网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
在当今数字化时代,网络安全已成为国家安全、社会稳定和经济发展的重要基石。网络安全等级保护制度作为我国网络安全保障体系的核心组成部分,对于提升国家整体网络安全防护能力具有关键作用。其中,等级保护工作、分级保护工作和密码管理工作是该制度下的三个重要方向,它们既相互关联又各有侧重,共同构建起网络安全防护的坚固防线。本文将深入探讨这三者之间的关系,帮助读者更好地理解网络安全等级保护制度的内涵与实践。
一、等级保护工作:网络安全防护的基础框架
(一)等级保护工作的定义与范畴
等级保护工作,依据《信息安全等级保护管理办法》(常称 43 号文),是指对非涉密信息系统分等级实行安全保护,并对其实施过程进行监督、管理。它涵盖了信息系统的定级、备案、建设整改、等级测评以及监督检查五个规定动作,贯穿信息系统全生命周期。信息系统运营、使用单位需依据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度等因素,自主确定系统的安全保护等级,共分为五级,从第一级到第五级,安全保护要求逐级增高。
(二)等级保护工作的实施流程
- 定级:信息系统运营、使用单位按照《信息系统安全等级保护定级指南》,综合考虑系统的重要性和受损后的危害程度确定安全保护等级。有主管部门的,需经主管部门审核批准;拟确定为第四级以上信息系统的,还应请国家信息安全保护等级专家评审委员会评审。
- 备案:已运营(运行)的第二级以上信息系统,应在安全保护等级确定后 30 日内,由运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,则在投入运行后 30 日内完成备案。备案时需填写《信息系统安全等级保护备案表》,第三级以上信息系统还需提供系统拓扑结构及说明、安全组织机构和管理制度等相关材料。
- 建设整改:运营、使用单位依据国家信息安全等级保护管理规范和技术标准,使用符合规定、满足对应等级需求的信息技术产品,参照《计算机信息系统安全保护等级划分准则》(GB17859 - 1999)、《信息系统安全等级保护基本要求》等标准,同步建设符合该等级要求的信息安全设施,并制定落实相应安全管理制度。
- 等级测评:信息系统建设完成后,运营、使用单位或其主管部门应选择符合条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准定期开展等级测评。第三级信息系统每年至少进行一次,第四级信息系统每半年至少进行一次,第五级信息系统依据特殊安全需求进行。经测评,若系统安全状况未达要求,运营、使用单位需制定方案整改。
- 监督检查:公安机关负责信息安全等级保护工作的监督、检查、指导,对信息系统的备案情况进行审核,对不符合要求的通知备案单位纠正,发现定级不准的要求重新定级。同时,对信息系统运营、使用单位落实等级保护工作的情况进行监督检查,确保各项安全措施有效实施。
二、分级保护工作:涉密信息系统的专属防护
(一)分级保护工作的定义与适用范围
分级保护工作主要针对存储、处理国家秘密的计算机信息系统(涉密信息系统),按照涉密程度实行分级保护。它是等级保护工作中有关保密工作的重要组成部分,统属于等级保护制度大体系。在《信息安全等级保护管理办法》的第四章中,明确了涉密信息系统的分级保护管理等内容。涉密信息系统建设使用单位应依据国家信息安全等级保护的基本要求,结合国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,对系统进行保护。
(二)分级保护工作的实施要点
- 系统定级:涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。建设使用单位需在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准 BMB17 - 2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可分别确定保护等级,且保密工作部门和机构应监督指导准确、合理定级。
- 方案设计与实施:涉密信息系统建设使用单位应选择具有涉密集成资质的单位承担或参与系统的设计与实施。依据分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。例如,机密级涉密信息系统的保护水平应不低于等级保护第四级要求,在身份鉴别、访问控制、安全审计等方面采取更为严格的技术和管理措施。
- 监督管理:国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导,确保涉密信息系统在规划设计、建设整改、运行使用各个环节,严格遵守国家法律法规和保密标准,保障国家秘密信息的安全。
三、密码管理工作:网络安全的核心支撑
(一)密码管理工作的定义与重要性
密码管理工作在网络安全等级保护中占据核心地位,它通过对信息安全等级保护的密码实行分类分级管理,为信息系统提供保密性、完整性和真实性保障。国家密码管理部门依据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等因素,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护时,需遵照《信息安全等级保护密码管理办法》《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
(二)密码管理工作的实施要求
- 密码分类分级:根据信息系统的安全保护等级和实际安全需求,对密码进行分类分级管理。例如,对于第一级、第二级信息系统,可采用相对基础的密码技术和产品满足基本安全需求;而对于第三级及以上信息系统,特别是涉及重要敏感信息或国家安全的系统,则需采用高强度、高安全性的密码算法、产品和服务,确保信息在存储、传输和处理过程中的保密性和完整性。
- 密码应用与评估:关键信息基础设施运营者以及法律、行政法规和国家有关规定要求使用商用密码进行保护的信息系统,其运营者需使用商用密码进行保护,并自行或委托商用密码检测机构开展商用密码应用安全性评估。该评估应与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。各级密码管理部门可定期或不定期对信息系统等级保护工作中密码配备、使用和管理情况进行检查和测评,对于重要涉密信息系统的密码配备、使用和管理情况,每两年至少进行一次检查和测评。如发现存在安全隐患、违反密码管理规定或未达密码相关标准要求的,将按照国家密码管理的相关规定进行处置。
四、三者之间的关系剖析
(一)等级保护工作与分级保护工作的关系
- 客体互斥:等级保护工作主要针对非涉密信息系统,分级保护工作聚焦于涉密信息系统,二者的保护客体相互排斥,一个信息系统不可能既属于非涉密的等级保护范畴,又属于涉密的分级保护范畴。
- 制度同源:尽管针对不同类型系统,但分级保护工作本质上是等级保护制度下有关保密工作的特定体现,二者都遵循等级保护制度的总体框架和要求。分级保护工作在法规和规范上有其独立性,但总体统属在等级保护制度之内,且分级保护的信息系统保护水平与等级保护的部分级别相对应,如机密级涉密信息系统保护水平不低于等级保护第四级。
- 管理协同:在实际管理中,公安部门负责等级保护工作的整体监督、检查、指导,保密部门负责分级保护工作中保密相关工作的监督、检查、指导,二者在等级保护制度的大框架下协同合作,共同保障不同类型信息系统的安全。
(二)等级保护工作与密码管理工作的关系
- 相互关联:等级保护工作和密码管理工作存在紧密交集。密码作为保障信息系统安全的重要技术手段,在等级保护的各个环节都发挥着关键作用。从信息系统的建设整改阶段,就需根据系统安全保护等级,按照密码管理规定和相关标准,选用合适的密码技术、产品和服务;在等级测评过程中,也会对密码的配备、使用和管理情况进行检查评估,确保其符合相应等级保护要求。
- 法规协同:《信息安全等级保护管理办法》和《密码法》共同为等级保护工作与密码管理工作提供法规依据,二者都指向《网络安全法》中有关落实等级保护制度的要求,从不同角度规范和保障信息系统的安全。例如,《密码法》规定关键信息基础设施运营者使用商用密码进行保护并开展安全性评估,这与等级保护中对关键信息基础设施的安全要求相互呼应,共同构建起关键信息基础设施的安全防护体系。
- 目标一致:二者的最终目标都是提升信息系统的安全防护能力,保障信息系统的安全稳定运行,维护国家安全、社会稳定和公共利益。
(三)分级保护工作与密码管理工作的关系
- 密码支撑:密码管理工作为分级保护工作提供核心技术支撑。涉密信息系统由于处理国家秘密信息,对保密性、完整性和真实性要求极高,必须依靠高强度的密码技术、产品和服务来保障信息安全。在分级保护工作的方案设计和实施过程中,需根据涉密信息系统的密级和安全需求,严格按照密码管理规定,选用符合相应标准的密码算法、设备和密钥管理系统等,确保国家秘密信息在存储、传输和处理过程中的安全性。
- 管理协同:国家保密工作部门和国家密码管理部门在分级保护工作中协同管理。保密部门负责监督检查分级保护工作中的保密管理措施落实情况,密码管理部门则负责对密码相关工作进行监督、检查和指导,二者相互配合,共同确保涉密信息系统的安全。例如,在对涉密信息系统进行检查时,保密部门关注系统整体保密管理情况,密码管理部门重点检查密码配备、使用和管理是否合规,通过协同管理,形成完整的涉密信息系统安全防护管理体系。
网络安全等级保护制度下的等级保护工作、分级保护工作和密码管理工作,各自承担着独特而重要的职责,相互交织、协同作用,共同构成我国网络安全防护的坚实体系。等级保护工作为各类非涉密信息系统奠定了全面的安全防护基础,分级保护工作则为涉密信息系统提供了专门的保密防护,密码管理工作作为核心支撑,贯穿于两者之中,为信息的保密性、完整性和真实性提供关键保障。
随着信息技术的飞速发展,网络安全威胁日益复杂多变,对网络安全等级保护工作提出了更高的要求。未来,这三项工作需进一步加强协同创新。在技术层面,不断推动密码技术与等级保护、分级保护技术的深度融合,研发更先进、更安全、更高效的密码算法和产品,以应对新型网络安全挑战;在管理层面,进一步优化公安、保密、密码等部门之间的协作机制,加强信息共享和联合监管,提高工作效率和监管效能;在标准规范层面,持续完善等级保护、分级保护和密码管理相关标准体系,使其更加适应新技术、新应用的发展需求,为我国网络安全保障体系的建设提供更有力的支撑,切实维护国家网络空间安全和信息安全。