2.5 我國信息安全等級化發展歷程

國家高度重視信息安全保護工作。經黨中央和國務院批準，國家信息化領導小組決定加強信息安全保障工作，實行信息安全等級保護，重點保護基礎信息網絡和重要信息系統安全，要抓緊安全等級保護制度建設。這一重大決定，明確落實了《中華人民共和國計算機信息系統安全保護條例》中關于實行信息安全等級保護制度的有關規定，提出了從整體上根本上解決國家信息安全問題的辦法，進一步確定了信息安全發展主線、中心任務，提出了總要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效方法及信息安全保護工作的發展方向[15]，主要分為4個階段[16,17]。

1.前期儲備階段

我國于20世紀80年代末開始研究信息系統安全防護問題，早在1984年就開始研究國外等級保護的相關工作。

1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》，規定計算機信息系統實行安全等級保護。這一重大決定，明確了關于實行信息安全等級保護制度的有關規定，提出從整體上、根本上解決國家信息安全問題的辦法。1994年的《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）被視為中國實施等級保護的法律基礎。

1999年，國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》頒布[2]，提出從整體上、根本上、基礎上來解決等級保護問題，對計算機信息系統安全保護能力劃分為5個等級：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級，計算機信息系統安全保護能力隨著等級的增高逐漸增強[18]。1999年發布的強制性國標《計算機信息系統安全保護等級劃分準則》（GB17859）是我國等級保護的技術基礎和依據。GB17859標準參照TCSEC，取消了D級和A1級，保留5個定級，保留TCSEC的全部安全功能點，并增加了少量有關數據完整性和網絡信息傳輸的要求。像TCSEC一樣，GB17859用于對計算機信息系統安全保護技術能力等級的劃分，安全保護能力隨著安全保護等級的增高逐漸增強，構成金字塔結構，低等級要求是高等級要求的真子集[9]。

國內的主要測評機構都沒有用GB17859做產品等級測評依據，直接用于測評信息系統的是由它衍生的一系列標準，如《信息安全技術網絡基礎安全技術要求》（GB/T20270）、《信息安全技術信息系統通用安全技術要求》（GB/T20271）、《信息安全技術操作系統安全技術要求》（GB/T20272）以及《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2006）等[9]。

在GB17859的唯一強制性國標地位確定之后，我國也引入了ISO/IEC 15408，即《信息技術安全性評估準則》（GB/T18336）。已經有一些測評中心使用該標準測評信息系統。此外，一批參照國外安全管理標準制定的標準也相繼出臺，如《信息安全技術信息系統安全管理要求》（GB/T20269）《信息安全技術信息系統安全工程管理要求》（GB/T20282）等[9]。

1999年年底，公安部與信息產業部、國家安全部、國家保密局、國家密碼管理委員會等相關部門起草了《計算機信息系統安全保護等級制度建設綱要》，初步確立了安全保護等級制度的主要適用范圍、建設目標、建設原則、建設任務、實施步驟及措施等主要問題[19]。

2000年11月10日，國家發展計劃委員會正式向公安部印發批復，同意將計算機信息系統安全保護等級評估認證體系建設項目列入2000年國家高技術產業發展項目計劃。建設內容包括在北京和上海分別建立信息產品安全保護等級檢測中心和計算機信息系統安全保護等級評估中心等。目標是初步建立我國計算機信息系統安全等級保護監督管理系統[20]，為實施《計算機信息系統安全保護等級劃分準則》提供基本條件。2003年，中共中央辦公廳、國務院辦公廳轉發了《國務院信息化領導小組關于加強信息安全保障的意見》（中辦發[2003]27號），再次強調對信息安全進行等級保護，提出“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”[21]。

2.預備階段

2004年公安部聯合國家保密局、國家密碼管理局、國家保密委員會和國務院信息化工作辦公室發布《關于信息安全等級保護工作的實施意見》（公通字[2004]66號），對信息安全等級保護的基本制度框架進行了規劃。2005年底，公安部和國務院信息化工作辦公室聯合印發了《關于開展信息系統安全等級保護基礎調查工作的通知》（公信安[2005]1431號）[22]。2006年上半年，公安部會同國信辦在全國范圍內開展了信息系統安全等級保護基礎調查。通過基礎調查，基本摸清和掌握了全國信息系統特別是重要信息系統的基本情況，為制定信息安全等級保護政策奠定了堅實的基礎。

2006年6月，公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發了《關于開展信息安全等級保護試點工作的通知》（公信安[2006]573號）。在13個省區市和3個部委聯合開展了信息安全等級保護試點工作。通過試點，完善了開展等級保護工作的模式和思路，檢驗和完善了開展等級保護工作的方法、思路、規范標準，探索了開展等級保護工作領導、組織、協調的模式和辦法，為全面開展等級保護工作奠定了堅實的基礎[23]。

3.等級保護工作全面實施階段

2007年6月，公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯合下發了《信息安全等級保護管理辦法》（公通字[2007]43號），對信息安全等級的劃分與保護、等級保護的實施與管理、法律責任進行了規定。同年7月，下發《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）對重要信息系統安全等級保護定級工作提出要求，召開全國重要信息系統定級電視電話會議，部署在全國范圍內開展重要信息系統安全等級保護定級工作。隨著43號文件的發布，中國信息安全等級保護建設進入一個新階段。作為一個標志性的國標，《信息安全技術信息系統安全等級保護基本要求》（GB/T22239-2008）的發布為信息等級測評提供了具體的等級測評標尺，成為等級保護的一個路標。該標準以信息安全的5個屬性為基本內容，從實現信息安全的5個層面，按照信息安全5個等級的不同要求，分別對安全信息系統的構建過程、測評過程和運行過程進行控制和管理，實現對不同信息類別按不同要求進行分等級安全保護的總體目標。對于信息系統的生產和運營廠商來說，這個標準指出了信息系統要達到其應當具有的安全保護能力必須加強的要點，對于安全主管單位來說，這個標準給出了測評的檢查清單。從GB/T22239中也可以看到關于GB17859的影響：GB/T22239對網絡、主機和應用層的技術要求大體上采取了GB17859的說法（GB17859中的“客體重用”在GB22239中被稱為“剩余信息保護”）。從對應關系上看，GB/T22239的第一、二、三、四級分別對應GB17859的第一、二、三、四級[23]。

GB/T22239結構清晰，要點清楚，可操作性強為標準的實施打下了良好的基礎。該標準表明：我國的等級保護思想已經從信息產品的安全性和可信度測評轉向信息系統的安全保護能力測評[23]，這是一個包含物理環境、安全技術、安全管理和人員安全等各個方面的全面、綜合、動態的測評。

與GB/T22239配套的國標還有《信息系統安全保護等級定級指南》（GB22240）、《信息系統等級保護安全設計技術要求》（GB/T25070）等，以及已經報批的《信息系統安全等級保護實施指南》和《信息系統安全等級保護測評要求》等。經過多年的建設，現在的等級保護體系已蔚然大觀。

4.等級保護工作深化推進階段

2010年4月，公安部出臺了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》，提出等級保護工作的階段性目標。2010年12月，公安部和國務院國有資產監督管理委員會聯合出臺了《關于進一步推進中央企業信息安全等級保護工作的通知》，要求中央企業貫徹執行等級保護工作。

目前，根據國家信息化領導小組的統一部署和安排，我國將在全國范圍內全面開展信息安全等級保護工作，相關主管部門也相繼推出了許多政策與措施。2004年11月四部委聯合簽署《關于信息安全等級保護工作的實施意見》（公通字[2004]66號），2005年公安部標準《信息系統安全等級保護基本要求》《信息系統安全等級保護定級指南》《信息系統安全等級保護實施指南》《信息系統安全等級保護測評準則》等相繼頒布，2006年1月四部委會簽《關于印發信息安全等級保護管理辦法的通知》等，這些政策的相繼出臺為國內各單位實施信息安全等級保護工作提供了指導與要求。

我國實行等級保護制度主要基于以下方面考慮。

一方面是國家的要求。我國現在總體安全形勢比較嚴峻，引發信息安全問題的因素有諸多方面。如信息安全保護工作組織管理制度不夠健全，安全責任制落實不到位，專業人才比較缺乏，總體技術比較落后，導致管理不規范、安全管理與技術規范不統一、配套體系不完善等，尤其是核心技術嚴重依賴于外部進口等，因此導致國家對信息安全狀況很難有效把握。

另一方面，信息系統管理者、建設者、使用者也面臨許多安全問題，例如，如何搞好信息系統安全建設和管理，信息系統安全究竟存在什么問題、如何改進、需要多少投資等；科研和業務單位應開發生產什么樣的安全產品，信息安全職能部門如何進行有效監督、檢查評估、服務指導等；信息安全專家對安全產品審查如何給定評審結果意見。對這些問題缺乏認識，不能給出有效的解決辦法等，勢必會影響到國家信息化建設、國家安全等。

為解決上述安全問題，國家頒布了27號文件，明確規定我國信息安全的戰略目標是建設國家信息安全保障體系，計劃用5年的時間完成?？傮w戰略方針是積極防御和綜合防范，其中比較重要的一項是等級保護制度；頒布的66號文件將等級保護制度確認為國家信息安全的基本制度，安全工作的根本方法。

等級保護理論的技術演進過程如圖2-2所示。

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

根據信息和信息系統在國家安全、經濟建設、社會活動中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度，針對信息的保密性、完整性、可用性要求及信息系統必須達到的基本的安全保護水平等因素，依據《計算機信息系統安全保護等級劃分準則》（GB17859-1999）[1]，信息系統可以分為5個安全等級，國家對不同級別的信息系統實行不同強度的監管政策。

（1）第一級為自主保護級

主要對象為一般的信息系統，其業務信息安全性或業務服務保證性受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益；本級系統依照國家管理規范和技術標準進行自主保護。

（2）第二級為指導保護級

主要對象為一般的信息系統，其業務信息安全性或業務服務保證性受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全；本級系統依照國家管理規范和技術標準進行自主保護[24]，必要時，信息安全監管職能部門對其進行指導。

（3）第三級為監督保護級

主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統，其業務信息安全性或業務服務保證性受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；本級系統依照國家管理規范和技術標準進行自主保護，信息安全監管職能部門對其進行監督、檢查[24]。

（4）第四級為強制保護級

主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統，其業務信息安全性或業務服務保證性受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成損害；本級系統依照國家管理規范和技術標準進行自主保護，信息安全監管職能部門對其進行強制監督、檢查。

（5）第五級為?？乇Ｗo級

主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統的核心子系統，其業務信息安全性或業務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害；本級系統依照國家管理規范和技術標準進行自主保護，國家指定專門部門、專門機構進行專門監督、檢查。信息系統的類型千差萬別、錯綜復雜，大型、復雜的信息系統通常由完成不同使命、承載不同業務、處理不同數據的多個信息系統構成，應根據信息系統的重要程度，分別確定每個信息系統的安全等級。大型、復雜的信息系統應該考慮是由不同安全等級的幾個小型信息系統構成，從而達到對整個信息系統區分保護和重點保護的目的[24]。