1.5　我国的网络安全等级保护和涉密信息系统分级保护

我国的网络安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。网络安全等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；涉密信息系统分级保护是国家网络安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

1.5.1　网络安全等级保护

2003年，国家信息化领导小组通过了我国信息安全保障工作的重要政策性指导文件《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），文件中提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号），明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。在职能分工上，公安机关负责信息安全等级保护工作的监督、检查和指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查和指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查和指导；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间的协调。2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施《信息安全等级保护管理办法》（公通字〔2007〕43号）及其配套的标准《信息系统安全等级保护定级指南》（GB/T 22240—2008）。

在2017年6月1日《中华人民共和国网络安全法》（简称《网络安全法》）开始正式实施以后，信息安全等级保护体系全面升级为网络安全等级保护，等级保护进入2.0时代。2019年5月，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）发布，并于2019年12月1日开始正式实施。

《网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。

《网络安全法》第二十一条明确要求，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

《网络安全法》第三十一条明确要求，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

网络安全等级保护的对象是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为以下五个安全保护等级。

（1）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

（2）第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

（3）第三级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

（4）第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

（5）第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

对于基础信息网络、云计算平台、大数据平台等支撑类网络，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。《网络安全等级保护定级指南》规定，原则上，大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的，原则上，其安全保护等级不低于第三级。

网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。网络安全等级保护从技术和管理两个方面提出安全要求，强调对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护。同时，还要考虑对其所处的物理环境的安全防护，形成纵深防御体系。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段，以保证等级保护对象整体的安全保护能力。

1.5.2　涉密信息系统分级保护

2004年12月，中央保密委员会下发了《关于加强信息安全保障工作中保密管理的若干意见》（中保委发〔2004〕7号），明确提出建立健全涉密信息系统分级保护制度。2005年12月，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《中华人民共和国保守国家秘密法》修订草案也增加了网络安全保密管理的条款。

不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，因而需要不同的保护强度和措施。对不同密级的信息，应当合理平衡安全风险与成本，采取不同强度的保护措施。

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级、涉密信息系统的重要性、遭到破坏后对国计民生造成危害的程度，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理的分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统的分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是《涉及国家秘密的信息系统分级保护技术要求》（BMB 17—2006）和《涉及国家秘密的信息系统分级保护管理规范》（BMB 20—2007）。这两个标准从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统实施明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级。

（1）秘密级：信息系统中包含最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

（2）机密级：信息系统中包含最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；信息系统中的机密级信息含量较高或数量较多；信息系统使用单位对信息系统的依赖程度较高。

（3）绝密级：信息系统中包含最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求。绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相连。