1.5 網絡安全等級保護發展歷程

網絡安全等級保護作為我國法定制度和基本國策，是開展網絡安全工作的有效方法和主要方向。我國網絡安全等級保護經歷了從無到有、從理論到實踐、從行政規定到法律要求的發展過程。具體來講，網絡安全等級保護發展歷程可從等級保護1.0時代和等級保護2.0時代進行闡述。本節主要介紹網絡安全等級保護工作的發展歷程，涉及主要法律法規及政策文件，可為理解等級保護提供一定的幫助。

1.5.1 等級保護1.0時代

等級保護1.0時代簡稱“等保1.0”，即對1994—2014年期間等級保護工作歷史時期的簡稱。等保1.0時代普及了等保基本概念，強化了從業人員安全意識，從單個系統到部門、到行業，再到國家層面，從合規到攻防對抗，整體提升了網絡安全保障能力、技術并且不斷進行人才的積累，為等保2.0時代提供了有力的支撐。在等保1.0時代，等級保護的發展經歷了政策研究階段、開展準備階段和啟動推進階段。

1.政策研究階段

網絡安全等級保護是黨中央、國務院決定在網絡安全領域實施的基本國策，政策研究階段的發展歷程如圖1-2所示。

政策研究階段幾個主要的時間節點如下：

1）1984年，我國開始研究國外等級保護工作開展情況，經過10余年的研究，1994年，國務院頒布147號令《中華人民共和國計算機信息系統安全保護條例》，確定我國實行信息安全等級保護制度，提出解決我國網絡安全問題的方法。

2）1998年12月，公安部會同相關國家部門起草了《計算機信息系統安全保護等級制度建設綱要》，確立安全保護等級制度的主要適用范圍、建設目標、原則任務和實施步驟及措施等主要問題。

3）1999年，國家強制性標準GB 17859—1999《計算機信息系統 安全保護等級劃分準則》發布，明確將計算機信息安全劃分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級5個級別，計算機信息系統安全保護能力隨安全級別的增高逐漸增強。

4）2000年，國家發展計劃委員會正式印發、批復、同意公安部主持開展《計算機信息系統安全保護等級評估認證體系及互聯網絡電子身份認證管理與安全保護平臺試點》項目建設的任務，為實施《計算機信息系統 安全保護等級劃分準則》提供了基本條件。

5）2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號）明確指出“國家實行信息安全等級保護”，標志著等級保護從一項計算機信息系統實行的安全等級保護制度提升到國家信息安全保障工作的基本制度。

在政策研究階段，國務院頒布的147號令《中華人民共和國計算機信息系統安全保護條例》和中辦發〔2003〕27號文《國家信息化領導小組關于加強信息安全保障工作的意見》為等級保護工作的順利開展營造了良好的環境。

2.開展準備階段

在政策研究形成初步效果后，2004—2006年，我國進入等級保護開展準備階段。該階段標志性的文件有兩個：

1）《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）。該文件于2004年由公安部聯合國家保密局、國家密碼管理局、國務院信息化辦公室發布，明確貫徹落實等級保護制度的基本原則，并確定了等級保護工作的基本內容、工作要求和實施計劃，以及各部門的工作職責和分工等。

2）《關于開展信息安全等級保護試點工作的通知》（公信安〔2006〕573號）。該文件于2006年由公安部、國家保密局、國家密碼管理局、國務院信息化辦公室聯合下發，并在13個省區市和3個部委聯合開展了信息安全等級保護試點工作，期間共涉及6萬多家單位合計11萬多個信息系統的等級保護基礎調查和等級保護工作開展。

等級保護試點工作的開展對掌握全國信息系統的基本情況和等級保護工作模式具有重要意義，并對等級保護工作的開展方法、思路以及規范標準進行全面的檢驗和完善，為全面開展等級保護工作奠定了基礎，故稱該階段為“等級保護開展準備階段”。

3.啟動推進階段

自2007年以來，國家正式啟動等級保護工作，等級保護工作邁入一個新的階段，以全面推進等級保護工作的開展。該階段主要經歷下列4個重要節點：

1）等級保護管理辦法出臺。2007年6月，公安部、國家保密局、國家密碼管理局、國務院聯合出臺了《信息安全等級保護管理辦法》（公通字〔2007〕43號），明確等級保護制度的基本內容、流程及工作要求，為開展等級保護工作提供了規范保障；同年7月，國家發布《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安〔2007〕861號），確定信息安全等級保護這項工作正式開始實施。

2）等級保護核心標準發布。2008年，國家發布《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）和《信息安全技術 信息系統安全等級保護定級指南》（GB/T 22240—2008）兩項重要的等級保護標準，為推動等級保護工作開展實施提供了基本方法。

3）等級測評體系建立。2009年7月起，公安部組織開展信息安全等級保護測評體系建設，于2010年3月發布了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》，為全面推進等級保護測評工作的開展指明了方向，并提出了等級保護工作的階段性目標。

4）等級保護工作全面開展。2010年12月，公安部聯合國務院國有資產監督管理委員會出臺《關于進一步推進中央企業信息安全等級保護工作的通知》，要求中央企業貫徹落實等級保護制度。自此，我國各行業網絡安全等級保護工作全面展開，進入規模化深入推進階段。

1.5.2 等級保護2.0時代

等級保護在網絡安全保障、網絡強國建設方面有著重要的作用。隨著信息化的發展，以及云計算、大數據、物聯網、工業控制等新技術的應用，開展等級保護工作出現了新的問題。為適應新應用、新技術的發展，解決云計算、大數據、物聯網、移動互聯和工業控制系統開展等級保護工作中存在的問題，2014年3月，公安部組織開展信息技術領域等級保護主要標準的申報、修訂工作，等級保護正式邁向2.0時代。等級保護2.0時代，簡稱“等保2.0”，是2014年后行業內對等級保護工作的簡稱。等保2.0主要經歷了以下兩個階段。

1.法制化階段

2017年6月以來，等級保護制度正式進入法制化階段。《網絡安全法》（第二十一條）規定國家實行網絡安全等級保護制度。網絡安全等級保護制度自2017年6月1日起上升至法律地位，網絡安全等級保護工作進入法制化階段。

2.等保2.0實施階段

2017年初，全國信息安全標準化技術委員會發布《網絡安全等級保護基本要求》《網絡安全等級保護測評要求》等系列標準的“征求意見稿”，經過兩年多時間的反復修改，在綜合采納和吸收各方意見的基礎上，國家市場監督管理總局和國家標準化管理委員會于2019年5月10日正式發布網絡安全等級保護的三大核心標準：《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070—2019）、《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448—2019）。這標志著等級保護正式進入2.0時代，正式開啟網絡安全等級保護2.0工作的新實施階段。

2020年7月，為進一步推進等級保護工作的開展、實施，公安部研究并制定了公網安〔2020〕1960號《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，提出深入貫徹落實等級保護制度的要求。

【本章小結】

本章主要介紹了國內外的網絡安全形勢、我國當前面臨的網絡安全問題、等級保護的意義，以及等級保護1.0時代和等級保護2.0時代的發展歷程等背景知識。等級保護制度作為我國網絡安全工作的一項基本制度，經歷了從無到有、從理論到實踐、從行政規定到法律要求的發展過程，可以劃分為等級保護1.0和等級保護2.0兩個階段，對加強我國網絡安全保障工作，提升網絡安全保護能力具有重要意義。通過本章學習，讀者應能對等級保護制度有基本了解，為后續章節的學習打下基礎。