上次我整理了一篇文字叫《等级保护、等级保护测评、分级保护测评、密码保护测评之间的区别与联系》,后来发现这种措辞还是存在问题,今天在此重新做个探讨,同时进行更正。我们很多从事信息安全行业的人,交流时常常会提及“等保”“分保”“密评”这些概念,那么他们之间的联系与区别往往不是说的太清楚,大部分都在说他们之间的不同,而联系这块在很多公众号中是未提及的。甚至对“等保”“分保”“测评”这些词汇认知也是模棱两可的。看到我这个标题的朋友,自然会发现无论是“等级保护”“分级保护”“密码管理”,原来我在上次文章中于其后面都加了“测评”俩字,后来发现这个理解是有失偏颇的,所以本次回归其正常说法,其来源是《网络安全等级保护条例》(征求意见稿),根据征求意见稿,我个人感觉加上“工作”二字更为恰切。因为我个人认为这是较为严谨的描述,当然我接下来也会“引经据典”说明之。
首先,我根据《信息安全等级保护管理办法》即常说的43号文简单整理了一张图来说明之,供大家参考!
我相信,明眼人也看出来了。所谓“等级保护工作”“分级保护工作”“密码管理工作”是等级保护制度下三个工作方向,统归在等级保护制度之下,而原来用“测评”二字去强调,不妥的地方在于等级保护制度下面三个工作其落脚点在于建设整改,而且这是一个全生命周期的防护要求,测评仅为等级保护工作中的其中一个重要的环节或动作。换言之,我们日常工作面对的口中的“等保”是“等级保护测评”多一些,但是这个说法是不恰切的,而网络运营者落实等级保护(等保)应该是落实的“等级保护工作”最恰切,这样就涵盖了非涉密网络的五个规定动作,即涵盖定级、备案、建设整改、等级测评、监督检查(网络运营者被监督检查)。而若谈及等级保护制度,从监管层面考虑,则涵盖公安、保密、密码三个管理部门监管的三个方向,同时《网络安全等级保护条例》(征求意见稿)中,还根据时代与时俱进的提升一个层次,加入由中央网信委领导、网信办统筹协调的要求,至此其实等级保护制度形成中央网信委领导、网信办统筹协调,公安部门(等级保护工作)和保密部门(分级保护工作)主管,国家密码管理部门负责密码管理工作,国务院其他有关部门和县级以上地方人民政府共同参与的一个大网络安全基础性的制度体系。
我们根据《网络安全等级保护条例》征求意见稿重新整理了一张更为全面的图,如下图。
《网络安全法》第二十一条国家实行网络安全等级保护制度。上面也根据《网络安全等级保护条例》(征求意见稿)描述了一下等级保护制度与等级保护工作的不同,所以网络运营者要履行非涉密信息系统的等级保护工作、密码管理工作以及涉密系统的分级保护工作,而对应两大方向,三个工作中的“测评”,则只是开展该方向工作中的一个重要子集。落实等级保护工作和分级保护工作,则需要落实“三同步”从规划设计、建设整改、运行使用各个环节,依据国家法律法规和国家标准以及行业标准开展工作,这样才是真正履行网络安全等级保护制度。另外,根据《网络安全等级保护条例》(征求意见稿)第七十二条描述“【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。”,说明军队执行的也是“等级保护制度”,只是他有他自己的一套方法论开展工作,如同非涉密与涉密两套不同的实现方式一样,均在这个大制度之下。可以说,从来等级测评不是等同于等级保护工作,更不能等同于等级保护制度。
以前我和人交流经常打一个比方。等级保护工作开展好比学校教育,我们可以把网络运营者比作学生(最终工作呈现者),安全集成或服务商比作任课老师(工作指导或开展者),测评机构比作监考或批卷老师,学生的成绩有谁来决定呢?一则是任课老师应该有自己的课件和讲义,有能力传输给学生知识和能力,以便他能够在未来考试中获得好成绩;二则是学生应该认真跟着老师学习,同时对老师的教课质量和能力进行监督。那么,我们退一步去讲,一个任课老师三天打鱼两天晒网,或一年也不教课,学生天天逃课,都不学习,最终成绩会如何?应该是不言而喻的了。那么,责任自然不能由监考或批卷老师承担,但是现在很多学生,总是逼着批卷老师给判高分。
大家都经历过学习生涯,这种现象确实在学校也真的存在,但是对于真正掌握知识来说是无益的,那么对于真正的网络安全来说也是无益的,国家从不同层面去设计这么个规则,自然是从安全的角度考虑。
在谈分级保护工作前,我们需要了解一下《中华人民共和国保守国家秘密法》在1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过的版本中是没有“分级保护”的概念的,因为那时我们国家的计算机尚处于起步阶段,更不存在所谓的信息系统的概念,自然不涉及这个内容和概念。待到2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订版,在该法律中增加了第二十三条有关分级保护的要求,但是法律原文中并没有将其描述为“制度”。
| 第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。 |
另外,在2007年国公安部、国 家 保 密 局、国 家 密 码 管 理 局、国务院信息化工作办公室印发的《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号中,强调了信息系统定级备案工作,此时其实等级测评工作尚未形成,但该文件的无论是定级还是备案都涵盖涉密信息系统和非涉密信息系统,而我们现行使用的《信息系统安全等级保护备案表》就来自这个文件,同时《涉及国家秘密的信息系统分级保护备案表》也来自这个文件。再往前回溯,则可以看一下66号文对“信息安全等级保护”的定义,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
我们借助《信息安全等级保护管理办法》43号文谈一下“分级保护工作”,在《信息安全等级保护管理办法》的第四章明确了涉密信息系统的分级保护管理等内容,其中第二十四条这样描述“涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息等。”
在第二十五条,涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
在第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
由以上三条结合43号第三条中描述“国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导”,我们看到“分保”是等级保护工作中“有关保密工作”,同属于等级保护制度大体系范围内。另外,“分保”有自己一套法规和规范,但统属在等级保护之内,而且从第二十七条也可以看到分级保护的信息系统“不低于国家信息安全等级保护第三级、第四级、第五级的水平”,这也是彼此之间的联系。
我们借助《信息安全等级保护管理办法》43号文再浅层次的探讨一下“密码管理工作”,另外想要了解密评发展历程的朋友可以移驾《网络安全等级保护:浅谈密评体系发展历程》,这里我结合公开资料整理了关于密评体系发展的历程。我们回到在《信息安全等级保护管理办法》的第五章明确了信息安全等级保护的密码管理等内容,其中第三十四条这样描述“国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。”“信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。”
第三十九条描述为“各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。”
而在《密码法》的第二十七条描述为“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”“关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。”
这样,等级保护工作与密码管理工作则通过43号文与《密码法》共同指向《网络安全法》有关落实等级保护制度的要求。
最后,我们探讨一下,等级保护工作与分级保护工作的客体或者对象,是一个互斥的,不存在既是涉密又不涉密的情况;另外等级保护工作与密码管理工作有交集,分级保护工作与密码管理工作也有交集,但二者实现路径也是互斥的,这点可以从文中图里看到。这次我们区分等级保护工作之后,下次基于此再探讨等级保护与关键信息基础设施安全保护的一些看法。
接下来回顾一下基本概念:
网络安全等级保护:网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
网络安全等级保护测评:(简称“等级测评”)是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。
商用密码应用安全评估:(简称“密码测评”或“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
本文主要依据43号文、《网络安全法》《密码法》《保密法》《网络安全等级保护条例》(征求意见稿)等文件,就“等级保护”“等级保护工作”“分级保护工作”“密码管理工作”等进行了一个概念上的简单联系与区分,有关技术细节在本文中未体现。
注:等级测评概念扩展在《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安〔2010〕303号的《信息安全等级保护测评工作管理规范》第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。后期的一些文件多用“信息安全等级保护测评”的简称,包括测评报告模板封面也是用“XX系统等级测评报告”来描述,在撰写一些文档时,“等级保护测评”与“等级测评”内容和含义一致,保持上下一致即可。
