1.5　我國的網絡安全等級保護和涉密信息系統分級保護

我國的網絡安全等級保護與涉密信息系統分級保護是兩個既有聯系又有區別的概念。網絡安全等級保護，重點保護的對象是非涉密的涉及國計民生的重要信息系統和通信基礎信息系統；涉密信息系統分級保護是國家網絡安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

1.5.1　網絡安全等級保護

2003年，國家信息化領導小組通過了我國信息安全保障工作的重要政策性指導文件《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號），文件中提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。2004年，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合下發了《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66號），明確了信息安全等級保護的重要意義、原則、基本內容、工作職責分工、要求和實施計劃。在職能分工上，公安機關負責信息安全等級保護工作的監督、檢查和指導；國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查和指導；國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查和指導；國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間的協調。2007年公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室頒布實施《信息安全等級保護管理辦法》（公通字〔2007〕43號）及其配套的標準《信息系統安全等級保護定級指南》（GB/T 22240—2008）。

在2017年6月1日《中華人民共和國網絡安全法》（簡稱《網絡安全法》）開始正式實施以后，信息安全等級保護體系全面升級為網絡安全等級保護，等級保護進入2.0時代。2019年5月，《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）發布，并于2019年12月1日開始正式實施。

《網絡安全法》強調在網絡安全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護，明確關鍵信息基礎設施的運營者負有更多的安全保護義務，并配以國家安全審查、重要數據強制本地存儲等法律措施，確保關鍵信息基礎設施的運行安全。

《網絡安全法》第二十一條明確要求，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。

《網絡安全法》第三十一條明確要求，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

網絡安全等級保護的對象是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，主要包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高被劃分為以下五個安全保護等級。

（1）第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

（2）第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

（3）第三級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

（4）第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

（5）第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

對于基礎信息網絡、云計算平臺、大數據平臺等支撐類網絡，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。《網絡安全等級保護定級指南》規定，原則上，大數據安全保護等級不低于第三級。對于確定為關鍵信息基礎設施的，原則上，其安全保護等級不低于第三級。

網絡安全等級保護的核心是保證不同安全保護等級的對象具有相適應的安全保護能力。網絡安全等級保護從技術和管理兩個方面提出安全要求，強調對等級保護對象的安全防護應考慮從通信網絡到區域邊界再到計算環境的從外到內的整體防護。同時，還要考慮對其所處的物理環境的安全防護，形成縱深防御體系。對級別較高的等級保護對象還需要考慮對分布在整個系統中的安全功能或安全組件的集中技術管理手段，以保證等級保護對象整體的安全保護能力。

1.5.2　涉密信息系統分級保護

2004年12月，中央保密委員會下發了《關于加強信息安全保障工作中保密管理的若干意見》（中保委發〔2004〕7號），明確提出建立健全涉密信息系統分級保護制度。2005年12月，國家保密局下發了《涉及國家秘密的信息系統分級保護管理辦法》，同時，《中華人民共和國保守國家秘密法》修訂草案也增加了網絡安全保密管理的條款。

不同類別、不同層次的國家秘密信息，對于維護國家安全和利益具有不同的價值，因而需要不同的保護強度和措施。對不同密級的信息，應當合理平衡安全風險與成本，采取不同強度的保護措施。

涉密信息系統實行分級保護，先要根據涉密信息的涉密等級、涉密信息系統的重要性、遭到破壞后對國計民生造成危害的程度，以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級；涉密信息系統分級保護的核心是對信息系統安全進行合理的分級、按標準進行建設、管理和監督。國家保密局專門對涉密信息系統的分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是《涉及國家秘密的信息系統分級保護技術要求》（BMB 17—2006）和《涉及國家秘密的信息系統分級保護管理規范》（BMB 20—2007）。這兩個標準從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統實施明確的分級保護措施，從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。

涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級。

（1）秘密級：信息系統中包含最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。

（2）機密級：信息系統中包含最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級（增強）的要求：信息系統的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門；信息系統中的機密級信息含量較高或數量較多；信息系統使用單位對信息系統的依賴程度較高。

（3）絕密級：信息系統中包含最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求。絕密級信息系統應限定在封閉的安全可控的獨立建筑內，不能與城域網或廣域網相連。