我國網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究

何占博，王 穎，劉 軍

(1.北京京航計(jì)算通訊研究所，北京 100074;2.北京市涉密信息載體安全管理工程技術(shù)研究中心，北京 100074)

0 引言

習(xí)近平總書記在2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，提出“網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動(dòng)之雙輪”，這一系列重要論斷闡明了網(wǎng)絡(luò)安全在國家安全體系中的重要戰(zhàn)略地位以及網(wǎng)絡(luò)安全和信息化的辯證關(guān)系，標(biāo)志著網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度，我國網(wǎng)絡(luò)安全發(fā)展跨入了一個(gè)全新時(shí)期。

2018年8月，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》指出，2018年上半年國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)接到網(wǎng)絡(luò)安全事件報(bào)告累計(jì)54 190件，相比2017年同期的48 283件增長12.2%； 2018年上半年全國各級(jí)網(wǎng)絡(luò)舉報(bào)部門受理有效舉報(bào)3 902.8萬件，較2017年同期的1 797.8萬件增長117.1%[1]。如今，等級(jí)保護(hù)制度已成為國家網(wǎng)絡(luò)安全工作的基本制度、基本國策、基本方法。開展等級(jí)保護(hù)工作不僅是加強(qiáng)國家信息安全保障工作的重要內(nèi)容，更是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定的政治任務(wù)。

本文針對(duì)國外網(wǎng)絡(luò)安全等級(jí)保護(hù)發(fā)展現(xiàn)狀，以及我國網(wǎng)絡(luò)安全等級(jí)保護(hù)法律法規(guī)、政策規(guī)范、標(biāo)準(zhǔn)體系、機(jī)構(gòu)建設(shè)、關(guān)鍵信息基礎(chǔ)設(shè)施、能力建設(shè)、會(huì)議舉辦與經(jīng)驗(yàn)交流等多個(gè)方面進(jìn)行了宏觀全面的闡述，針對(duì)目前我國等級(jí)保護(hù)工作中面臨的實(shí)際問題進(jìn)行了總結(jié)與思考，并結(jié)合新時(shí)代下國家等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)體系進(jìn)行了對(duì)比與分析。

1 國外網(wǎng)絡(luò)安全等級(jí)保護(hù)發(fā)展現(xiàn)狀

等級(jí)保護(hù)思想最早可追溯到20世紀(jì)60年代美國軍方文件保密制度，美國國防部為適應(yīng)軍事信息系統(tǒng)保密要求提出了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(TCSEC)。受美國等級(jí)保護(hù)思想的啟發(fā)，1991年，英、法、德、荷等國在歐盟范圍內(nèi)首次提出了包含保密性、完整性、可用性“三要素”概念的歐洲《信息技術(shù)安全評(píng)估準(zhǔn)則》(ITSEC)，作為歐盟安全評(píng)估標(biāo)準(zhǔn)適用于政府、軍隊(duì)和商業(yè)部門。1993年，加拿大也公布了《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》(CTCPEC)3.0版本，CTCPEC作為TCSEC與ITSEC相結(jié)合的產(chǎn)物，將安全分為功能性要求和保證性要求兩部分，其中功能性要求包括機(jī)密性、完整性、可用性和可控性四類。

為解決各國標(biāo)準(zhǔn)在概念和技術(shù)上的差異，1996年，美國、歐盟和加拿大聯(lián)合發(fā)布了通用評(píng)估準(zhǔn)則(Common Criteria)，CC中定義了評(píng)估信息技術(shù)產(chǎn)品和信息系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，1999年出臺(tái)CC2.1版本已被ISO采納作為ISO15408標(biāo)準(zhǔn)對(duì)外發(fā)布。

在信息系統(tǒng)安全方面，美國突出體現(xiàn)了對(duì)信息系統(tǒng)分類分級(jí)實(shí)施保護(hù)的發(fā)展思路。美國政府認(rèn)為：對(duì)所有的聯(lián)邦信息系統(tǒng)在所有時(shí)間內(nèi)都實(shí)行高級(jí)別技術(shù)和行政管理保護(hù)水平是不合理的。因此，提出基于信息系統(tǒng)對(duì)機(jī)構(gòu)完成其使命的重要性來建立保護(hù)優(yōu)先級(jí)，并根據(jù)優(yōu)先級(jí)的不同而對(duì)信息系統(tǒng)實(shí)施不同級(jí)別的安全保護(hù)措施，對(duì)信息系統(tǒng)的安全措施實(shí)施評(píng)估。

在上述思想指導(dǎo)下，美國制定了一系列體系化的標(biāo)準(zhǔn)和指南文件，對(duì)聯(lián)邦政府重要信息系統(tǒng)實(shí)行安全分級(jí)，從整體上體現(xiàn)分級(jí)保護(hù)和管理的思想。

2002年，美國通過了《聯(lián)邦信息安全管理法案》(FISMA)，為美國政府機(jī)構(gòu)信息安全改善設(shè)定了目標(biāo)，突出了信息安全分類分級(jí)實(shí)施保護(hù)的發(fā)展思路。2003年，美國發(fā)布《保護(hù)網(wǎng)絡(luò)空間國家戰(zhàn)略》，按重要程度實(shí)施五個(gè)級(jí)別的分級(jí)保護(hù)，并要求國家標(biāo)準(zhǔn)與技術(shù)研究所(簡稱NIST)制定分類分級(jí)標(biāo)準(zhǔn)和指南，其中包括：《信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》、《選擇實(shí)施安全控制標(biāo)準(zhǔn)和測(cè)試安全控制標(biāo)準(zhǔn)》等。2013年發(fā)布《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令，按此令NIST于2014年提出了《美國增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，按風(fēng)險(xiǎn)程度不同分為四個(gè)等級(jí)，實(shí)行識(shí)別、保護(hù)、監(jiān)測(cè)、響應(yīng)、恢復(fù)全過程的風(fēng)險(xiǎn)管理。

NIST制定的分級(jí)分類標(biāo)準(zhǔn)屬于美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)一類安全出版物，多為強(qiáng)制性標(biāo)準(zhǔn)。FIPS-199《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》描述了如何確定一個(gè)信息系統(tǒng)的安全類別，從而使機(jī)構(gòu)明確哪些信息系統(tǒng)最需要重點(diǎn)保護(hù)。FIPS-200《聯(lián)邦信息系統(tǒng)最小安全控制》標(biāo)準(zhǔn)進(jìn)一步完善了信息系統(tǒng)的安全控制的選擇，作為強(qiáng)制性標(biāo)準(zhǔn)要求聯(lián)邦機(jī)構(gòu)無條件執(zhí)行。

為配合FIPS-199的實(shí)施并指導(dǎo)機(jī)構(gòu)完成分級(jí)保護(hù)活動(dòng)，NIST發(fā)布了《信息系統(tǒng)安全規(guī)劃》(SP800-18)、《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估》(SP800-30)、《信息系統(tǒng)安全授權(quán)和驗(yàn)證》(SP800-37)、《信息系統(tǒng)分類分級(jí)》(SP800-60)、《信息系統(tǒng)安全控制》(SP800-53)等。SP800-60《將信息和信息系統(tǒng)映射到安全類別的指南》詳細(xì)介紹了聯(lián)邦信息系統(tǒng)中運(yùn)行的所有信息類型，并針對(duì)每一種信息類型給出了推薦采用的級(jí)別；SP800-53《聯(lián)邦信息系統(tǒng)推薦安全控制》為不同級(jí)別系統(tǒng)推薦了不同強(qiáng)度安全控制集。

同時(shí)，在云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域，美國也制定了針對(duì)性的安全擴(kuò)展要求。例如美國聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理項(xiàng)目(FedRAMP)是美國聯(lián)邦政府用于對(duì)云服務(wù)實(shí)施安全評(píng)估、授權(quán)和監(jiān)測(cè)的標(biāo)準(zhǔn)化程序，提供了一種具有成本效益、基于風(fēng)險(xiǎn)的方法，其目的是幫助聯(lián)邦機(jī)構(gòu)在云計(jì)算的技術(shù)環(huán)境下滿足FISAM的安全防護(hù)需求[2]。

2 我國網(wǎng)絡(luò)安全等級(jí)保護(hù)工作現(xiàn)狀

借鑒美國、歐盟以及ISO發(fā)布的系列標(biāo)準(zhǔn)規(guī)范，我國也制定了適應(yīng)自身發(fā)展?fàn)顩r的網(wǎng)絡(luò)安全等級(jí)保護(hù)法律法規(guī)和標(biāo)準(zhǔn)體系。

1994年，國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號(hào)令)，為我國信息系統(tǒng)實(shí)行等級(jí)保護(hù)提供法律依據(jù)，首次提出計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，其中第三條明確了信息系統(tǒng)安全保護(hù)的內(nèi)容，要求“應(yīng)當(dāng)保障計(jì)算機(jī)及相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行”。

2007年，我國頒布了《信息系統(tǒng)等級(jí)保護(hù)管理辦法》，表明我國信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)正式拉開序幕。2016年初，網(wǎng)絡(luò)安全劃入“十三五”國家戰(zhàn)略發(fā)展規(guī)劃，國家層面重視程度達(dá)到前所未有的高度，頂層設(shè)計(jì)不斷加速推進(jìn)，2016年下半年，相關(guān)政策發(fā)布速度顯著加快，包括《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《“十三五”國家網(wǎng)絡(luò)安全規(guī)劃》以及《戰(zhàn)略新興產(chǎn)業(yè)重點(diǎn)產(chǎn)品和服務(wù)指導(dǎo)目錄》等多項(xiàng)政策密集出臺(tái)，體現(xiàn)出黨和國家對(duì)網(wǎng)絡(luò)安全工作的高度重視。其中，《網(wǎng)絡(luò)安全法》第21條明確提出國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2017年5月2日，中央網(wǎng)信辦印發(fā)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》，該辦法自2017年6月1日起施行，目的在于提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范能力，維護(hù)國家安全。自此，我國網(wǎng)絡(luò)安全建設(shè)進(jìn)入了新時(shí)期。

2.1 法律法規(guī)、政策規(guī)范與標(biāo)準(zhǔn)體系

我國網(wǎng)絡(luò)安全等級(jí)保護(hù)制度包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)階段，構(gòu)成完整的等級(jí)保護(hù)工作流程，各階段對(duì)應(yīng)法律法規(guī)和政策規(guī)范如表1所示。

目前，各行業(yè)等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)體系由各行業(yè)協(xié)會(huì)或行業(yè)監(jiān)督管理委員會(huì)制定，各行業(yè)或領(lǐng)域特色的部分政策文件和標(biāo)準(zhǔn)體系如表2所示。

表1 等級(jí)保護(hù)各階段法律法規(guī)和政策規(guī)范

表2 各行業(yè)部分等級(jí)保護(hù)政策文件和標(biāo)準(zhǔn)體系

2.2 機(jī)構(gòu)建設(shè)

依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》(公信安〔2018〕765號(hào))，截至目前，全國現(xiàn)有公安部等級(jí)保護(hù)評(píng)估中心推薦的測(cè)評(píng)機(jī)構(gòu)170余家。其中，國家級(jí)等保測(cè)評(píng)機(jī)構(gòu)17家，可以在全國范圍內(nèi)開展等保測(cè)評(píng)工作，其余測(cè)評(píng)機(jī)構(gòu)為省級(jí)測(cè)評(píng)機(jī)構(gòu)，可以在本省范圍內(nèi)開展等保測(cè)評(píng)工作。在國家級(jí)和各省、區(qū)、市級(jí)范圍內(nèi)，信息系統(tǒng)分級(jí)分類參加等保測(cè)評(píng)。組織機(jī)構(gòu)上設(shè)立國家級(jí)等保辦和各省級(jí)等保辦，國家等保辦負(fù)責(zé)受理隸屬國家網(wǎng)絡(luò)安全職能部門和重點(diǎn)行業(yè)主管部門的申請(qǐng)，對(duì)申請(qǐng)單位進(jìn)行審核、推薦，監(jiān)督管理全國級(jí)別測(cè)評(píng)機(jī)構(gòu)；各省級(jí)等保辦負(fù)責(zé)受理本省申請(qǐng)單位的申請(qǐng)，對(duì)申請(qǐng)單位進(jìn)行審核、推薦，監(jiān)督管理其推薦的省級(jí)測(cè)評(píng)機(jī)構(gòu)。

測(cè)評(píng)機(jī)構(gòu)在公安部等級(jí)保護(hù)評(píng)估中心牽頭下成立了中關(guān)村信息安全等級(jí)保護(hù)測(cè)評(píng)聯(lián)盟。信息安全測(cè)評(píng)聯(lián)盟是在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下、由公安部信息安全等級(jí)保護(hù)評(píng)估中心等9家測(cè)評(píng)機(jī)構(gòu)聯(lián)合發(fā)起成立的社會(huì)組織，是一支以國家信息安全等級(jí)測(cè)評(píng)體系為基礎(chǔ)構(gòu)建的專業(yè)技術(shù)力量。目前聯(lián)盟理事長單位為公安部信息安全等級(jí)保護(hù)評(píng)估中心，副理事長單位共16家，理事單位21家。

電力、金融、教育、廣電、鐵道、交通、稅務(wù)、衛(wèi)生、通信等在各行業(yè)內(nèi)設(shè)置?？氐缺y(cè)評(píng)機(jī)構(gòu)。此外，湖北、江蘇、山東、浙江等省市已建成專用信息安全等級(jí)保護(hù)網(wǎng)。

2.3 關(guān)鍵信息基礎(chǔ)設(shè)施與能力建設(shè)

實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的根本目的是保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施，因此，測(cè)評(píng)機(jī)構(gòu)與測(cè)評(píng)人員能力建設(shè)的關(guān)鍵在于對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定、測(cè)評(píng)和保護(hù)。

2014年2月27日，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上，習(xí)近平總書記首次提出關(guān)鍵信息基礎(chǔ)設(shè)施的概念，批示“要抓緊制定互聯(lián)網(wǎng)信息內(nèi)容管理、國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等方面的專項(xiàng)法規(guī)，解決工作急需”。目前，我國法律法規(guī)、規(guī)范性文件還沒有對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施作出明確的解釋。公安部借鑒了美國等西方國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的經(jīng)驗(yàn)做法，并結(jié)合我國國情，研究認(rèn)為：關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、大數(shù)據(jù)和大型公共服務(wù)平臺(tái)。

近十年來，全國公安機(jī)關(guān)共受理7萬多家單位、約14萬個(gè)信息系統(tǒng)的備案。根據(jù)習(xí)近平總書記批示，公安部會(huì)同國家發(fā)改委、財(cái)政部聯(lián)合出臺(tái)了《關(guān)于加強(qiáng)國家級(jí)重要信息系統(tǒng)安全保障工作有關(guān)事項(xiàng)的通知》，確定對(duì)涵蓋電力、石油、銀行、證券、保險(xiǎn)、民航、鐵路等47個(gè)重要行業(yè)、276家重點(diǎn)單位、500余個(gè)信息系統(tǒng)為國家級(jí)重要信息系統(tǒng)。

2017年7月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》，參照《網(wǎng)絡(luò)安全法》和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等法律法規(guī)要求，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了認(rèn)定。《網(wǎng)絡(luò)安全法》同時(shí)要求關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)應(yīng)高于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的一般要求，并從制度、培訓(xùn)、災(zāi)備、應(yīng)急等方面提出了要求。

為促進(jìn)全國測(cè)評(píng)機(jī)構(gòu)的交流與能力驗(yàn)證，在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下，由公安部第三研究所主辦、信息安全測(cè)評(píng)聯(lián)盟承辦，每年舉辦“全國網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)會(huì)議”，開展機(jī)構(gòu)間經(jīng)驗(yàn)交流、總結(jié)能力驗(yàn)證與攻防比賽情況、評(píng)選先進(jìn)單位和個(gè)人。同時(shí)，在公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下，每年舉辦“全國網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)大會(huì)”，重點(diǎn)圍繞新技術(shù)新應(yīng)用環(huán)境下等級(jí)保護(hù)制度體系健全完善、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)技術(shù)研發(fā)和手段建設(shè)、網(wǎng)絡(luò)安全策略與機(jī)制、技術(shù)標(biāo)準(zhǔn)體系等主題開展研討交流。

2.4 等級(jí)保護(hù)測(cè)評(píng)工作中面臨的實(shí)際問題

目前，我國等級(jí)保護(hù)測(cè)評(píng)工作面臨的實(shí)際問題主要包括以下方面：

(1)信息系統(tǒng)運(yùn)營使用單位對(duì)等級(jí)保護(hù)工作重視不夠，主動(dòng)性、專業(yè)性不強(qiáng)，如初步定級(jí)、編寫定級(jí)報(bào)告、專家定級(jí)評(píng)審和提交備案材料等一般需要測(cè)評(píng)機(jī)構(gòu)協(xié)助完成；

(2)信息系統(tǒng)運(yùn)營使用單位建設(shè)整改不到位，主要體現(xiàn)在等級(jí)測(cè)評(píng)結(jié)束后，運(yùn)營使用單位無法根據(jù)整改建議方案實(shí)施全部整改，無法確?，F(xiàn)有安全措施有效性；

(3)測(cè)評(píng)聯(lián)盟及各省市等保辦對(duì)等級(jí)保護(hù)工作的監(jiān)督檢查機(jī)制有待完善，應(yīng)重點(diǎn)增加等保測(cè)評(píng)的現(xiàn)場(chǎng)督查、事后追查以及建設(shè)整改完成情況并備案；

(4)全國等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)師數(shù)量不足、能力參差不齊、測(cè)評(píng)周期有限，導(dǎo)致全國數(shù)量眾多的信息系統(tǒng)無法得到平等、充分、有效的等級(jí)保護(hù)測(cè)評(píng)服務(wù)；

(5)現(xiàn)有行業(yè)標(biāo)準(zhǔn)、技術(shù)手段和測(cè)評(píng)工具箱難以滿足新技術(shù)發(fā)展應(yīng)用中的安全防護(hù)需求，需針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施以及電力、金融、能源等行業(yè)制定與時(shí)俱進(jìn)、因地制宜的測(cè)評(píng)標(biāo)準(zhǔn)與方法，進(jìn)一步加大對(duì)技術(shù)手段基礎(chǔ)研究和測(cè)評(píng)工具箱的研發(fā)投入。

3 等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)體系分析

《網(wǎng)絡(luò)安全法》的發(fā)布標(biāo)志著我國網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。國家標(biāo)準(zhǔn)GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[3]被應(yīng)用于各個(gè)行業(yè)領(lǐng)域開展信息安全等級(jí)保護(hù)的建設(shè)整改和等級(jí)測(cè)評(píng)環(huán)節(jié)。隨著信息技術(shù)發(fā)展，GB/T 22239—2008迫切需要進(jìn)一步細(xì)化與完善。為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)條件下信息安全等級(jí)保護(hù)工作的開展，需對(duì)GB/T 22239—2008進(jìn)行修訂，修訂的基本思路和方法是針對(duì)新技術(shù)、新應(yīng)用領(lǐng)域提出具體的擴(kuò)展安全要求。

等級(jí)保護(hù)2.0為1+N模式，1為通用要求，適用各個(gè)行業(yè)和各個(gè)領(lǐng)域，N指具體的一個(gè)領(lǐng)域內(nèi)的擴(kuò)展要求，目前N為4，分別是云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)。隨著未來技術(shù)的發(fā)展，N會(huì)不斷擴(kuò)展。

據(jù)分析，新版《信息安全技術(shù)網(wǎng)絡(luò)完全等級(jí)保護(hù)基本要求》擬分為第一至五級(jí)安全要求，其中每一級(jí)包括安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。安全通用要求包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理；云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴(kuò)展要求包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全以及管理要求組成。

等級(jí)保護(hù)2.0安全框架修訂后如圖1所示。

圖1 等級(jí)保護(hù)安全框架

等級(jí)保護(hù)制度1.0標(biāo)準(zhǔn)體系與2.0標(biāo)準(zhǔn)體系主要差別對(duì)比如表3所示。

通過對(duì)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系的進(jìn)一步分析研究，新增和修訂的內(nèi)容詳列如下：

(1)標(biāo)準(zhǔn)名稱由“信息系統(tǒng)安全等級(jí)保護(hù)基本要求”更改為“網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”；

(2)體現(xiàn)一個(gè)重點(diǎn)(國家關(guān)鍵信息基礎(chǔ)設(shè)施)、三重防御(主動(dòng)防御、綜合防御、縱深防御)的思想，強(qiáng)化可信計(jì)算技術(shù)的要求；

(3)等級(jí)保護(hù)對(duì)象由“信息系統(tǒng)”更改為“等級(jí)保護(hù)對(duì)象(網(wǎng)絡(luò)和信息系統(tǒng))”，包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等；

(4)安全要求更改分為安全通用要求和安全擴(kuò)展要求，安全通用要求是所有等級(jí)保護(hù)對(duì)象必須滿足的要求，同時(shí)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了針對(duì)性的安全擴(kuò)展要求；

(5)結(jié)構(gòu)和分類調(diào)整：技術(shù)部分包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全；管理部分包括安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理；

(6)控制措施分類結(jié)構(gòu)調(diào)整：技術(shù)部分包括物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全；管理部分包括安全策略和管理制度、安全管理機(jī)構(gòu)和

表3 等級(jí)保護(hù)1.0標(biāo)準(zhǔn)與2.0標(biāo)準(zhǔn)對(duì)比

人員、安全建設(shè)管理、安全運(yùn)維管理；

(7)從一級(jí)到四級(jí)均在“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”中增加了可信驗(yàn)證控制點(diǎn)；

(8)從二級(jí)以上開始增加了“安全管理中心”要求，并在“安全管理中心”中增加了“系統(tǒng)管理、審計(jì)管理”和“安全管理”控制點(diǎn)要求；

(9)原來的“設(shè)備和計(jì)算安全”、“應(yīng)用和數(shù)據(jù)安全”現(xiàn)在統(tǒng)一改為“安全計(jì)算環(huán)境”，并增加了可信驗(yàn)證要求；

(10)增加了應(yīng)用場(chǎng)景的說明：增加附錄C等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)，附錄D云計(jì)算應(yīng)用場(chǎng)景，附錄E移動(dòng)互聯(lián)應(yīng)用場(chǎng)景，附錄F物聯(lián)網(wǎng)應(yīng)用場(chǎng)景，附錄G工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景；

(11)安全擴(kuò)展要求：

①云計(jì)算安全擴(kuò)展要求：針對(duì)云計(jì)算的特點(diǎn)提出了特殊保護(hù)要求，對(duì)云計(jì)算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。原則性要求包括：應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)；應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定；云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi)，如需境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定。

②移動(dòng)互聯(lián)安全擴(kuò)展要求：針對(duì)移動(dòng)互聯(lián)的特點(diǎn)提出了特殊保護(hù)要求，對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”和“移動(dòng)應(yīng)用軟件開發(fā)”等方面。移動(dòng)互聯(lián)部分通常由移動(dòng)終端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)三部分組成。

③物聯(lián)網(wǎng)安全擴(kuò)展要求：針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出了特殊保護(hù)要求，對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。物聯(lián)網(wǎng)系統(tǒng)通常從架構(gòu)上可分為三個(gè)邏輯層，即感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。物聯(lián)網(wǎng)安全擴(kuò)展要求針對(duì)感知層部分提出特殊保護(hù)要求，網(wǎng)絡(luò)傳輸層和處理應(yīng)用層則使用安全通用要求。

④工業(yè)控制系統(tǒng)安全擴(kuò)展要求：對(duì)工業(yè)控制系統(tǒng)的保護(hù)要求使用安全通用要求和安全擴(kuò)展要求。針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出了特殊保護(hù)要求，對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面，同時(shí)針對(duì)工業(yè)控制系統(tǒng)實(shí)時(shí)性要求高的特點(diǎn)調(diào)整了“漏洞和風(fēng)險(xiǎn)管理”和“惡意代碼防范管理”方面的要求。依據(jù)工業(yè)控制系統(tǒng)的通用模型——國際標(biāo)準(zhǔn)IEC 62264-1(企業(yè)控制系統(tǒng)第一部分：模型和術(shù)語)將工業(yè)控制系統(tǒng)進(jìn)行了層次結(jié)構(gòu)模型劃分，層次模型從上到下共分為5個(gè)層級(jí)，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層，不同層級(jí)的實(shí)時(shí)性要求不同。

4 結(jié)論

習(xí)近平總書記指出，信息化為中華民族帶來的千載難逢的機(jī)遇，必須敏銳抓住信息化發(fā)展的的歷史機(jī)遇，維護(hù)網(wǎng)絡(luò)安全，自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)。本文針對(duì)我國網(wǎng)絡(luò)安全等級(jí)保護(hù)發(fā)展現(xiàn)狀，特別是新時(shí)代下國家等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)體系作了較為全面、深入的闡述與對(duì)比分析，并針對(duì)目前我國等級(jí)保護(hù)工作中面臨的實(shí)際問題進(jìn)行了總結(jié)。綜上所述，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作將永遠(yuǎn)只有進(jìn)行時(shí)，沒有完成時(shí)，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作仍然需要諸多努力才能不斷應(yīng)對(duì)挑戰(zhàn)、與時(shí)俱進(jìn)，才能實(shí)現(xiàn)通過網(wǎng)絡(luò)安全維護(hù)新時(shí)代下的國家安全。