网络安全等级保护：分级保护工作解析（非常详细）零基础入门到精通，收藏这一篇就够了

最新推荐文章于 2024-09-04 08:39:12 发布

程序员_大白

最新推荐文章于 2024-09-04 08:39:12 发布

阅读量1.4k

点赞数 13

分类专栏：程序员计算机网络安全文章标签： web安全安全网络

本文链接：https://blog.csdn.net/Python_0011/article/details/140652663

版权

程序员同时被 3 个专栏收录

732 篇文章 126 订阅

订阅专栏

网络安全

686 篇文章 28 订阅

订阅专栏

计算机

634 篇文章 11 订阅

订阅专栏

根据我国网络安全领域基础法《网络安全法》的法律的职责划分，中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。国务院公安部门主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫，此部分为非涉密内容。

而国家保密行政管理部门则主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理。我们可以以我国文化作为类别，儒道佛三家形成了我国的文化脉络，而主脉则是儒家；等级保护工作、分级保护工作、密码管理工作形成我国的等级保护制度，而非涉密网络以其所占的绝对数量，成为网络安全等级保护制度下面的主脉。而每个工作脉络，则都涉及到定级（密码管理工作依附等级保护和分级保护工作）、备案、建设整改、测评、监督检查。

所以，我们的工作是三类，而有些人把测评和商密评估夸大化，有其自身利益和理解。从制度方面讲，等级保护制度涵盖了三个方面，而关基保护制度是基于等级保护制度，数据安全保护制度也是基于等级保护制度。在国内合规工作以《网络安全法》作为基本法律，以《数据安全法》《个人信息保护法》《密码法》《保守国家秘密法》《关键信息基础设施安全保护条例》等为领域特征，形成了我国网络安全保护的法律体系。

在2004四部门发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）对等级保护制度的定义是“分等级”保护，所以这里暗含了一个“分级”，到43号文中拆解为“等级”“分级”，而二者都需要以密码技术作为基础，则三部分内容浑然天成。

今天，我们结合《保守国家秘密法》和《网络安全等级保护条例》（征求意讲稿），同时参照《信息安全等级保护管理办法》等公开文件，简单探讨分级保护工作。

涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。

涉密系统在法律文件中的沿革

中华人民共和国保守国家秘密法（1988修订版）

第十七条属于国家秘密的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁，由国家保密工作部门制定保密办法。

采用电子信息等技术存取、处理、传递国家秘密的办法，由国家保密工作部门会同中央有关机关规定。

中华人民共和国保守国家秘密法（2010修订版）

第二十三条　存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。

涉密信息系统应当按照规定，经检查合格后，方可投入使用。

中华人民共和国保守国家秘密法（2024修订版）

第三十条　存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

涉密信息系统应当按照国家保密规定和标准规划、建设、运行、维护，并配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行。

涉密信息系统应当按照规定，经检查合格后，方可投入使用，并定期开展风险评估。

从以上资料对比，我们可以看到在《保守国家秘密法》的修订过程中，1988版仅仅提出了电子信息概念，并未出现“分级保护”这个概念，指导43号文发布后，在2010年修订后，在《保守国家秘密法》中出现“分级保护”，但是这里没有将其定义为“制度”，同样在2024版修订中，做个更科学严谨的描述，也是未将其定义为“制度”，其原因是分级保护工作本身也是“网络”工作的一部分，国家在网络安全领域实行的只有一个制度，那就是网络安全等级保护制度。

结合《信息安全等级保护管理办法》与后面发布的《网络安全等级保护条例》（征求意见稿）描述，把等级保护制度下面三块内容划分描述为等级保护工作（公安非涉密）、分级保护工作（保密涉密）、密码管理工作（涉密、非涉密。其中核心、普通按照保密要求管理；商用按照非涉密要求管理），具体参考《密码法》。

分级保护工作方法论

【网络定级】涉密网络运营者应当依法确定涉密网络的密级，通过本单位保密委员会（领导小组）的审定，并向同级保密行政管理部门备案。

【方案审查论证】涉密网络运营者规划建设涉密网络，应当依据国家保密规定和标准要求，制定分级保护方案，采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。

【建设管理】涉密网络运营者委托其他单位承担涉密网络建设的，应当选择具有相应涉密信息系统集成资质的单位，并与建设单位签订保密协议，明确保密责任，采取保密措施。

【信息设备、安全保密产品管理】涉密网络中使用的信息设备，应当从国家有关主管部门发布的涉密专用信息设备名录中选择；未纳入名录的，应选择政府采购目录中的产品。确需选用进口产品的，应当进行安全保密检测。

涉密网络运营者不得选用国家保密行政管理部门禁止使用或者政府采购主管部门禁止采购的产品。

涉密网络中使用的安全保密产品，应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品，密码产品应当选用国家密码管理部门批准的产品。

【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估，并经设区的市级以上保密行政管理部门审查合格，方可投入使用。

涉密网络运营者在涉密网络投入使用后，应定期开展安全保密检查和风险自评估，并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次，机密级和秘密级网络每两年至少进行一次。

公安机关、国家安全机关涉密网络投入使用的管理，依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。

【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度，组建相应管理机构，设置安全保密管理人员，落实安全保密责任。

【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度，发现安全风险隐患的，应及时采取应急处置措施，并向保密行政管理部门报告。

【涉密网络重大变化的处置】有下列情形之一的，涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施：

（一）密级发生变化的；

（二）连接范围、终端数量超出审查通过的范围、数量的；

（三）所处物理环境或者安全保密设施变化可能导致新的安全保密风险的；

（四）新增应用系统的，或者应用系统变更、减少可能导致新的安全保密风险的。

对前款所列情形，保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。

【涉密网络废止的处理】涉密网络不再使用的，涉密网络运营者应当及时向保密行政管理部门报告，并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。

分级保护监督管理

【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理，负责对非涉密网络的失泄密行为的监管。发现存在安全隐患，违反保密法律法规，或者不符合保密标准保密的，按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。

后记：在开展工作中，各监管部门与参与机构是各司其职，独立运行，并行不悖的。然而在总体国家安全观以及《网络安全法》下的网络概念下，任意割裂等级保护制度或者把等级保护测评等同于等级报工作，把等级保护工作等同于等级保护制度，都是不准确不明智的行为。开展工作，根据自己所长应当理清概念，扎实前行。从业者，需要理解局部与全局的关系，具备大局观。通观全局，否则必将误导业主方，误导市场，最终也将变得混乱不堪。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。