1.5 网络安全等级保护发展历程
网络安全等级保护作为我国法定制度和基本国策,是开展网络安全工作的有效方法和主要方向。我国网络安全等级保护经历了从无到有、从理论到实践、从行政规定到法律要求的发展过程。具体来讲,网络安全等级保护发展历程可从等级保护1.0时代和等级保护2.0时代进行阐述。本节主要介绍网络安全等级保护工作的发展历程,涉及主要法律法规及政策文件,可为理解等级保护提供一定的帮助。
1.5.1 等级保护1.0时代
等级保护1.0时代简称“等保1.0”,即对1994—2014年期间等级保护工作历史时期的简称。等保1.0时代普及了等保基本概念,强化了从业人员安全意识,从单个系统到部门、到行业,再到国家层面,从合规到攻防对抗,整体提升了网络安全保障能力、技术并且不断进行人才的积累,为等保2.0时代提供了有力的支撑。在等保1.0时代,等级保护的发展经历了政策研究阶段、开展准备阶段和启动推进阶段。
1.政策研究阶段
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,政策研究阶段的发展历程如图1-2所示。
图1-2 网络安全等级保护政策研究阶段发展历程
政策研究阶段几个主要的时间节点如下:
1)1984年,我国开始研究国外等级保护工作开展情况,经过10余年的研究,1994年,国务院颁布147号令《中华人民共和国计算机信息系统安全保护条例》,确定我国实行信息安全等级保护制度,提出解决我国网络安全问题的方法。
2)1998年12月,公安部会同相关国家部门起草了《计算机信息系统安全保护等级制度建设纲要》,确立安全保护等级制度的主要适用范围、建设目标、原则任务和实施步骤及措施等主要问题。
3)1999年,国家强制性标准GB 17859—1999《计算机信息系统 安全保护等级划分准则》发布,明确将计算机信息安全划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5个级别,计算机信息系统安全保护能力随安全级别的增高逐渐增强。
4)2000年,国家发展计划委员会正式印发、批复、同意公安部主持开展《计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台试点》项目建设的任务,为实施《计算机信息系统 安全保护等级划分准则》提供了基本条件。
5)2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出“国家实行信息安全等级保护”,标志着等级保护从一项计算机信息系统实行的安全等级保护制度提升到国家信息安全保障工作的基本制度。
在政策研究阶段,国务院颁布的147号令《中华人民共和国计算机信息系统安全保护条例》和中办发〔2003〕27号文《国家信息化领导小组关于加强信息安全保障工作的意见》为等级保护工作的顺利开展营造了良好的环境。
2.开展准备阶段
在政策研究形成初步效果后,2004—2006年,我国进入等级保护开展准备阶段。该阶段标志性的文件有两个:
1)《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)。该文件于2004年由公安部联合国家保密局、国家密码管理局、国务院信息化办公室发布,明确贯彻落实等级保护制度的基本原则,并确定了等级保护工作的基本内容、工作要求和实施计划,以及各部门的工作职责和分工等。
2)《关于开展信息安全等级保护试点工作的通知》(公信安〔2006〕573号)。该文件于2006年由公安部、国家保密局、国家密码管理局、国务院信息化办公室联合下发,并在13个省区市和3个部委联合开展了信息安全等级保护试点工作,期间共涉及6万多家单位合计11万多个信息系统的等级保护基础调查和等级保护工作开展。
等级保护试点工作的开展对掌握全国信息系统的基本情况和等级保护工作模式具有重要意义,并对等级保护工作的开展方法、思路以及规范标准进行全面的检验和完善,为全面开展等级保护工作奠定了基础,故称该阶段为“等级保护开展准备阶段”。
3.启动推进阶段
自2007年以来,国家正式启动等级保护工作,等级保护工作迈入一个新的阶段,以全面推进等级保护工作的开展。该阶段主要经历下列4个重要节点:
1)等级保护管理办法出台。2007年6月,公安部、国家保密局、国家密码管理局、国务院联合出台了《信息安全等级保护管理办法》(公通字〔2007〕43号),明确等级保护制度的基本内容、流程及工作要求,为开展等级保护工作提供了规范保障;同年7月,国家发布《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号),确定信息安全等级保护这项工作正式开始实施。
2)等级保护核心标准发布。2008年,国家发布《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)和《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)两项重要的等级保护标准,为推动等级保护工作开展实施提供了基本方法。
3)等级测评体系建立。2009年7月起,公安部组织开展信息安全等级保护测评体系建设,于2010年3月发布了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,为全面推进等级保护测评工作的开展指明了方向,并提出了等级保护工作的阶段性目标。
4)等级保护工作全面开展。2010年12月,公安部联合国务院国有资产监督管理委员会出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻落实等级保护制度。自此,我国各行业网络安全等级保护工作全面展开,进入规模化深入推进阶段。
1.5.2 等级保护2.0时代
等级保护在网络安全保障、网络强国建设方面有着重要的作用。随着信息化的发展,以及云计算、大数据、物联网、工业控制等新技术的应用,开展等级保护工作出现了新的问题。为适应新应用、新技术的发展,解决云计算、大数据、物联网、移动互联和工业控制系统开展等级保护工作中存在的问题,2014年3月,公安部组织开展信息技术领域等级保护主要标准的申报、修订工作,等级保护正式迈向2.0时代。等级保护2.0时代,简称“等保2.0”,是2014年后行业内对等级保护工作的简称。等保2.0主要经历了以下两个阶段。
1.法制化阶段
2017年6月以来,等级保护制度正式进入法制化阶段。《网络安全法》(第二十一条)规定国家实行网络安全等级保护制度。网络安全等级保护制度自2017年6月1日起上升至法律地位,网络安全等级保护工作进入法制化阶段。
2.等保2.0实施阶段
2017年初,全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》《网络安全等级保护测评要求》等系列标准的“征求意见稿”,经过两年多时间的反复修改,在综合采纳和吸收各方意见的基础上,国家市场监督管理总局和国家标准化管理委员会于2019年5月10日正式发布网络安全等级保护的三大核心标准:《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)。这标志着等级保护正式进入2.0时代,正式开启网络安全等级保护2.0工作的新实施阶段。
2020年7月,为进一步推进等级保护工作的开展、实施,公安部研究并制定了公网安〔2020〕1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,提出深入贯彻落实等级保护制度的要求。
:课堂小知识
网络安全等级保护系列核心标准[《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)、《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)等标准]的发布意味着等级保护2.0时代开启,等级保护1.0时代成为历史,同时《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)、《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448—2012)、《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070—2010)等系列等级保护1.0时代的标准被宣布废止。
【本章小结】
本章主要介绍了国内外的网络安全形势、我国当前面临的网络安全问题、等级保护的意义,以及等级保护1.0时代和等级保护2.0时代的发展历程等背景知识。等级保护制度作为我国网络安全工作的一项基本制度,经历了从无到有、从理论到实践、从行政规定到法律要求的发展过程,可以划分为等级保护1.0和等级保护2.0两个阶段,对加强我国网络安全保障工作,提升网络安全保护能力具有重要意义。通过本章学习,读者应能对等级保护制度有基本了解,为后续章节的学习打下基础。