我國網絡安全等級保護現狀與2.0標準體系研究

何占博，王 穎，劉 軍

(1.北京京航計算通訊研究所，北京 100074;2.北京市涉密信息載體安全管理工程技術研究中心，北京 100074)

0 引言

習近平總書記在2014年中央網絡安全和信息化領導小組第一次會議上指出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，提出“網絡安全和信息化是一體之兩翼，驅動之雙輪”，這一系列重要論斷闡明了網絡安全在國家安全體系中的重要戰略地位以及網絡安全和信息化的辯證關系，標志著網絡安全上升至國家戰略高度，我國網絡安全發展跨入了一個全新時期。

2018年8月，中國互聯網絡信息中心(CNNIC)發布第42次《中國互聯網絡發展狀況統計報告》指出，2018年上半年國家互聯網應急中心(CNCERT)接到網絡安全事件報告累計54 190件，相比2017年同期的48 283件增長12.2%； 2018年上半年全國各級網絡舉報部門受理有效舉報3 902.8萬件，較2017年同期的1 797.8萬件增長117.1%[1]。如今，等級保護制度已成為國家網絡安全工作的基本制度、基本國策、基本方法。開展等級保護工作不僅是加強國家信息安全保障工作的重要內容，更是一項事關國家安全、社會穩定的政治任務。

本文針對國外網絡安全等級保護發展現狀，以及我國網絡安全等級保護法律法規、政策規范、標準體系、機構建設、關鍵信息基礎設施、能力建設、會議舉辦與經驗交流等多個方面進行了宏觀全面的闡述，針對目前我國等級保護工作中面臨的實際問題進行了總結與思考，并結合新時代下國家等級保護制度2.0標準體系進行了對比與分析。

1 國外網絡安全等級保護發展現狀

等級保護思想最早可追溯到20世紀60年代美國軍方文件保密制度，美國國防部為適應軍事信息系統保密要求提出了《可信計算機系統評估準則》(TCSEC)。受美國等級保護思想的啟發，1991年，英、法、德、荷等國在歐盟范圍內首次提出了包含保密性、完整性、可用性“三要素”概念的歐洲《信息技術安全評估準則》(ITSEC)，作為歐盟安全評估標準適用于政府、軍隊和商業部門。1993年，加拿大也公布了《可信計算機產品評估準則》(CTCPEC)3.0版本，CTCPEC作為TCSEC與ITSEC相結合的產物，將安全分為功能性要求和保證性要求兩部分，其中功能性要求包括機密性、完整性、可用性和可控性四類。

為解決各國標準在概念和技術上的差異，1996年，美國、歐盟和加拿大聯合發布了通用評估準則(Common Criteria)，CC中定義了評估信息技術產品和信息系統安全性所需的基礎準則，1999年出臺CC2.1版本已被ISO采納作為ISO15408標準對外發布。

在信息系統安全方面，美國突出體現了對信息系統分類分級實施保護的發展思路。美國政府認為：對所有的聯邦信息系統在所有時間內都實行高級別技術和行政管理保護水平是不合理的。因此，提出基于信息系統對機構完成其使命的重要性來建立保護優先級，并根據優先級的不同而對信息系統實施不同級別的安全保護措施，對信息系統的安全措施實施評估。

在上述思想指導下，美國制定了一系列體系化的標準和指南文件，對聯邦政府重要信息系統實行安全分級，從整體上體現分級保護和管理的思想。

2002年，美國通過了《聯邦信息安全管理法案》(FISMA)，為美國政府機構信息安全改善設定了目標，突出了信息安全分類分級實施保護的發展思路。2003年，美國發布《保護網絡空間國家戰略》，按重要程度實施五個級別的分級保護，并要求國家標準與技術研究所(簡稱NIST)制定分類分級標準和指南，其中包括：《信息和信息系統安全分類標準》、《選擇實施安全控制標準和測試安全控制標準》等。2013年發布《增強關鍵基礎設施網絡安全》行政令，按此令NIST于2014年提出了《美國增強關鍵基礎設施網絡安全框架》，按風險程度不同分為四個等級，實行識別、保護、監測、響應、恢復全過程的風險管理。

NIST制定的分級分類標準屬于美國聯邦信息處理標準(FIPS)一類安全出版物，多為強制性標準。FIPS-199《聯邦信息和信息系統安全分類標準》描述了如何確定一個信息系統的安全類別，從而使機構明確哪些信息系統最需要重點保護。FIPS-200《聯邦信息系統最小安全控制》標準進一步完善了信息系統的安全控制的選擇，作為強制性標準要求聯邦機構無條件執行。

為配合FIPS-199的實施并指導機構完成分級保護活動，NIST發布了《信息系統安全規劃》(SP800-18)、《信息系統風險評估》(SP800-30)、《信息系統安全授權和驗證》(SP800-37)、《信息系統分類分級》(SP800-60)、《信息系統安全控制》(SP800-53)等。SP800-60《將信息和信息系統映射到安全類別的指南》詳細介紹了聯邦信息系統中運行的所有信息類型，并針對每一種信息類型給出了推薦采用的級別；SP800-53《聯邦信息系統推薦安全控制》為不同級別系統推薦了不同強度安全控制集。

同時，在云計算、物聯網等新技術領域，美國也制定了針對性的安全擴展要求。例如美國聯邦風險與授權管理項目(FedRAMP)是美國聯邦政府用于對云服務實施安全評估、授權和監測的標準化程序，提供了一種具有成本效益、基于風險的方法，其目的是幫助聯邦機構在云計算的技術環境下滿足FISAM的安全防護需求[2]。

2 我國網絡安全等級保護工作現狀

借鑒美國、歐盟以及ISO發布的系列標準規范，我國也制定了適應自身發展狀況的網絡安全等級保護法律法規和標準體系。

1994年，國務院頒布《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)，為我國信息系統實行等級保護提供法律依據，首次提出計算機信息系統實行安全等級保護，其中第三條明確了信息系統安全保護的內容，要求“應當保障計算機及相關的和配套的設備、設施(含網絡)的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行”。

2007年，我國頒布了《信息系統等級保護管理辦法》，表明我國信息系統安全等級保護建設正式拉開序幕。2016年初，網絡安全劃入“十三五”國家戰略發展規劃，國家層面重視程度達到前所未有的高度，頂層設計不斷加速推進，2016年下半年，相關政策發布速度顯著加快，包括《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《國家網絡空間安全戰略》、《“十三五”國家網絡安全規劃》以及《戰略新興產業重點產品和服務指導目錄》等多項政策密集出臺，體現出黨和國家對網絡安全工作的高度重視。其中，《網絡安全法》第21條明確提出國家實行網絡安全等級保護制度。2017年5月2日，中央網信辦印發《網絡產品和服務安全審查辦法(試行)》，該辦法自2017年6月1日起施行，目的在于提高網絡安全風險防范能力，維護國家安全。自此，我國網絡安全建設進入了新時期。

2.1 法律法規、政策規范與標準體系

我國網絡安全等級保護制度包括定級、備案、建設整改、等級測評和監督檢查五個階段，構成完整的等級保護工作流程，各階段對應法律法規和政策規范如表1所示。

目前，各行業等級保護測評標準體系由各行業協會或行業監督管理委員會制定，各行業或領域特色的部分政策文件和標準體系如表2所示。

表1 等級保護各階段法律法規和政策規范

表2 各行業部分等級保護政策文件和標準體系

2.2 機構建設

依據《網絡安全等級保護測評機構管理辦法》(公信安〔2018〕765號)，截至目前，全國現有公安部等級保護評估中心推薦的測評機構170余家。其中，國家級等保測評機構17家，可以在全國范圍內開展等保測評工作，其余測評機構為省級測評機構，可以在本省范圍內開展等保測評工作。在國家級和各省、區、市級范圍內，信息系統分級分類參加等保測評。組織機構上設立國家級等保辦和各省級等保辦，國家等保辦負責受理隸屬國家網絡安全職能部門和重點行業主管部門的申請，對申請單位進行審核、推薦，監督管理全國級別測評機構；各省級等保辦負責受理本省申請單位的申請，對申請單位進行審核、推薦，監督管理其推薦的省級測評機構。

測評機構在公安部等級保護評估中心牽頭下成立了中關村信息安全等級保護測評聯盟。信息安全測評聯盟是在公安部網絡安全保衛局指導下、由公安部信息安全等級保護評估中心等9家測評機構聯合發起成立的社會組織，是一支以國家信息安全等級測評體系為基礎構建的專業技術力量。目前聯盟理事長單位為公安部信息安全等級保護評估中心，副理事長單位共16家，理事單位21家。

電力、金融、教育、廣電、鐵道、交通、稅務、衛生、通信等在各行業內設置專控等保測評機構。此外，湖北、江蘇、山東、浙江等省市已建成專用信息安全等級保護網。

2.3 關鍵信息基礎設施與能力建設

實施網絡安全等級保護制度的根本目的是保護國家關鍵信息基礎設施，因此，測評機構與測評人員能力建設的關鍵在于對關鍵信息基礎設施的認定、測評和保護。

2014年2月27日，在中央網絡安全和信息化領導小組第一次會議上，習近平總書記首次提出關鍵信息基礎設施的概念，批示“要抓緊制定互聯網信息內容管理、國家關鍵信息基礎設施保護等方面的專項法規，解決工作急需”。目前，我國法律法規、規范性文件還沒有對關鍵信息基礎設施作出明確的解釋。公安部借鑒了美國等西方國家保護關鍵信息基礎設施的經驗做法，并結合我國國情，研究認為：關鍵信息基礎設施是指關系國家安全、國計民生的基礎信息網絡、重要信息系統、大數據和大型公共服務平臺。

近十年來，全國公安機關共受理7萬多家單位、約14萬個信息系統的備案。根據習近平總書記批示，公安部會同國家發改委、財政部聯合出臺了《關于加強國家級重要信息系統安全保障工作有關事項的通知》，確定對涵蓋電力、石油、銀行、證券、保險、民航、鐵路等47個重要行業、276家重點單位、500余個信息系統為國家級重要信息系統。

2017年7月，國家互聯網信息辦公室發布《關鍵信息基礎設施安全保護條例(征求意見稿)》，參照《網絡安全法》和關鍵信息基礎設施安全保護條例等法律法規要求，對關鍵信息基礎設施進行了認定。《網絡安全法》同時要求關鍵信息基礎設施的保護應高于網絡安全等級保護制度的一般要求，并從制度、培訓、災備、應急等方面提出了要求。

為促進全國測評機構的交流與能力驗證，在公安部網絡安全保衛局指導下，由公安部第三研究所主辦、信息安全測評聯盟承辦，每年舉辦“全國網絡安全等級保護測評體系建設會議”，開展機構間經驗交流、總結能力驗證與攻防比賽情況、評選先進單位和個人。同時，在公安部網絡安全保衛局指導下，每年舉辦“全國網絡安全等級保護技術大會”，重點圍繞新技術新應用環境下等級保護制度體系健全完善、關鍵信息基礎設施安全保護技術研發和手段建設、網絡安全策略與機制、技術標準體系等主題開展研討交流。

2.4 等級保護測評工作中面臨的實際問題

目前，我國等級保護測評工作面臨的實際問題主要包括以下方面：

(1)信息系統運營使用單位對等級保護工作重視不夠，主動性、專業性不強，如初步定級、編寫定級報告、專家定級評審和提交備案材料等一般需要測評機構協助完成；

(2)信息系統運營使用單位建設整改不到位，主要體現在等級測評結束后，運營使用單位無法根據整改建議方案實施全部整改，無法確保現有安全措施有效性；

(3)測評聯盟及各省市等保辦對等級保護工作的監督檢查機制有待完善，應重點增加等保測評的現場督查、事后追查以及建設整改完成情況并備案；

(4)全國等級保護測評機構和測評師數量不足、能力參差不齊、測評周期有限，導致全國數量眾多的信息系統無法得到平等、充分、有效的等級保護測評服務；

(5)現有行業標準、技術手段和測評工具箱難以滿足新技術發展應用中的安全防護需求，需針對云計算、移動互聯、物聯網、工業控制系統等新技術領域關鍵信息基礎設施以及電力、金融、能源等行業制定與時俱進、因地制宜的測評標準與方法，進一步加大對技術手段基礎研究和測評工具箱的研發投入。

3 等級保護制度2.0標準體系分析

《網絡安全法》的發布標志著我國網絡安全等級保護工作正式進入2.0時代。國家標準GB/T 22239—2008《信息安全技術信息系統安全等級保護基本要求》[3]被應用于各個行業領域開展信息安全等級保護的建設整改和等級測評環節。隨著信息技術發展，GB/T 22239—2008迫切需要進一步細化與完善。為了適應移動互聯、云計算、大數據、物聯網和工業控制等新技術條件下信息安全等級保護工作的開展，需對GB/T 22239—2008進行修訂，修訂的基本思路和方法是針對新技術、新應用領域提出具體的擴展安全要求。

等級保護2.0為1+N模式，1為通用要求，適用各個行業和各個領域，N指具體的一個領域內的擴展要求，目前N為4，分別是云計算、移動互聯、物聯網和工業控制系統。隨著未來技術的發展，N會不斷擴展。

據分析，新版《信息安全技術網絡完全等級保護基本要求》擬分為第一至五級安全要求，其中每一級包括安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。安全通用要求包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理；云計算、移動互聯、物聯網、工業控制系統安全擴展要求包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全以及管理要求組成。

等級保護2.0安全框架修訂后如圖1所示。

圖1 等級保護安全框架

等級保護制度1.0標準體系與2.0標準體系主要差別對比如表3所示。

通過對等級保護2.0標準體系的進一步分析研究，新增和修訂的內容詳列如下：

(1)標準名稱由“信息系統安全等級保護基本要求”更改為“網絡安全等級保護基本要求”；

(2)體現一個重點(國家關鍵信息基礎設施)、三重防御(主動防御、綜合防御、縱深防御)的思想，強化可信計算技術的要求；

(3)等級保護對象由“信息系統”更改為“等級保護對象(網絡和信息系統)”，包括基礎信息網絡、信息系統、云計算平臺、大數據平臺、物聯網、工業控制系統等；

(4)安全要求更改分為安全通用要求和安全擴展要求，安全通用要求是所有等級保護對象必須滿足的要求，同時針對云計算、移動互聯、物聯網和工業控制系統提出了針對性的安全擴展要求；

(5)結構和分類調整：技術部分包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全；管理部分包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理；

(6)控制措施分類結構調整：技術部分包括物理環境安全、通信網絡安全、區域邊界安全、計算環境安全；管理部分包括安全策略和管理制度、安全管理機構和

表3 等級保護1.0標準與2.0標準對比

人員、安全建設管理、安全運維管理；

(7)從一級到四級均在“安全通信網絡”、“安全區域邊界”、“安全計算環境”中增加了可信驗證控制點；

(8)從二級以上開始增加了“安全管理中心”要求，并在“安全管理中心”中增加了“系統管理、審計管理”和“安全管理”控制點要求；

(9)原來的“設備和計算安全”、“應用和數據安全”現在統一改為“安全計算環境”，并增加了可信驗證要求；

(10)增加了應用場景的說明：增加附錄C等級保護安全框架和關鍵技術，附錄D云計算應用場景，附錄E移動互聯應用場景，附錄F物聯網應用場景，附錄G工業控制系統應用場景；

(11)安全擴展要求：

①云計算安全擴展要求：針對云計算的特點提出了特殊保護要求，對云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。原則性要求包括：應確保云計算平臺不承載高于其安全保護等級的業務應用系統；應確保云計算基礎設施位于中國境內；應確保云服務客戶數據、用戶個人信息等存儲于中國境內，如需出境應遵循國家相關規定；云計算平臺的運維地點應位于中國境內，如需境外對境內云計算平臺實施運維操作應遵循國家相關規定。

②移動互聯安全擴展要求：針對移動互聯的特點提出了特殊保護要求，對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。移動互聯部分通常由移動終端、移動應用和無線網絡三部分組成。

③物聯網安全擴展要求：針對物聯網的特點提出了特殊保護要求，對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。物聯網系統通常從架構上可分為三個邏輯層，即感知層、網絡傳輸層和處理應用層。物聯網安全擴展要求針對感知層部分提出特殊保護要求，網絡傳輸層和處理應用層則使用安全通用要求。

④工業控制系統安全擴展要求：對工業控制系統的保護要求使用安全通用要求和安全擴展要求。針對工業控制系統的特點提出了特殊保護要求，對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面，同時針對工業控制系統實時性要求高的特點調整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。依據工業控制系統的通用模型——國際標準IEC 62264-1(企業控制系統第一部分：模型和術語)將工業控制系統進行了層次結構模型劃分，層次模型從上到下共分為5個層級，依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層，不同層級的實時性要求不同。

4 結論

習近平總書記指出，信息化為中華民族帶來的千載難逢的機遇，必須敏銳抓住信息化發展的的歷史機遇，維護網絡安全，自主創新推進網絡強國建設。本文針對我國網絡安全等級保護發展現狀，特別是新時代下國家等級保護制度2.0標準體系作了較為全面、深入的闡述與對比分析，并針對目前我國等級保護工作中面臨的實際問題進行了總結。綜上所述，網絡安全等級保護工作將永遠只有進行時，沒有完成時，網絡安全等級保護工作仍然需要諸多努力才能不斷應對挑戰、與時俱進，才能實現通過網絡安全維護新時代下的國家安全。