信息安全工程与等级保护

一.概述

信息系统安全等级保护的核心观念是“保护重点，适度安全”，即分级别、按需要重点保护重要信息安全系统，综合平衡安全成本和风险，提高保护成效。

重点保护：优先保障高价值、高风险的系统。

适度安全：平衡安全成本与风险，避免过度防护。

分等级管理：从数据、系统到事件响应均按等级划分。

二.等级保护的发展

1.《可信计算机系统评估准则》TCSEC

TCSEC，是计算机系统安全评估的第一个正式标准，它制定了确定计算机安全的概念，对其后的信息安全的发展具有划时代的意义。

TCSEC将计算机系统安全划分为”四个等级，7个级别“，从低到高分别为“D,C1,C2,B1,B2,B3,A1”

B1和B1以下的安全测评级别，安全模型策略是非形式化定义的，从B2级开始往后的安全测评级别，更加严格的形式化定义，甚至引用形式化验证方法。

该标准偏重于测评安全功能，不重视安全保证。

2.《信息技术安全评估准则》ITSEC

ITSEC是欧洲统一的安全评估标准，该标准将安全概念分为了功能和评估两部分。

功能准则从F至F10共分10级，1~5级对应于TCSEC的D到 A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及网络安全的保密性和完整性。

3.《信息技术安全评价通用准则》CC

1993年6月，美国政府同加拿大以及欧共体共同起草了单一的通用准则（CC标准）并将其推进国际标准。

CC标准的评估分为两个方面：安全功能需求和安全保证需求。CC标准分为了七个标准等级，EAL1-EAL7共分为七个评估等级。

ISO于1999年12月接受 CC标准v2.1为国际标准，即

第1版ISO/IEC 15408:1999《信息技术安全技术信息技术安全性评估准则》，随后在 2005年10月和 2008年

8月分别通过 CC标准的 v2.3 和 v3.1 为国际标准的第2版ISO/IEC 15408:2005 和第3版ISO/IEC

15408:2008。值得注意的是，CC标准v3.1有多个修订发布版。

 

ISO (国际标准化组织 )将网络安全和隐私保护引入评估准则，并于2022年8月发布ISO/IEC 15408：2022《信息安全网络安全私保护信息技术安全性评估准则》。

目前，中国信息安全测评中心正在参考ISO/IEC 15408：2022，开展向国家标准 GB/T 18336-202X的修订转化工作。

 为了推进信息技术产品的安全性评估结果在国际间互认，减少重复检测认证，国际上成立了CC互认组织 CCRA(Common Criteria Recognition Arrangement)。 

三.中国等级保护的发展

2003年9月7日，中央办公厅、国务院转发的《国家信息化领导小组关于加强信息安全保障工作的意见》》(中办发(2003)27号)明确指出“实行信息安全等级保护”

2007年6月22日，上述四单位联合正式发布《信息安全等级保护管理办法》(公通字(2007)43号)，规范 了信息安全等级保护的管理，标志着“信息安全等级保护 1.0(等保1.0)”的正式启动。

2017年6月1日，正式实施的《网络安全法》将网络安全等级保护制度上升到法律层面，标志着等级保护 2.0 的正式启动。其中，第二十一条规定，国家实行网络安全等级保护制度;

第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安 全等级保护制度的基础上，实行重点保护。

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T 25058-2019）、《信息安全技术网络安全设计技术要求》（GB/T 25070-2019）、《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）等国家标准已于2019年5月10日正式发布，于2019年12月1日开始实施。中国正式进入“网络安全等级保护2.0”时代，具有里程碑意义。

等级保护核心变化：1.范围拓展：覆盖云计算、物联网、移动互联、工业控制、采用移动互联技术的网络。

2.标准升级：整合《基本要求》《测评要求》《安全设计技术要求》形成完整框架。

3.法律衔接：与《网络安全法》结合，强化关键信息基础设施保护。

2.关键节点：

2016年《网络安全法》：将等级保护制度上升为法律。

2019年等保2.0标准：技术全面升级，适应新兴技术风险。

2020年指导意见：推动制度落地与跨部门协同。

四.安全等级保护等级

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序、公共利益。

第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害严重或特别严重损害，或者对社会秩序、公共利益造成危害，但不损害国家安全。

第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。

第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重危害。

第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

五.等级保护工作流程

定级——备案——建设整改——等级测评 最后监督检查 由当地网安会定期检查。