浅析网络等级保护制度的发展和工作流程

一、网络安全形势与等级保护1.0 时代

随着信息技术和网络的快速发展，国家安全的边界已经超越了地理空间的限制，拓展到信息网络，网络安全成为事关国家安全的重要问题。近年来，网络安全威胁态势日趋严峻复杂。高级持续性威胁(APT)日益猖獗，有国家背景的黑客组织持续针对关键信息基础设施和政府部门进行长期、隐蔽的网络攻击，旨在窃取敏感信息、破坏系统稳定或进行间谍活动；大企业勒索软件威胁持续高发，勒索软件攻击依然是全球企业和机构面临的“头号公敌”。攻击者手法不断进化，如双重勒索、三重勒索，目标选择更精准，重点攻击大型组织、关键行业，赎金金额和破坏性急剧攀升。大规模的数据泄露事件频发，个人隐私、商业机密甚至国家安全信息面临严重威胁。

我国信息化建设存在重建设，轻维护的问题，早期各单位网络安全防护意识相对淡薄。1994 年，国务院颁布的 147 号令《中华人民共和国计算机信息系统安全保护条例》规定我国计算机信息系统实行安全等级保护，由此进入等级保护1.0 时代。

此条例有利于在信息化建设过程中同步建设网络安全，保障网络安全与信息化建设协同发展，可以优化我国网络安全资源分配，对网络和信息系统实施分等级、重点保护，实现“适度安全、保护重点”的目的，明确国家、法人和其他组织、公民的安全责任，加强网络安全管理，有效提高我国网络安全保障工作的整体水平。

二、网络安全法：等级保护2.0 时代

2017 年 6 月 1 日，我国首部网络安全领域的法律——《网络安全法》正式施行，加速了我国网络安全领域的立法工作。《网络安全法》共 7 章 79 条，包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任和附则，其确立了网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则。

为了深化落实网络安全等级保护制度，《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了网络安全等级保护制度，要求网络运营者根据网络安全等级保护制度的要求来履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”，将网络安全等级保护制度法制化，在法律层面明确了网络安全等级保护的地位。第五十九条明确指出网络运营者未落实网络安全等级保护制度的，由有关主管部门责令改正、给予警告，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。可以说网络安全等级保护在《网络安全法》的指导下，已上升至法律地位，是《网络安全法》的重要抓手。对于网络和信息系统运营者而言，不开展等级保护工作相当于违法，要面临监管部门的处罚。

与等级保护1.0 相比，等级保护2.0 在名称、保护对象、基本要求、结构、控制点、等级测评结论、定级及测评方式等多方面都有变化。等级保护 2.0 的主要特点包括两个全覆盖、结构统一、强化可信计算三个部分。两个全覆盖指的是网络安全等级保护制度实现了对行业的全覆盖，并且将云计算、移动互联、物联网、工业控制系统、大数据等列入标准范围，实现了等级保护对象的全覆盖。结构统一指的是要求同步修订、同时发布，并统一结构，即“一个中心，三重防护”的体系架构。强化可信计算指的是在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”安全点。

三、网络安全等级保护工作流程

1. 定级和备案

网络安全等级保护工作流程包括定级、备案、建设整改、等级测评和监督检查 5 项规定动作。网络安全等级保护定级是开展网络安全等级保护的首要工作，定级是否合理对网络安全等级保护工作的开展具有决定性作用。

定级流程是确定定级的信息系统、建设单位初步确定安全等级、专家评审、主管部门审核和公安机关备案审核。定级不同，建设成本、后期维护成本也相差较大，所以建设单位一般倾向于往低定级，减少建设和维护信息系统的资金压力。但按照要求，安全保护等级初步确定为第二级及以上的建设单位须组织专家评审自主定级的级别是否准确，再报主管部门核准和公安机关备案审核，最终确定其安全保护等级。同时按照公安机关备案审查要求，建设单位应将初步定级结果在10 日内提交公安机关进行备案审查。审查不通过，建设单位应组织重新定级；审查通过后，最终确定建设单位的安全保护等级。

2. 网络安全保护等级划分与确定

《计算机信息系统安全保护等级划分准则》(GB17859-1999) 和《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020) 这两个标准都对网络和信息系统进行了等级划分。一般情况下，网络安全保护等级划分依据 GB/T22240-2020 进行。

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

a）第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；

b）第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

c）第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

d）第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

e）第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

3. 建设整改、等保测评和监督检查

网络安全等级保护建设整改一共包含 4 个部分：1）确定信息系统范围 2）安全隐患分析：分析信息系统的现状与安全隐患，结合网络等级测评要求，找出现有系统的安全措施与安全标准之间的差距，确定相应等级所需要的安全措施，保证设计的安全方案能够满足网络安全等级保护的基本要求 3）详细设计：根据安全隐患分析，设计详细的建设整改方案。该方案需经专家评审论证，三级以上报公安机关审核。4）工程实施

等级测评是通过邀请专业的第三方测评机构，根据网络安全等级保护制度规定，依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 等标准，对信息系统的安全等级进行检测评估的活动。整个流程包括：测评前的准备、方案编制、现场测评、分析与编制测评报告。

等级保护监督检查工作有自查和上级部门监查两种形式。建设单位通过等保测评后仍须定期开展自查，每年 1 至 2 次，行业主管部门督导检查建设单位做好定级备案、定期自查、重新测评等工作，等保三级及以上建设单位由备案的公安机关进行定期检查。

参考文献

[1] 网络安全等级保护制度的形成与发展 [J]. 中国防伪报道 ,2024,(11):61-62.

[2] 刘恩锴 . 探讨网络安全等级保护与其实施策略 [J]. 中国新通信 ,2024,26(10):11-13.3

[3] 刘举彬, 来宝友. 网络安全等级保护测评体系的研究与实践[J].网络安全和信息化 ,2024,(09):151-153.

作者简介：姓名韩剑（出生年份—1988），性别男，民族汉，籍贯( 湖北省武汉市)，职务/ 职称 工程师，学历大学本科，单位 ，研究方向：信息化