯(lián)邦信息系統(tǒng)中運行的所有信息類型，并針對每一種信息類型給出了推薦采用的級別；SP800-53《聯(lián)邦信息系統(tǒng)推薦安全控制》為不同級別系統(tǒng)推薦了不同強度安全控制集。

同時，在云計算、物聯(lián)網(wǎng)等新技術領域，美國也制定了針對性的安全擴展要求。例如美國聯(lián)邦風險與授權管理項目(FedRAMP)是美國聯(lián)邦政府用于對云服務實施安全評估、授權和監(jiān)測的標準化程序，提供了一種具有成本效益、基于風險的方法，其目的是幫助聯(lián)邦機構在云計算的技術環(huán)境下滿足FISAM的安全防護需求[2]。

2 我國網(wǎng)絡安全等級保護工作現(xiàn)狀

借鑒美國、歐盟以及ISO發(fā)布的系列標準規(guī)范，我國也制定了適應自身發(fā)展狀況的網(wǎng)絡安全等級保護法律法規(guī)和標準體系。

1994年，國務院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)，為我國信息系統(tǒng)實行等級保護提供法律依據(jù)，首次提出計算機信息系統(tǒng)實行安全等級保護，其中第三條明確了信息系統(tǒng)安全保護的內(nèi)容，要求“應當保障計算機及相關的和配套的設備、設施(含網(wǎng)絡)的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行”。

2007年，我國頒布了《信息系統(tǒng)等級保護管理辦法》，表明我國信息系統(tǒng)安全等級保護建設正式拉開序幕。2016年初，網(wǎng)絡安全劃入“十三五”國家戰(zhàn)略發(fā)展規(guī)劃，國家層面重視程度達到前所未有的高度，頂層設計不斷加速推進，2016年下半年，相關政策發(fā)布速度顯著加快，包括《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)、《國家網(wǎng)絡空間安全戰(zhàn)略》、《“十三五”國家網(wǎng)絡安全規(guī)劃》以及《戰(zhàn)略新興產(chǎn)業(yè)重點產(chǎn)品和服務指導目錄》等多項政策密集出臺，體現(xiàn)出黨和國家對網(wǎng)絡安全工作的高度重視。其中，《網(wǎng)絡安全法》第21條明確提出國家實行網(wǎng)絡安全等級保護制度。2017年5月2日，中央網(wǎng)信辦印發(fā)《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》，該辦法自2017年6月1日起施行，目的在于提高網(wǎng)絡安全風險防范能力，維護國家安全。自此，我國網(wǎng)絡安全建設進入了新時期。

2.1 法律法規(guī)、政策規(guī)范與標準體系

我國網(wǎng)絡安全等級保護制度包括定級、備案、建設整改、等級測評和監(jiān)督檢查五個階段，構成完整的等級保護工作流程，各階段對應法律法規(guī)和政策規(guī)范如表1所示。

目前，各行業(yè)等級保護測評標準體系由各行業(yè)協(xié)會或行業(yè)監(jiān)督管理委員會制定，各行業(yè)或領域特色的部分政策文件和標準體系如表2所示。

表1 等級保護各階段法律法規(guī)和政策規(guī)范

表2 各行業(yè)部分等級保護政策文件和標準體系

2.2 機構建設

依據(jù)《網(wǎng)絡安全等級保護測評機構管理辦法》(公信安〔2018〕765號)，截至目前，全國現(xiàn)有公安部等級保護評估中心推薦的測評機構170余家。其中，國家級等保測評機構17家，可以在全國范圍內(nèi)開展等保測評工作，其余測評機構為省級測評機構，可以在本省范圍內(nèi)開展等保測評工作。在國家級和各省、區(qū)、市級范圍內(nèi)，信息系統(tǒng)分級分類參加等保測評。組織機構上設立國家級等保辦和各省級等保辦，國家等保辦負責受理隸屬國家網(wǎng)絡安全職能部門和重點行業(yè)主管部門的申請，對申請單位進行審核、推薦，監(jiān)督管理全國級別測評機構；各省級等保辦負責受理本省申請單位的申請，對申請單位進行審核、推薦，監(jiān)督管理其推薦的省級測評機構。

測評機構在公安部等級保護評估中心牽頭下成立了中關村信息安全等級保護測評聯(lián)盟。信息安全測評聯(lián)盟是在公安部網(wǎng)絡安全保衛(wèi)局指導下、由公安部信息安全等級保護評估中心等9家測評機構聯(lián)合發(fā)起成立的社會組織，是一支以國家信息安全等級測評體系為基礎構建的專業(yè)技術力量。目前聯(lián)盟理事長單位為公安部信息安全等級保護評估中心，副理事長單位共16家，理事單位21家。

電力、金融、教育、廣電、鐵道、交通、稅務、衛(wèi)生、通信等在各行業(yè)內(nèi)設置?？氐缺y評機構。此外，湖北、江蘇、山東、浙江等省市已建成專用信息安全等級保護網(wǎng)。

2.3 關鍵信息基礎設施與能力建設

實施網(wǎng)絡安全等級保護制度的根本目的是保護國家關鍵信息基礎設施，因此，測評機構與測評人員能力建設的關鍵在于對關鍵信息基礎設施的認定、測評和保護。

2014年2月27日，在中央網(wǎng)絡安全和信息化領導小組第一次會議上，習近平總書記首次提出關鍵信息基礎設施的概念，批示“要抓緊制定互聯(lián)網(wǎng)信息內(nèi)容管理、國家關鍵信息基礎設施保護等方面的專項法規(guī)，解決工作急需”。目前，我國法律法規(guī)、規(guī)范性文件還沒有對關鍵信息基礎設施作出明確的解釋。公安部借鑒了美國等西方國家保護關鍵信息基礎設施的經(jīng)驗做法，并結合我國國情，研究認為：關鍵信息基礎設施是指關系國家安全、國計民生的基礎信息網(wǎng)絡、重要信息系統(tǒng)、大數(shù)據(jù)和大型公共服務平臺。

近十年來，全國公安機關共受理7萬多家單位、約14萬個信息系統(tǒng)的備案。根據(jù)習近平總書記批示，公安部會同國家發(fā)改委、財政部聯(lián)合出臺了《關于加強國家級重要信息系統(tǒng)安全保障工作有關事項的通知》，確定對涵蓋電力、石油、銀行、證券、保險、民航、鐵路等47個重要行業(yè)、276家重點單位、500余個信息系統(tǒng)為國家級重要信息系統(tǒng)。

2017年7月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關鍵信息基礎設施安全保護條例(征求意見稿)》，參照《網(wǎng)絡安全法》和關鍵信息基礎設施安全保護條例等法律法規(guī)要求，對關鍵信息基礎設施進行了認定?！毒W(wǎng)絡安全法》同時要求關鍵信息基礎設施的保護應高于網(wǎng)絡安全等級保護制度的一般要求，并從制度、培訓、災備、應急等方面提出了要求。

為促進全國測評機構的交流與能力驗證，在公安部網(wǎng)絡安全保衛(wèi)局指導下，由公安部第三研究所主辦、信息安全測評聯(lián)盟承辦，每年舉辦“全國網(wǎng)絡安全等級保護測評體系建設會議”，開展機構間經(jīng)驗交流、總結能力驗證與攻防比賽情況、評選先進單位和個人。同時，在公安部網(wǎng)絡安全保衛(wèi)局指導下，每年舉辦“全國網(wǎng)絡安全等級保護技術大會”，重點圍繞新技術新應用環(huán)境下等級保護制度體系健全完善、關鍵信息基礎設施安全保護技術研發(fā)和手段建設、網(wǎng)絡安全策略與機制、技術標準體系等主題開展研討交流。

2.4 等級保護測評工作中面臨的實際問題

目前，我國等級保護測評工作面臨的實際問題主要包括以下方面：

(1)信息系統(tǒng)運營使用單位對等級保護工作重視不夠，主動性、專業(yè)性不強，如初步定級、編寫定級報告、專家定級評審和提交備案材料等一般需要測評機構協(xié)助完成；

(2)信息系統(tǒng)運營使用單位建設整改不到位，主要體現(xiàn)在等級測評結束后，運營使用單位無法根據(jù)整改建議方案實施全部整改，無法確?，F(xiàn)有安全措施有效性；

(3)測評聯(lián)盟及各省市等保辦對等級保護工作的監(jiān)督檢查機制有待完善，應重點增加等保測評的現(xiàn)場督查、事后追查以及建設整改完成情況并備案；

(4)全國等級保護測評機構和測評師數(shù)量不足、能力參差不齊、測評周期有限，導致全國數(shù)量眾多的信息系統(tǒng)無法得到平等、充分、有效的等級保護測評服務；

(5)現(xiàn)有行業(yè)標準、技術手段和測評工具箱難以滿足新技術發(fā)展應用中的安全防護需求，需針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術領域關鍵信息基礎設施以及電力、金融、能源等行業(yè)制定與時俱進、因地制宜的測評標準與方法，進一步加大對技術手段基礎研究和測評工具箱的研發(fā)投入。

3 等級保護制度2.0標準體系分析

《網(wǎng)絡安全法》的發(fā)布標志著我國網(wǎng)絡安全等級保護工作正式進入2.0時代。國家標準GB/T 22239—2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》[3]被應用于各個行業(yè)領域開展信息安全等級保護的建設整改和等級測評環(huán)節(jié)。隨著信息技術發(fā)展，GB/T 22239—2008迫切需要進一步細化與完善。為了適應移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術條件下信息安全等級保護工作的開展，需對GB/T 22239—2008進行修訂，修訂的基本思路和方法是針對新技術、新應用領域提出具體的擴展安全要求。

等級保護2.0為1+N模式，1為通用要求，適用各個行業(yè)和各個領域，N指具體的一個領域內(nèi)的擴展要求，目前N為4，分別是云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)。隨著未來技術的發(fā)展，N會不斷擴展。

據(jù)分析，新版《信息安全技術網(wǎng)絡完全等級保護基本要求》擬分為第一至五級安全要求，其中每一級包括安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。安全通用要求包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理；云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴展要求包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全以及管理要求組成。

等級保護2.0安全框架修訂后如圖1所示。

圖1 等級保護安全框架

等級保護制度1.0標準體系與2.0標準體系主要差別對比如表3所示。

通過對等級保護2.0標準體系的進一步分析研究，新增和修訂的內(nèi)容詳列如下：

(1)標準名稱由“信息系統(tǒng)安全等級保護基本要求”更改為“網(wǎng)絡安全等級保護基本要求”；

(2)體現(xiàn)一個重點(國家關鍵信息基礎設施)、三重防御(主動防御、綜合防御、縱深防御)的思想，強化可信計算技術的要求；

(3)等級保護對象由“信息系統(tǒng)”更改為“等級保護對象(網(wǎng)絡和信息系統(tǒng))”，包括基礎信息網(wǎng)絡、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等；

(4)安全要求更改分為安全通用要求和安全擴展要求，安全通用要求是所有等級保護對象必須滿足的要求，同時針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了針對性的安全擴展要求；

(5)結構和分類調(diào)整：技術部分包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全；管理部分包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理；

(6)控制措施分類結構調(diào)整：技術部分包括物理環(huán)境安全、通信網(wǎng)絡安全、區(qū)域邊界安全、計算環(huán)境安全；管理部分包括安全策略和管理制度、安全管理機構和

表3 等級保護1.0標準與2.0標準對比

人員、安全建設管理、安全運維管理；

(7)從一級到四級均在“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”中增加了可信驗證控制點；

(8)從二級以上開始增加了“安全管理中心”要求，并在“安全管理中心”中增加了“系統(tǒng)管理、審計管理”和“安全管理”控制點要求；

(9)原來的“設備和計算安全”、“應用和數(shù)據(jù)安全”現(xiàn)在統(tǒng)一改為“安全計算環(huán)境”，并增加了可信驗證要求；

(10)增加了應用場景的說明：增加附錄C等級保護安全框架和關鍵技術，附錄D云計算應用場景，附錄E移動互聯(lián)應用場景，附錄F物聯(lián)網(wǎng)應用場景，附錄G工業(yè)控制系統(tǒng)應用場景；

(11)安全擴展要求：

①云計算安全擴展要求：針對云計算的特點提出了特殊保護要求，對云計算環(huán)境主要增加的內(nèi)容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環(huán)境管理”等方面。原則性要求包括：應確保云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)；應確保云計算基礎設施位于中國境內(nèi)；應確保云服務客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應遵循國家相關規(guī)定；云計算平臺的運維地點應位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實施運維操作應遵循國家相關規(guī)定。

②移動互聯(lián)安全擴展要求：針對移動互聯(lián)的特點提出了特殊保護要求，對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等方面。移動互聯(lián)部分通常由移動終端、移動應用和無線網(wǎng)絡三部分組成。

③物聯(lián)網(wǎng)安全擴展要求：針對物聯(lián)網(wǎng)的特點提出了特殊保護要求，對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“感知網(wǎng)關節(jié)點設備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。物聯(lián)網(wǎng)系統(tǒng)通常從架構上可分為三個邏輯層，即感知層、網(wǎng)絡傳輸層和處理應用層。物聯(lián)網(wǎng)安全擴展要求針對感知層部分提出特殊保護要求，網(wǎng)絡傳輸層和處理應用層則使用安全通用要求。

④工業(yè)控制系統(tǒng)安全擴展要求：對工業(yè)控制系統(tǒng)的保護要求使用安全通用要求和安全擴展要求。針對工業(yè)控制系統(tǒng)的特點提出了特殊保護要求，對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面，同時針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。依據(jù)工業(yè)控制系統(tǒng)的通用模型——國際標準IEC 62264-1(企業(yè)控制系統(tǒng)第一部分：模型和術語)將工業(yè)控制系統(tǒng)進行了層次結構模型劃分，層次模型從上到下共分為5個層級，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層，不同層級的實時性要求不同。

4 結論

習近平總書記指出，信息化為中華民族帶來的千載難逢的機遇，必須敏銳抓住信息化發(fā)展的的歷史機遇，維護網(wǎng)絡安全，自主創(chuàng)新推進網(wǎng)絡強國建設。本文針對我國網(wǎng)絡安全等級保護發(fā)展現(xiàn)狀，特別是新時代下國家等級保護制度2.0標準體系作了較為全面、深入的闡述與對比分析，并針對目前我國等級保護工作中面臨的實際問題進行了總結。綜上所述，網(wǎng)絡安全等級保護工作將永遠只有進行時，沒有完成時，網(wǎng)絡安全等級保護工作仍然需要諸多努力才能不斷應對挑戰(zhàn)、與時俱進，才能實現(xiàn)通過網(wǎng)絡安全維護新時代下的國家安全。