田继红 蒋岱

［摘要］信息系统安全等级保护工作从概念的提出到现今开展定级、整改、测评已过去二十多年了，现已成为一项常态性的工作。本文从等级保护的发展到具体实施进行了逐一的介绍，系统而全面地论述了信息安全等级保护的相关问题。

［关键词］等级保护；等级备案；等级测评

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中图分类号］TP309 ［文献标识码］A ［文章编号］1673-0194（2017）02-0-02

0 引言

随着全球信息技术的快速发展，我国国民经济的繁荣和社会信息化水平的日益提升，信息安全已上升为国家层面的重要内容。为进一步提高信息安全保障工作的能力和水平，2016年国家网络安全宣传周首次在全国范围内统一举办，并首次在地方城市举行开幕式等重要活动。由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度，等级测评工作也将随之逐步成为一项常规化工作，对保障国家网络安全具有重要意义。下文对信息安全等级保护的概念及发展状况进行梳理。

1 信息安全等级保护的概念

信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作，是国际上很多国家都实施的一项信息安全工作。在中国，信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作；狭义上一般指信息系统安全等级保护。

2 信息安全等级保护的发展历程

全球化网络快速发展的同时其脆弱性和安全性也日益彰显，西方发达国家制定了一系列强化网络信息安全建设的政策和标准，其核心就是将不同重要程度的信息系统划分为不同的安全等级，以便于对不同领域的信息安全工作进行指导。鉴于此，我国相关部门和专家结合我国信息领域的实际情况经过多年的研究，于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》，首次提出了信息安全等级保护的概念，用于解决我国信息安全问题。之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规，并实施工程。从计算机系统的定级到等级保护测评，信息安全工作逐步完善。详情见表1。

随着国家对信息安全工作的重视以及各类等级保护规范标准的出台，各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。建立、健全信息安全管理制度，落实安全保护技术措施，全面贯彻落实信息安全等级保护制度。目前，国家已出台70多个国标、行标及报批标准，展开了对所属安全系统进行先定级后测评的工作。

3 信息安全等级保护具体实施过程

信息安全等级保护具体的实施过程，如图1所示。

3.1 定级

2007年开始在全国范围内进行信息系统等级保护的定级工作。四级以上的定级要求请国家信息安全保护等级专家评审委员会评审定级。此项工作历时一年基本完成。

定级标准为公安部66号文件。主要依据是《信息系统安全保护等级定级指南》（国家）或行业制定的定级指南。对于等级的划分，见表2。

定级注意事项

第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级一些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如：不涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等。

第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业及控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等，例如，网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。

第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如：电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。

第五级信息系统：适用于国家特殊领域的极其重要系统。

3.2 等级备案

已运行的系统在安全保护等级定级后30日内，由运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建的系统，在通过立项申请后30日内办理。将定级情况报各地公安部门备案。

办理备案手续时备案单位需向公安机关网监部门提交以下备案材料。①《信息系统安全等级保护备案表》纸质材料一式两份。该表由“等级保护备案端软件”生成，操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交表中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后30日内提交表四及其有关材料。②《信息系统安全等级保护定级报告》纸质材料一式两份。每个备案的信息系统均需提供对应的《信息系统安全等级保护定级报告》。

③备案电子数据。每个备案的信息系统，均需通过“等级保护备案端软件”填写信息，以压缩文件（RAR格式）方式保存。

3.3 对照等级标准和要求进行安全建设分析整改

备案工作完成后，需要对照所定的级别对信息系统进行安全建设整改。从满足政策、满足标准和满足用户需求入手，有条件的单位可以请专业机构帮助给出整改意见，在技术和管理两个方面进行整体规划和设计。在设计过程中要考虑近期和远期规划，从而给出总体和详细的方案，特别要把技术体系、物理安全、管理安全、应急与灾备全面进行细分，细分为不同的子项，分项完善。之后就可以进入具体实施操作阶段。

3.4 等级测评

信息系统完成建設整改实施操作之后就可以进行等级保护的测评。等级保护测评工作需要由有“DJCP”（公安部信息安全等级保护测评）认证的测评机构来完成。有“DJCP”资质的机构在“中国信息安全等级保护网”可以查询到。测评时间一般为一个月。测评过程如下。

（1）测评准备阶段：召开项目启动会布置测评需要准备的材料（系统拓扑图、规章制度、设备参数等），测评机构根据提供的材料准备下一步的测评工具和表单。

（2）测评方案编制阶段：测评机构针对测评对象制定测评指标，填写测评内容，并编制测评方案书。双方进一步沟通测评时间及测评场地的测评内容和测评流程。

（3）现场测评阶段：测评机构按照测评方案的测评内容对项目中的管理和技术测评项进行逐一的测评，记录测评相关数据。需要注意的是在现场测评过程中尽量不要影响被测系统的正常运行。可以选择错开业务高峰期或下班后的时间。为了保证被测系统不受影响，系统维护人员应在现场进行配合。

（4）报告编制阶段：测评机构根据测评内容和数据进行整理，给出测评报告，告知风险点和测评发现的问题。

测评结果有三种：不符合，即未通过测评；部分符合和全部符合，后两种为通过测评。

在等级保护测评方面，按照要求，三级的信息系统应当每年至少进行一次安全自查和安全测评；四级的信息系统应当每半年至少进行一次安全自查和安全测评；五级的应当依据特殊安全要求进行安全自查和安全测评。

4 信息安全等级保护的发展现状

随着信息技术的不断发展，云计算、移动互联、物联网、工业控制、大数据等概念的出现对信息系统等级保护提出了新的要求。在新技术应用背景下，等级保护的标准和规范也将随之不断调整，信息系统和测评机构都需要不断提高自身的技术能力以适应新技术发展的需求。保证信息系统的循序建设和长期稳定的运行，是等级保护建设的重要意义。

主要参考文献

［1］全国信息安全标准化技术委员会.信息系统安全等级保护实施指南［S］.2008.

［2］郭启全．加快落实信息安全等级保护整改建设工作［J］．信息安全与通信保密，2010(5).