什么是网络安全等级保护?这个问题,很多文章都有涉猎,我们今天则画蛇添足,再从概念性上进行探讨一下。
因技术发展和历史原因,“等级保护”前修饰的词曾做过几次变化,为便于理解本文以“等级保护”四个字作为主要描述方式进行展开。“等级保护”这个词汇我们最多的是从《中华人民共和国计算机信息系统安全保护条例》这个文件谈起。这个文件算是官方正规发布的一个起点。该条例:第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
然而,《中华人民共和国计算机信息系统安全保护条例》里,“等级保护”还只是一个待完善补充的词汇,实际的内容还算一片空白,就算是一个概念性的解释都没有,所以这里其实没有真正回答什么是“等级保护”这个问题。虽然,在法律责任章节,描述到“(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的”。
![回看历史:什么是网络安全等级保护?]( "回看历史:什么是网络安全等级保护?")
从等级保护发展,看政策文件。第二个比较重要的文件则是2003年8月26日中办发《国家信息化领导小组关于加强信息安全保障工作的意见》〔2003〕27号),在27号文第二条意见为“实行信息安全等级保护”,其描述“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,在这条意见中也提到“对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护”,自此我理解非涉密和涉密信息系统的安全保护,都在等级保护这个大制度范围之内。27号文的意见是实行等级保护,从其中提到的要求来说,我们知道要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,但是在这里我们仍然没有看到一个“等级保护”的清晰概念性描述或定义,这个问题的解决需要到2004年的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),这个文件由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部委联合下发。
在66号文中,是这么描述的“信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”,这在制度层面给出了定义性的内容,那么到具体内容实施方面如何界定呢?
在66号文中,如是描述“信息安全等级保护制度的基本内容信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置”。
到此,我们分开说。一则等级保护作为一项基本制度被确立;二则等级保护内容方向被确立。作为一项基本制度,在《网络安全法》出台后得以从法律的高度予以固定。因技术发展概念的时代性,“等级保护”前的修饰词,也几经变动,伴随着《网络安全法》正式固定为“网络安全等级保护制度”。
从等级保护基本内容我们看到其针对“国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统”,在这里我们看到等级保护制度涵盖涉及国家秘密信息的信息系统和非涉及国家秘密的法人、其他组织等信息的信息系统。这是等级保护制度涵盖的范围面,到具体上又根据不同国家机关行使权力不同,细分为以公安机关作为监管部门的(非涉密)等级保护工作,即等级保护;以及以国家保密局作为监管部门的涉密等级保护工作,即分级保护。而国家密码管理局管理的密码技术,贯穿等级保护和分级保护工作。
从对信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。我们看到,这句话有三个方面去理解。一则是对信息系统即如今的网络,分等级实行保护,这块主要责任是信息系统的运营、使用单位;二则是对安全产品按等级管理,这块主要责任是安全产品生产厂商;三则是对信息系统中发生的信息安全事件分等级响应、处置,这块以安全事件为基础,涉及运营使用单位、安全服务机构、安全厂商等等。自此,我们可以清晰看到,对系统分等级保护、对产品安全按等级管理、对安全事件分等级响应、处置的等级保护内容基本确立。
后来,在公安部网安局郭启全主编的《网络安全法和网络安全等级保护制度》一书中,对等级保护的概念做了一次重新定义:网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
网络安全等级保护是一个我国的网络安全领域的基本国策,《网络安全法》明确我国实行网络安全等级保护制度,同时《网络安全法》中的网络是中华人民共和国境内的所有网络,所以法律里提及的“网络”包括非涉密、涉密以及军队的网络,这也就可以解释《网络安全等级保护条例》(征求意见稿)第七十二条描述:军队的网络安全等级保护工作,按照军队的有关法规执行。在《网络安全等级保护条例》(征求意见稿)发布前,我和冀老师聊天时探讨到这里,我把我幼稚的想法给冀老师做了汇报。我认为,经全国人大的法律,无疑把等级保护上升到了全民意志,全面参与。也正好契合习总书记的“网络安全为人民,网络安全靠人民”这个伟大论断。
等级保护知识是体系性的知识,在此只能管中窥豹,且还是历史性回顾,毕竟个人能力和阅历都有限,认识都不到位,其中的不足不言而喻的,还请方家指正!
原文始发于微信公众号(祺印说信安):回看历史:什么是网络安全等级保护?
评论