何占博，王 穎，劉 軍

(1.北京京航計算通訊研究所，北京 100074;2.北京市涉密信息載體安全管理工程技術(shù)研究中心，北京 100074)

0 引言

習(xí)近平總書記在2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，提出“網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動之雙輪”，這一系列重要論斷闡明了網(wǎng)絡(luò)安全在國家安全體系中的重要戰(zhàn)略地位以及網(wǎng)絡(luò)安全和信息化的辯證關(guān)系，標(biāo)志著網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度，我國網(wǎng)絡(luò)安全發(fā)展跨入了一個全新時期。

2018年8月，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》指出，2018年上半年國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)接到網(wǎng)絡(luò)安全事件報告累計54 190件，相比2017年同期的48 283件增長12.2%； 2018年上半年全國各級網(wǎng)絡(luò)舉報部門受理有效舉報3 902.8萬件，較2017年同期的1 797.8萬件增長117.1%[1]。如今，等級保護(hù)制度已成為國家網(wǎng)絡(luò)安全工作的基本制度、基本國策、基本方法。開展等級保護(hù)工作不僅是加強國家信息安全保障工作的重要內(nèi)容，更是一項事關(guān)國家安全、社會穩(wěn)定的政治任務(wù)。

本文針對國外網(wǎng)絡(luò)安全等級保護(hù)發(fā)展現(xiàn)狀，以及我國網(wǎng)絡(luò)安全等級保護(hù)法律法規(guī)、政策規(guī)范、標(biāo)準(zhǔn)體系、機(jī)構(gòu)建設(shè)、關(guān)鍵信息基礎(chǔ)設(shè)施、能力建設(shè)、會議舉辦與經(jīng)驗交流等多個方面進(jìn)行了宏觀全面的闡述，針對目前我國等級保護(hù)工作中面臨的實際問題進(jìn)行了總結(jié)與思考，并結(jié)合新時代下國家等級保護(hù)制度2.0標(biāo)準(zhǔn)體系進(jìn)行了對比與分析。

1 國外網(wǎng)絡(luò)安全等級保護(hù)發(fā)展現(xiàn)狀

等級保護(hù)思想最早可追溯到20世紀(jì)60年代美國軍方文件保密制度，美國國防部為適應(yīng)軍事信息系統(tǒng)保密要求提出了《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》(TCSEC)。受美國等級保護(hù)思想的啟發(fā)，1991年，英、法、德、荷等國在歐盟范圍內(nèi)首次提出了包含保密性、完整性、可用性“三要素”概念的歐洲《信息技術(shù)安全評估準(zhǔn)則》(ITSEC)，作為歐盟安全評估標(biāo)準(zhǔn)適用于政府、軍隊和商業(yè)部門。1993年，加拿大也公布了《可信計算機(jī)產(chǎn)品評估準(zhǔn)則》(CTCPEC)3.0版本，CTCPEC作為TCSEC與ITSEC相結(jié)合的產(chǎn)物，將安全分為功能性要求和保證性要求兩部分，其中功能性要求包括機(jī)密性、完整性、可用性和可控性四類。

為解決各國標(biāo)準(zhǔn)在概念和技術(shù)上的差異，1996年，美國、歐盟和加拿大聯(lián)合發(fā)布了通用評估準(zhǔn)則(Common Criteria)，CC中定義了評估信息技術(shù)產(chǎn)品和信息系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，1999年出臺CC2.1版本已被ISO采納作為ISO15408標(biāo)準(zhǔn)對外發(fā)布。

在信息系統(tǒng)安全方面，美國突出體現(xiàn)了對信息系統(tǒng)分類分級實施保護(hù)的發(fā)展思路。美國政府認(rèn)為：對所有的聯(lián)邦信息系統(tǒng)在所有時間內(nèi)都實行高級別技術(shù)和行政管理保護(hù)水平是不合理的。因此，提出基于信息系統(tǒng)對機(jī)構(gòu)完成其使命的重要性來建立保護(hù)優(yōu)先級，并根據(jù)優(yōu)先級的不同而對信息系統(tǒng)實施不同級別的安全保護(hù)措施，對信息系統(tǒng)的安全措施實施評估。

在上述思想指導(dǎo)下，美國制定了一系列體系化的標(biāo)準(zhǔn)和指南文件，對聯(lián)邦政府重要信息系統(tǒng)實行安全分級，從整體上體現(xiàn)分級保護(hù)和管理的思想。

2002年，美國通過了《聯(lián)邦信息安全管理法案》(FISMA)，為美國政府機(jī)構(gòu)信息安全改善設(shè)定了目標(biāo)，突出了信息安全分類分級實施保護(hù)的發(fā)展思路。2003年，美國發(fā)布《保護(hù)網(wǎng)絡(luò)空間國家戰(zhàn)略》，按重要程度實施五個級別的分級保護(hù)，并要求國家標(biāo)準(zhǔn)與技術(shù)研究所(簡稱NIST)制定分類分級標(biāo)準(zhǔn)和指南，其中包括：《信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》、《選擇實施安全控制標(biāo)準(zhǔn)和測試安全控制標(biāo)準(zhǔn)》等。2013年發(fā)布《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令，按此令NIST于2014年提出了《美國增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，按風(fēng)險程度不同分為四個等級，實行識別、保護(hù)、監(jiān)測、響應(yīng)、恢復(fù)全過程的風(fēng)險管理。

NIST制定的分級分類標(biāo)準(zhǔn)屬于美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)一類安全出版物，多為強制性標(biāo)準(zhǔn)。FIPS-199《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》描述了如何確定一個信息系統(tǒng)的安全類別，從而使機(jī)構(gòu)明確哪些信息系統(tǒng)最需要重點保護(hù)。FIPS-200《聯(lián)邦信息系統(tǒng)最小安全控制》標(biāo)準(zhǔn)進(jìn)一步完善了信息系統(tǒng)的安全控制的選擇，作為強制性標(biāo)準(zhǔn)要求聯(lián)邦機(jī)構(gòu)無條件執(zhí)行。

為配合FIPS-199的實施并指導(dǎo)機(jī)構(gòu)完成分級保護(hù)活動，NIST發(fā)布了《信息系統(tǒng)安全規(guī)劃》(SP800-18)、《信息系統(tǒng)風(fēng)險評估》(SP800-30)、《信息系統(tǒng)安全授權(quán)和驗證》(SP800-37)、《信息系統(tǒng)分類分級》(SP800-60)、《信息系統(tǒng)安全控制》(SP800-53)等。SP800-60《將信息和信息系統(tǒng)映射到安全類別的指南》詳細(xì)介紹了聯(lián)邦信息系統(tǒng)中運行的所有信息類型，并針對每一種信息類型給出了推薦采用的級別；SP800-53《聯(lián)邦信息系統(tǒng)推薦安全控制》為不同級別系統(tǒng)推薦了不同強度安全控制集。

同時，在云計算、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域，美國也制定了針對性的安全擴(kuò)展要求。例如美國聯(lián)邦風(fēng)險與授權(quán)管理項目(FedRAMP)是美國聯(lián)邦政府用于對云服務(wù)實施安全評估、授權(quán)和監(jiān)測的標(biāo)準(zhǔn)化程序，提供了一種具有成本效益、基于風(fēng)險的方法，其目的是幫助聯(lián)邦機(jī)構(gòu)在云計算的技術(shù)環(huán)境下滿足FISAM的安全防護(hù)需求[2]。

2 我國網(wǎng)絡(luò)安全等級保護(hù)工作現(xiàn)狀

借鑒美國、歐盟以及ISO發(fā)布的系列標(biāo)準(zhǔn)規(guī)范，我國也制定了適應(yīng)自身發(fā)展?fàn)顩r的網(wǎng)絡(luò)安全等級保護(hù)法律法規(guī)和標(biāo)準(zhǔn)體系。

1994年，國務(wù)院頒布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)，為我國信息系統(tǒng)實行等級保護(hù)提供法律依據(jù)，首次提出計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，其中第三條明確了信息系統(tǒng)安全保護(hù)的內(nèi)容，要求“應(yīng)當(dāng)保障計算機(jī)及相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運行”。

2007年，我國頒布了《信息系統(tǒng)等級保護(hù)管理辦法》，表明我國信息系統(tǒng)安全等級保護(hù)建設(shè)正式拉開序幕。2016年初，網(wǎng)絡(luò)安全劃入“十三五”國家戰(zhàn)略發(fā)展規(guī)劃，國家層面重視程度達(dá)到前所未有的高度，頂層設(shè)計不斷加速推進(jìn)，2016年下半年，相關(guān)政策發(fā)布速度顯著加快，包括《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《“十三五”國家網(wǎng)絡(luò)安全規(guī)劃》以及《戰(zhàn)略新興產(chǎn)業(yè)重點產(chǎn)品和服務(wù)指導(dǎo)目錄》等多項政策密集出臺，體現(xiàn)出黨和國家對網(wǎng)絡(luò)安全工作的高度重視。其中，《網(wǎng)絡(luò)安全法》第21條明確提出國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。2017年5月2日，中央網(wǎng)信辦印發(fā)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》，該辦法自2017年6月1日起施行，目的在于提高網(wǎng)絡(luò)安全風(fēng)險防范能力，維護(hù)國家安全。自此，我國網(wǎng)絡(luò)安全建設(shè)進(jìn)入了新時期。

2.1 法律法規(guī)、政策規(guī)范與標(biāo)準(zhǔn)體系

我國網(wǎng)絡(luò)安全等級保護(hù)制度包括定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個階段，構(gòu)成完整的等級保護(hù)工作流程，各階段對應(yīng)法律法規(guī)和政策規(guī)范如表1所示。

目前，各行業(yè)等級保護(hù)測評標(biāo)準(zhǔn)體系由各行業(yè)協(xié)會或行業(yè)監(jiān)督管理委員會制定，各行業(yè)或領(lǐng)域特色的部分政策文件和標(biāo)準(zhǔn)體系如表2所示。

表1 等級保護(hù)各階段法律法規(guī)和政策規(guī)范

表2 各行業(yè)部分等級保護(hù)政策文件和標(biāo)準(zhǔn)體系

2.2 機(jī)構(gòu)建設(shè)

依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)管理辦法》(公信安〔2018〕765號)，截至目前，全國現(xiàn)有公安部等級保護(hù)評估中心推薦的測評機(jī)構(gòu)170余家。其中，國家級等保測評機(jī)構(gòu)17家，可以在全國范圍內(nèi)開展等保測評工作，其余測評機(jī)構(gòu)為省級測評機(jī)構(gòu)，可以在本省范圍內(nèi)開展等保測評工作。在國家級和各省、區(qū)、市級范圍內(nèi)，信息系統(tǒng)分級分類參加等保測評。組織機(jī)構(gòu)上設(shè)立國家級等保辦和各省級等保辦，國家等保辦負(fù)責(zé)受理隸屬國家網(wǎng)絡(luò)安全職能部門和重點行業(yè)主管部門的申請，對申請單位進(jìn)行審核、推薦，監(jiān)督管理全國級別測評機(jī)構(gòu)；各省級等保辦負(fù)責(zé)受理本省申請單位的申請，對申請單位進(jìn)行審核、推薦，監(jiān)督管理其推薦的省級測評機(jī)構(gòu)。

測評機(jī)構(gòu)在公安部等級保護(hù)評估中心牽頭下成立了中關(guān)村信息安全等級保護(hù)測評聯(lián)盟。信息安全測評聯(lián)盟是在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下、由公安部信息安全等級保護(hù)評估中心等9家測評機(jī)構(gòu)聯(lián)合發(fā)起成立的社會組織，是一支以國家信息安全等級測評體系為基礎(chǔ)構(gòu)建的專業(yè)技術(shù)力量。目前聯(lián)盟理事長單位為公安部信息安全等級保護(hù)評估中心，副理事長單位共16家，理事單位21家。

電力、金融、教育、廣電、鐵道、交通、稅務(wù)、衛(wèi)生、通信等在各行業(yè)內(nèi)設(shè)置?？氐缺y評機(jī)構(gòu)。此外，湖北、江蘇、山東、浙江等省市已建成專用信息安全等級保護(hù)網(wǎng)。

2.3 關(guān)鍵信息基礎(chǔ)設(shè)施與能力建設(shè)

實施網(wǎng)絡(luò)安全等級保護(hù)制度的根本目的是保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施，因此，測評機(jī)構(gòu)與測評人員能力建設(shè)的關(guān)鍵在于對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定、測評和保護(hù)。

2014年2月27日，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上，習(xí)近平總書記首次提出關(guān)鍵信息基礎(chǔ)設(shè)施的概念，批示“要抓緊制定互聯(lián)網(wǎng)信息內(nèi)容管理、國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等方面的專項法規(guī)，解決工作急需”。目前，我國法律法規(guī)、規(guī)范性文件還沒有對關(guān)鍵信息基礎(chǔ)設(shè)施作出明確的解釋。公安部借鑒了美國等西方國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的經(jīng)驗做法，并結(jié)合我國國情，研究認(rèn)為：關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國計民生的基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、大數(shù)據(jù)和大型公共服務(wù)平臺。

近十年來，全國公安機(jī)關(guān)共受理7萬多家單位、約14萬個信息系統(tǒng)的備案。根據(jù)習(xí)近平總書記批示，公安部會同國家發(fā)改委、財政部聯(lián)合出臺了《關(guān)于加強國家級重要信息系統(tǒng)安全保障工作有關(guān)事項的通知》，確定對涵蓋電力、石油、銀行、證券、保險、民航、鐵路等47個重要行業(yè)、276家重點單位、500余個信息系統(tǒng)為國家級重要信息系統(tǒng)。

2017年7月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》，參照《網(wǎng)絡(luò)安全法》和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等法律法規(guī)要求，對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了認(rèn)定?！毒W(wǎng)絡(luò)安全法》同時要求關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)應(yīng)高于網(wǎng)絡(luò)安全等級保護(hù)制度的一般要求，并從制度、培訓(xùn)、災(zāi)備、應(yīng)急等方面提出了要求。

為促進(jìn)全國測評機(jī)構(gòu)的交流與能力驗證，在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下，由公安部第三研究所主辦、信息安全測評聯(lián)盟承辦，每年舉辦“全國網(wǎng)絡(luò)安全等級保護(hù)測評體系建設(shè)會議”，開展機(jī)構(gòu)間經(jīng)驗交流、總結(jié)能力驗證與攻防比賽情況、評選先進(jìn)單位和個人。同時，在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下，每年舉辦“全國網(wǎng)絡(luò)安全等級保護(hù)技術(shù)大會”，重點圍繞新技術(shù)新應(yīng)用環(huán)境下等級保護(hù)制度體系健全完善、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)技術(shù)研發(fā)和手段建設(shè)、網(wǎng)絡(luò)安全策略與機(jī)制、技術(shù)標(biāo)準(zhǔn)體系等主題開展研討交流。

2.4 等級保護(hù)測評工作中面臨的實際問題

目前，我國等級保護(hù)測評工作面臨的實際問題主要包括以下方面：

(1)信息系統(tǒng)運營使用單位對等級保護(hù)工作重視不夠，主動性、專業(yè)性不強，如初步定級、編寫定級報告、專家定級評審和提交備案材料等一般需要測評機(jī)構(gòu)協(xié)助完成；

(2)信息系統(tǒng)運營使用單位建設(shè)整改不到位，主要體現(xiàn)在等級測評結(jié)束后，運營使用單位無法根據(jù)整改建議方案實施全部整改，無法確?，F(xiàn)有安全措施有效性；

(3)測評聯(lián)盟及各省市等保辦對等級保護(hù)工作的監(jiān)督檢查機(jī)制有待完善，應(yīng)重點增加等保測評的現(xiàn)場督查、事后追查以及建設(shè)整改完成情況并備案；

(4)全國等級保護(hù)測評機(jī)構(gòu)和測評師數(shù)量不足、能力參差不齊、測評周期有限，導(dǎo)致全國數(shù)量眾多的信息系統(tǒng)無法得到平等、充分、有效的等級保護(hù)測評服務(wù)；

(5)現(xiàn)有行業(yè)標(biāo)準(zhǔn)、技術(shù)手段和測評工具箱難以滿足新技術(shù)發(fā)展應(yīng)用中的安全防護(hù)需求，需針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施以及電力、金融、能源等行業(yè)制定與時俱進(jìn)、因地制宜的測評標(biāo)準(zhǔn)與方法，進(jìn)一步加大對技術(shù)手段基礎(chǔ)研究和測評工具箱的研發(fā)投入。

3 等級保護(hù)制度2.0標(biāo)準(zhǔn)體系分析

《網(wǎng)絡(luò)安全法》的發(fā)布標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入2.0時代。國家標(biāo)準(zhǔn)GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》[3]被應(yīng)用于各個行業(yè)領(lǐng)域開展信息安全等級保護(hù)的建設(shè)整改和等級測評環(huán)節(jié)。隨著信息技術(shù)發(fā)展，GB/T 22239—2008迫切需要進(jìn)一步細(xì)化與完善。為了適應(yīng)移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)條件下信息安全等級保護(hù)工作的開展，需對GB/T 22239—2008進(jìn)行修訂，修訂的基本思路和方法是針對新技術(shù)、新應(yīng)用領(lǐng)域提出具體的擴(kuò)展安全要求。

等級保護(hù)2.0為1+N模式，1為通用要求，適用各個行業(yè)和各個領(lǐng)域，N指具體的一個領(lǐng)域內(nèi)的擴(kuò)展要求，目前N為4，分別是云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)。隨著未來技術(shù)的發(fā)展，N會不斷擴(kuò)展。

據(jù)分析，新版《信息安全技術(shù)網(wǎng)絡(luò)完全等級保護(hù)基本要求》擬分為第一至五級安全要求，其中每一級包括安全通用要求、云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。安全通用要求包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運維管理；云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴(kuò)展要求包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全以及管理要求組成。

等級保護(hù)2.0安全框架修訂后如圖1所示。

圖1 等級保護(hù)安全框架

等級保護(hù)制度1.0標(biāo)準(zhǔn)體系與2.0標(biāo)準(zhǔn)體系主要差別對比如表3所示。

通過對等級保護(hù)2.0標(biāo)準(zhǔn)體系的進(jìn)一步分析研究，新增和修訂的內(nèi)容詳列如下：

(1)標(biāo)準(zhǔn)名稱由“信息系統(tǒng)安全等級保護(hù)基本要求”更改為“網(wǎng)絡(luò)安全等級保護(hù)基本要求”；

(2)體現(xiàn)一個重點(國家關(guān)鍵信息基礎(chǔ)設(shè)施)、三重防御(主動防御、綜合防御、縱深防御)的思想，強化可信計算技術(shù)的要求；

(3)等級保護(hù)對象由“信息系統(tǒng)”更改為“等級保護(hù)對象(網(wǎng)絡(luò)和信息系統(tǒng))”，包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等；

(4)安全要求更改分為安全通用要求和安全擴(kuò)展要求，安全通用要求是所有等級保護(hù)對象必須滿足的要求，同時針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了針對性的安全擴(kuò)展要求；

(5)結(jié)構(gòu)和分類調(diào)整：技術(shù)部分包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全；管理部分包括安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運維管理；

(6)控制措施分類結(jié)構(gòu)調(diào)整：技術(shù)部分包括物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全；管理部分包括安全策略和管理制度、安全管理機(jī)構(gòu)和

表3 等級保護(hù)1.0標(biāo)準(zhǔn)與2.0標(biāo)準(zhǔn)對比

人員、安全建設(shè)管理、安全運維管理；

(7)從一級到四級均在“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”中增加了可信驗證控制點；

(8)從二級以上開始增加了“安全管理中心”要求，并在“安全管理中心”中增加了“系統(tǒng)管理、審計管理”和“安全管理”控制點要求；

(9)原來的“設(shè)備和計算安全”、“應(yīng)用和數(shù)據(jù)安全”現(xiàn)在統(tǒng)一改為“安全計算環(huán)境”，并增加了可信驗證要求；

(10)增加了應(yīng)用場景的說明：增加附錄C等級保護(hù)安全框架和關(guān)鍵技術(shù)，附錄D云計算應(yīng)用場景，附錄E移動互聯(lián)應(yīng)用場景，附錄F物聯(lián)網(wǎng)應(yīng)用場景，附錄G工業(yè)控制系統(tǒng)應(yīng)用場景；

(11)安全擴(kuò)展要求：

①云計算安全擴(kuò)展要求：針對云計算的特點提出了特殊保護(hù)要求，對云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。原則性要求包括：應(yīng)確保云計算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)；應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定；云計算平臺的運維地點應(yīng)位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實施運維操作應(yīng)遵循國家相關(guān)規(guī)定。

②移動互聯(lián)安全擴(kuò)展要求：針對移動互聯(lián)的特點提出了特殊保護(hù)要求，對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。移動互聯(lián)部分通常由移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)三部分組成。

③物聯(lián)網(wǎng)安全擴(kuò)展要求：針對物聯(lián)網(wǎng)的特點提出了特殊保護(hù)要求，對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護(hù)”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。物聯(lián)網(wǎng)系統(tǒng)通常從架構(gòu)上可分為三個邏輯層，即感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。物聯(lián)網(wǎng)安全擴(kuò)展要求針對感知層部分提出特殊保護(hù)要求，網(wǎng)絡(luò)傳輸層和處理應(yīng)用層則使用安全通用要求。

④工業(yè)控制系統(tǒng)安全擴(kuò)展要求：對工業(yè)控制系統(tǒng)的保護(hù)要求使用安全通用要求和安全擴(kuò)展要求。針對工業(yè)控制系統(tǒng)的特點提出了特殊保護(hù)要求，對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面，同時針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風(fēng)險管理”和“惡意代碼防范管理”方面的要求。依據(jù)工業(yè)控制系統(tǒng)的通用模型——國際標(biāo)準(zhǔn)IEC 62264-1(企業(yè)控制系統(tǒng)第一部分：模型和術(shù)語)將工業(yè)控制系統(tǒng)進(jìn)行了層次結(jié)構(gòu)模型劃分，層次模型從上到下共分為5個層級，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層，不同層級的實時性要求不同。

4 結(jié)論

習(xí)近平總書記指出，信息化為中華民族帶來的千載難逢的機(jī)遇，必須敏銳抓住信息化發(fā)展的的歷史機(jī)遇，維護(hù)網(wǎng)絡(luò)安全，自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強國建設(shè)。本文針對我國網(wǎng)絡(luò)安全等級保護(hù)發(fā)展現(xiàn)狀，特別是新時代下國家等級保護(hù)制度2.0標(biāo)準(zhǔn)體系作了較為全面、深入的闡述與對比分析，并針對目前我國等級保護(hù)工作中面臨的實際問題進(jìn)行了總結(jié)。綜上所述，網(wǎng)絡(luò)安全等級保護(hù)工作將永遠(yuǎn)只有進(jìn)行時，沒有完成時，網(wǎng)絡(luò)安全等級保護(hù)工作仍然需要諸多努力才能不斷應(yīng)對挑戰(zhàn)、與時俱進(jìn)，才能實現(xiàn)通過網(wǎng)絡(luò)安全維護(hù)新時代下的國家安全。