网络安全等级保护的定级原理
网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《网络安全等级保护定级指南》(GB/T 22240-2020)的要求执行。
在861号文中,我们看到定级范围为:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称涉密信息系统)。
在这里,如果没有仔细去思考等级保护制度的人,往往会疑惑在“涉密信息系统”这个点上,不过我们在探讨常规定级过程中,是不需要纠结在这里的,我们有个了解即可。我们在以GB/T 22240-2020中所说的“定级”,全部是面向非涉密信息系统的,而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。
安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
网络运营者是网络安全等级保护的责任主体,根据所属网络的重要程度和遭到破坏后的危害程度,科学合理确定网络的安全保护等级。同时,按照所定等级,依照网络安全等级保护基本要求中相应等级的管理规范和技术标准,建设网络安全保护设施,建立安全制度,落实安全责任,对网络实施保护。在等级保护工作中,网络运营者和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受网络安全监管部门的监管。网络运营者和主管部门是网络基础设施安全的第一责任人,对所属网络自身安全负有直接责任;公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。重要网络和信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,因此,国家网络安全职能部门要对重要网络和信息系统的安全进行监管。
网络的安全保护等级网络的安全保护等级应当根据网络在国家安全、经济建设、社会生活中的重要程度,以及网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级,从第一级到第五级逐级增高,如下表所示。
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
定级要素
定级要素概述
等级保护对象的定级要素包括:受侵害的客体和对客体的侵害程度。
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
一是公民、法人和其他组织的合法权益;
二是社会秩序、公共利益;
三是国家安全。
对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
五级保护和监管定级要素与网络的安全保护等级的关系如表所示。
定级要素与安全保护等级的关系
等级对象侵害客体侵害程度监管强度第一级一般网络合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益危害第三级重要网络合法权益特别严重损害监督检查社会秩序和公共利益严重损害国家安全危害第四级特别重要网络社会秩序和公共利益特别严重损害强制监督检查国家安全严重危害第五级极端重要网络国家安全特别严重危害专门监督检查定级工作的主要步骤网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。网络是广义的概念,包括起支撑、传输作用的基础信息网络、各类应用系统和数据资源。网络的安全级别如果确定不准,网络备案、建设整改、等级测评等后续工作都会失去意义,网络安全就没有保证。定级工作步骤1.定级工作流程摸底调查,掌握网络底数;确定定级对象;初步确定网络的安全保护等级;专家评审;主管部门核准;公安机关备案;公安机关审核。2.定级范围已经投入运行的网络、新建网络都要定级。新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。3.等级确定第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。4.定级工作指导结合《网络安全等级保护实施指南》,从主管部负责依照国家网络安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证本行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。国家安全:
——影响国家政权稳固和领土主权、海洋权益完整;
——影响国家统一、民族团结和社会稳定;
——影响国家社会主义市场经济秩序和文化实力;
——其他影响国家安全的事项。社会秩序:
——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
——影响公共场所的活动秩序、公共交通秩序;
——影响人民群众的生活秩序;
——其他影响社会秩序的事项。公共利益:
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。