网络安全等级保护：等级保护的定级原理

admin

102795
文章

87
评论

2023年10月26日02:36:22评论14 views字数 5092阅读16分58秒阅读模式

关键词：

网络安全等级保护定级安全等级等级保护原则

定级工作原则

网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《网络安全等级保护定级指南》(GB/T 22240-2020)的要求执行。

在861号文中，我们看到定级范围为：

（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要网站和办公信息系统。

（四）涉及国家秘密的信息系统（以下简称涉密信息系统）。

在这里，如果没有仔细去思考等级保护制度的人，往往会疑惑在“涉密信息系统”这个点上，不过我们在探讨常规定级过程中，是不需要纠结在这里的，我们有个了解即可。我们在以GB/T 22240-2020中所说的“定级”，全部是面向非涉密信息系统的，而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。

安全保护等级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益；

第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

网络运营者是网络安全等级保护的责任主体，根据所属网络的重要程度和遭到破坏后的危害程度，科学合理确定网络的安全保护等级。同时，按照所定等级，依照网络安全等级保护基本要求中相应等级的管理规范和技术标准，建设网络安全保护设施，建立安全制度，落实安全责任，对网络实施保护。

在等级保护工作中，网络运营者和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受网络安全监管部门的监管。网络运营者和主管部门是网络基础设施安全的第一责任人，对所属网络自身安全负有直接责任；公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

重要网络和信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也影响国家安全、社会稳定、公共利益，因此，国家网络安全职能部门要对重要网络和信息系统的安全进行监管。

网络安全等级保护：等级保护的定级原理

网络的安全保护等级

网络的安全保护等级应当根据网络在国家安全、经济建设、社会生活中的重要程度，以及网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级，从第一级到第五级逐级增高，如下表所示。

受侵害的客体	对客体的侵害程度
受侵害的客体	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第二级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

定级要素

定级要素概述

等级保护对象的定级要素包括：受侵害的客体和对客体的侵害程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

一是公民、法人和其他组织的合法权益；

二是社会秩序、公共利益；

三是国家安全。

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。

由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

一是造成一般损害；

二是造成严重损害；

三是造成特别严重损害。

网络安全等级保护：等级保护的定级原理

五级保护和监管

定级要素与网络的安全保护等级的关系如表所示。

定级要素与安全保护等级的关系

等级	对象	侵害客体	侵害程度	监管强度
第一级	一般网络	合法权益	损害	自主保护
第二级		合法权益	严重损害	指导
第二级		社会秩序和公共利益	危害	指导
第三级	重要网络	合法权益	特别严重损害	监督检查
		社会秩序和公共利益	严重损害
		国家安全	危害
第四级	特别重要网络	社会秩序和公共利益	特别严重损害	强制监督检查
第四级	特别重要网络	国家安全	严重危害	强制监督检查
第五级	极端重要网络	国家安全	特别严重危害	专门监督检查

定级工作的主要步骤

网络定级是等级保护工作的首要环节和关键环节，是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。

网络是广义的概念，包括起支撑、传输作用的基础信息网络、各类应用系统和数据资源。网络的安全级别如果确定不准，网络备案、建设整改、等级测评等后续工作都会失去意义，网络安全就没有保证。

定级工作步骤

1．定级工作流程

摸底调查，掌握网络底数；确定定级对象；初步确定网络的安全保护等级；专家评审；主管部门核准；公安机关备案；公安机关审核。

2．定级范围

已经投入运行的网络、新建网络都要定级。

新建网络应在规划设计阶段定级，按照“三同步”原则，同步设计、同步建设、同步使用网络安全设施，落实安全保护措施。

3．等级确定

第一级、第二级网络为一般网络，第三级、第四级、第五级网络为重要网络。

网络的安全保护等级是网络的客观属性。在定级时，应站在维护国家网络安全的高度，综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响，确定网络的安全保护等级。

4．定级工作指导

结合《网络安全等级保护实施指南》，从主管部负责依照国家网络安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。主管部门可以根据定级指南，结合行业特点和网络的实际情况，出台定级指导意见，保证本行业网络在不同地区的安全保护等级的一致性，指导本行业网络的定级工作。

国家安全：

——影响国家政权稳固和领土主权、海洋权益完整；

——影响国家统一、民族团结和社会稳定；

——影响国家社会主义市场经济秩序和文化实力；

——其他影响国家安全的事项。

社会秩序：

——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序；

——影响公共场所的活动秩序、公共交通秩序；

——影响人民群众的生活秩序；

——其他影响社会秩序的事项。

公共利益：

——影响社会成员使用公共设施；