1.3 网络安全等级保护理论体系

1.3.1 等级保护体系的发展史

自1994年《中华人民共和国计算机信息系统安全保护条例》（即国务院147号令）颁布以来，迄今为止等级保护体系已经经历了近30年的不断发展。等级保护标准的发展历程大体可以分为四个阶段：起步阶段、成型阶段、实施阶段和演化阶段。这四个阶段之间并没有明确的时间线加以区分，但大体上可以通过重要的政策和标准的发布等事件来界定。

（1）起步阶段

1994年，《中华人民共和国计算机信息系统安全保护条例》明确规定“计算机信息系统实行安全等级保护”，为我国等级保护体系的建设奠定了法律基础。其后，2003年《国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）》进一步强化了实施等级保护的重要性和必要性，并提出抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南的要求。由公安部牵头，有关科研院所和组织一起着手探索等级保护标准的研发与制定等工作。

（2）成型阶段

在2008—2012年，我国陆续推出了一系列关于等级保护的标准和指南，标志着等级保护标准体系已经成型。这期间的标准体系称为等级保护1.0体系。其中在2008年发布的《信息安全技术 信息系统安全等级保护基本要求》和《信息安全技术 信息系统安全等级保护定级指南》，分别从信息系统不同等级的安全要求和系统定级两个角度对等级保护工作的开展加以指导。2010年发布的《信息安全技术 信息系统安全等级保护实施指南》则对等级保护工作的实施进行了规范。2012年发布的《信息安全技术 信息系统安全等级保护测评过程指南》和《信息安全技术 信息系统安全等级保护测评要求》对测评机构工作的开展进行了指导和规范。

（3）实施阶段

事实上，在2009年国内已经开始推行等级保护工作。在等级保护1.0完全发布之后，意味着我国进入了对信息系统进行大范围的等级保护实施阶段。在这期间，逐渐形成了由公安部门加以监管和指导，由信息系统的用户主体负责落实，由测评机构负责等级保护测评工作，由其他IT供应商和信息安全服务供应商负责配合的等级保护推行局面。在实施阶段，诸如电力、金融等不同细分行业的信息系统，以及云计算、物联网、移动互联、大数据、工控系统等陆续出现的新型IT系统，均对等级保护工作提出了新的安全需求。由于等级保护1.0的内容无法完全覆盖这些安全需求，从而引导等级保护标准进一步进入了演化阶段。

（4）演化阶段

事实上，伴随等级保护标准的实施工作的开展，标准的演化阶段也随即开始。到目前为止，等级保护标准的演化过程主要分为两个方向：行业化和专业化。

由于等级保护1.0重点聚焦于信息系统的通用安全要求，这使得它无法完全应对更具体的行业安全需求。于是，一些行业性的等级保护政策、标准陆续出现。例如，2008年信息产业部发布了电信网和互联网安全等级保护实施指南，2012年中国人民银行发布了金融行业相关的等级保护测评指南、实施指引和测评服务安全指引等标准规范，2018年国家能源局牵头制定了电力系统等级保护实施指南等标准规范。除此之外，烟草、医疗卫生、广电、交通和教育等行业陆续制定了自己行业相关的等级保护要求文件或标准指南。

2017年《中华人民共和国网络安全法》的出台将等级保护工作从政府政令上升到国家法律层面。其中，第二十一条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改……”此后，等级保护标准演化迎来了最重要的一个里程碑：为配合网络安全法的实施，我国发布了等级保护2.0系列标准。

与等级保护1.0相比，等级保护2.0体系的变化主要体现在三个方面。其一，将原来的适用范围从“信息系统安全”扩展为“网络和信息系统安全”；等级保护对象不仅包括原来的信息系统，还将基础信息网络、云计算、大数据、物联网、移动互联和工控系统等纳入其中。其二，对原来的安全要求进行了扩展，形成安全通用要求和安全扩展要求两部分内容，覆盖了新型网络系统的安全需求。其三，不仅做出了结构分类调整，还将可信验证纳入控制点，并增加了安全管理中心的要求，体现了一个重点、三重防御的安全防护思想。