1.5 網(wǎng)絡(luò)安全等級保護發(fā)展歷程

網(wǎng)絡(luò)安全等級保護作為我國法定制度和基本國策，是開展網(wǎng)絡(luò)安全工作的有效方法和主要方向。我國網(wǎng)絡(luò)安全等級保護經(jīng)歷了從無到有、從理論到實踐、從行政規(guī)定到法律要求的發(fā)展過程。具體來講，網(wǎng)絡(luò)安全等級保護發(fā)展歷程可從等級保護1.0時代和等級保護2.0時代進行闡述。本節(jié)主要介紹網(wǎng)絡(luò)安全等級保護工作的發(fā)展歷程，涉及主要法律法規(guī)及政策文件，可為理解等級保護提供一定的幫助。

1.5.1 等級保護1.0時代

等級保護1.0時代簡稱“等保1.0”，即對1994—2014年期間等級保護工作歷史時期的簡稱。等保1.0時代普及了等?；靖拍睿瑥娀藦臉I(yè)人員安全意識，從單個系統(tǒng)到部門、到行業(yè)，再到國家層面，從合規(guī)到攻防對抗，整體提升了網(wǎng)絡(luò)安全保障能力、技術(shù)并且不斷進行人才的積累，為等保2.0時代提供了有力的支撐。在等保1.0時代，等級保護的發(fā)展經(jīng)歷了政策研究階段、開展準備階段和啟動推進階段。

1.政策研究階段

網(wǎng)絡(luò)安全等級保護是黨中央、國務(wù)院決定在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┑幕緡撸哐芯侩A段的發(fā)展歷程如圖1-2所示。

政策研究階段幾個主要的時間節(jié)點如下：

1）1984年，我國開始研究國外等級保護工作開展情況，經(jīng)過10余年的研究，1994年，國務(wù)院頒布147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》，確定我國實行信息安全等級保護制度，提出解決我國網(wǎng)絡(luò)安全問題的方法。

2）1998年12月，公安部會同相關(guān)國家部門起草了《計算機信息系統(tǒng)安全保護等級制度建設(shè)綱要》，確立安全保護等級制度的主要適用范圍、建設(shè)目標、原則任務(wù)和實施步驟及措施等主要問題。

3）1999年，國家強制性標準GB 17859—1999《計算機信息系統(tǒng) 安全保護等級劃分準則》發(fā)布，明確將計算機信息安全劃分為用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級5個級別，計算機信息系統(tǒng)安全保護能力隨安全級別的增高逐漸增強。

4）2000年，國家發(fā)展計劃委員會正式印發(fā)、批復(fù)、同意公安部主持開展《計算機信息系統(tǒng)安全保護等級評估認證體系及互聯(lián)網(wǎng)絡(luò)電子身份認證管理與安全保護平臺試點》項目建設(shè)的任務(wù)，為實施《計算機信息系統(tǒng) 安全保護等級劃分準則》提供了基本條件。

5）2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）明確指出“國家實行信息安全等級保護”，標志著等級保護從一項計算機信息系統(tǒng)實行的安全等級保護制度提升到國家信息安全保障工作的基本制度。

在政策研究階段，國務(wù)院頒布的147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》和中辦發(fā)〔2003〕27號文《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》為等級保護工作的順利開展營造了良好的環(huán)境。

2.開展準備階段

在政策研究形成初步效果后，2004—2006年，我國進入等級保護開展準備階段。該階段標志性的文件有兩個：

1）《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）。該文件于2004年由公安部聯(lián)合國家保密局、國家密碼管理局、國務(wù)院信息化辦公室發(fā)布，明確貫徹落實等級保護制度的基本原則，并確定了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門的工作職責(zé)和分工等。

2）《關(guān)于開展信息安全等級保護試點工作的通知》（公信安〔2006〕573號）。該文件于2006年由公安部、國家保密局、國家密碼管理局、國務(wù)院信息化辦公室聯(lián)合下發(fā)，并在13個省區(qū)市和3個部委聯(lián)合開展了信息安全等級保護試點工作，期間共涉及6萬多家單位合計11萬多個信息系統(tǒng)的等級保護基礎(chǔ)調(diào)查和等級保護工作開展。

等級保護試點工作的開展對掌握全國信息系統(tǒng)的基本情況和等級保護工作模式具有重要意義，并對等級保護工作的開展方法、思路以及規(guī)范標準進行全面的檢驗和完善，為全面開展等級保護工作奠定了基礎(chǔ)，故稱該階段為“等級保護開展準備階段”。

3.啟動推進階段

自2007年以來，國家正式啟動等級保護工作，等級保護工作邁入一個新的階段，以全面推進等級保護工作的開展。該階段主要經(jīng)歷下列4個重要節(jié)點：

1）等級保護管理辦法出臺。2007年6月，公安部、國家保密局、國家密碼管理局、國務(wù)院聯(lián)合出臺了《信息安全等級保護管理辦法》（公通字〔2007〕43號），明確等級保護制度的基本內(nèi)容、流程及工作要求，為開展等級保護工作提供了規(guī)范保障；同年7月，國家發(fā)布《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號），確定信息安全等級保護這項工作正式開始實施。

2）等級保護核心標準發(fā)布。2008年，國家發(fā)布《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239—2008）和《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008）兩項重要的等級保護標準，為推動等級保護工作開展實施提供了基本方法。

3）等級測評體系建立。2009年7月起，公安部組織開展信息安全等級保護測評體系建設(shè)，于2010年3月發(fā)布了《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》，為全面推進等級保護測評工作的開展指明了方向，并提出了等級保護工作的階段性目標。

4）等級保護工作全面開展。2010年12月，公安部聯(lián)合國務(wù)院國有資產(chǎn)監(jiān)督管理委員會出臺《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》，要求中央企業(yè)貫徹落實等級保護制度。自此，我國各行業(yè)網(wǎng)絡(luò)安全等級保護工作全面展開，進入規(guī)模化深入推進階段。

1.5.2 等級保護2.0時代

等級保護在網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)強國建設(shè)方面有著重要的作用。隨著信息化的發(fā)展，以及云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制等新技術(shù)的應(yīng)用，開展等級保護工作出現(xiàn)了新的問題。為適應(yīng)新應(yīng)用、新技術(shù)的發(fā)展，解決云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制系統(tǒng)開展等級保護工作中存在的問題，2014年3月，公安部組織開展信息技術(shù)領(lǐng)域等級保護主要標準的申報、修訂工作，等級保護正式邁向2.0時代。等級保護2.0時代，簡稱“等保2.0”，是2014年后行業(yè)內(nèi)對等級保護工作的簡稱。等保2.0主要經(jīng)歷了以下兩個階段。

1.法制化階段

2017年6月以來，等級保護制度正式進入法制化階段。《網(wǎng)絡(luò)安全法》（第二十一條）規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)安全等級保護制度自2017年6月1日起上升至法律地位，網(wǎng)絡(luò)安全等級保護工作進入法制化階段。

2.等保2.0實施階段

2017年初，全國信息安全標準化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全等級保護基本要求》《網(wǎng)絡(luò)安全等級保護測評要求》等系列標準的“征求意見稿”，經(jīng)過兩年多時間的反復(fù)修改，在綜合采納和吸收各方意見的基礎(chǔ)上，國家市場監(jiān)督管理總局和國家標準化管理委員會于2019年5月10日正式發(fā)布網(wǎng)絡(luò)安全等級保護的三大核心標準：《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070—2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448—2019）。這標志著等級保護正式進入2.0時代，正式開啟網(wǎng)絡(luò)安全等級保護2.0工作的新實施階段。

2020年7月，為進一步推進等級保護工作的開展、實施，公安部研究并制定了公網(wǎng)安〔2020〕1960號《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》，提出深入貫徹落實等級保護制度的要求。

【本章小結(jié)】

本章主要介紹了國內(nèi)外的網(wǎng)絡(luò)安全形勢、我國當前面臨的網(wǎng)絡(luò)安全問題、等級保護的意義，以及等級保護1.0時代和等級保護2.0時代的發(fā)展歷程等背景知識。等級保護制度作為我國網(wǎng)絡(luò)安全工作的一項基本制度，經(jīng)歷了從無到有、從理論到實踐、從行政規(guī)定到法律要求的發(fā)展過程，可以劃分為等級保護1.0和等級保護2.0兩個階段，對加強我國網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護能力具有重要意義。通過本章學(xué)習(xí)，讀者應(yīng)能對等級保護制度有基本了解，為后續(xù)章節(jié)的學(xué)習(xí)打下基礎(chǔ)。