“沒有網絡安全就(jiù)沒有國家(jiā)安全”。近幾年(nián),我國《網絡安全法》《密碼法》《保守國家(jiā)秘密法(修訂)》《關鍵信息基礎設施安全保護條例》《數據安全法》等法律法規陸續發(fā/fà)布實施,爲承載我國國計民生(shēng)的重要(yào / yāo)網絡信息系統的安全提供了法律保障,正在實施的網絡安全等級保護、涉密信息系統分級保護、關鍵信息基礎設施保護、商用(yòng)密碼應用(yòng)安全性評估爲我國重要(yào / yāo)網絡信息系統的安全構築了四道防線。
《中華人民共和國網絡安全法》(2017年(nián)6月1日起實施)第二十(shí)一條規定:國家(jiā)實行(háng / xíng)網絡安全等級保護制度。2007年(nián)6月,公安部發(fā/fà)布《信息安全等級保護管理辦法》(公通字[2007]43号),标志着(zhe/zhuó/zhāo/zháo)等級保護1.0的正式啓動。等級保護1.0的主要(yào / yāo)标準是:•《信息系統安全等級保護基本要(yào / yāo)求 GB/T22239-2008》•《信息系統等級保護安全設計要(yào / yāo)求 GB/T25070-2010》•《信息系統安全等級保護測評要(yào / yāo)求 GB/T28448-2012》2019年(nián)5月13日,國家(jiā)市場監督管理總局、國家(jiā)标準化管理委員會(huì)發(fā/fà)布了3個網絡安全領域的國家(jiā)标準(2019年(nián)12月1日起實施):•《信息安全技術 網絡安全等級保護基本要(yào / yāo)求》(GB/T 22239-2019)•《信息安全技術 網絡安全等級保護安全設計技術要(yào / yāo)求》(GB/T 25070-2019)•《信息安全技術 網絡安全等級保護測評要(yào / yāo)求》(GB/T 28448-2019)标志着(zhe/zhuó/zhāo/zháo)我國進入等級保護2.0時代。根據信息系統受到破壞後(hòu),對(duì)公民、法人和其(qí)他組織的合法權益,以及對(duì)公共利益、社會(huì)秩序和國家(jiā)安全的損害程度,等級保護分爲五級:《中華人民共和國保守國家(jiā)秘密法》(2010年(nián)4月29日修訂,2010年(nián)10月1日起實施)第二十(shí)三條規定:存儲、處理國家(jiā)秘密的計算機信息系統(以下(xià)簡稱涉密信息系統)按照涉密程度實行(háng / xíng)分級保護。涉密信息系統的分級保護依據《保守國家(jiā)秘密法》《涉及國家(jiā)秘密的信息系統分級保護管理辦法》(國保發(fā/fà)[2005]16号)等法律法規開展。涉密信息系統的等級分爲秘密級、機密級、絕密級三個級别。
《保守國家(jiā)秘密法》第九條規定:下(xià)列涉及國家(jiā)安全和利益的事(shì)項,洩露後(hòu)可(kě)能(néng)損害國家(jiā)在政治、經濟、國防、外交等領域的安全和利益的,應當确定爲國家(jiā)秘密:(一) 國家(jiā)事(shì)務重大決策中的秘密事(shì)項;(二) 國防建設和武裝力量活動中的秘密事(shì)項;(三) 外交和外事(shì)活動中的秘密事(shì)項以及對(duì)外承擔保密義務的秘密事(shì)項;(四) 國民經濟和社會(huì)發(fā/fà)展中的秘密事(shì)項;(六) 維護國家(jiā)安全活動和追查刑事(shì)犯罪中的秘密事(shì)項;(七) 經國家(jiā)保密行(háng / xíng)政管理部門确定的其(qí)他秘密事(shì)項。 政黨的秘密事(shì)項中符合前款規定的,屬于(yú)國家(jiā)秘密。《保守國家(jiā)秘密法》第十(shí)三條規定:中央國家(jiā)機關、省級機關及其(qí)授權的機關、單位可(kě)以确定絕密級、機密級和秘密級國家(jiā)秘密;設區的市、自(zì)治州一級的機關及其(qí)授權的機關、單位可(kě)以确定機密級和秘密級國家(jiā)秘密。
《網絡安全法》第三十(shí)一條:國家(jiā)對(duì)提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能(néng)源、交通、水利、金融等重要(yào / yāo)行(háng / xíng)業和供電、供水、供氣、醫療衛生(shēng)、社會(huì)保障等公共服務領域的重要(yào / yāo)信息系統,軍事(shì)網絡,設區的市級以上國家(jiā)機關等政務網絡,用(yòng)戶數量衆多的網絡服務提供者所(suǒ)有或者管理的網絡和系統(以下(xià)稱關鍵信息基礎設施),實行(háng / xíng)重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。《關鍵信息基礎設施安全保護條例》(2021年(nián)7月30日國務院令第745号公布,2021年(nián)9月1日起施行(háng / xíng))第二條規定:本條例所(suǒ)稱關鍵信息基礎設施,是指公共通信和信息服務、能(néng)源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要(yào / yāo)行(háng / xíng)業和領域的,以及其(qí)他一旦遭到破壞、喪失功能(néng)或者數據洩露,可(kě)能(néng)嚴重危害國家(jiā)安全、國計民生(shēng)、公共利益的重要(yào / yāo)網絡設施、信息系統等。
2017年(nián)7月10日,國家(jiā)互聯網信息辦公室發(fā/fà)布《關鍵信息基礎設施安全保護條例(征求意見稿)》;2019至2021年(nián),《關鍵信息基礎設施安全保護條例》連續三年(nián)納入國家(jiā)立法計劃;2021年(nián)4月27日,經國務院第133次常務會(huì)議通過(guò);2021年(nián)7月30日,國務院總理李克強簽署中華人民共和國國務院令第745号公布,自(zì)2021年(nián)9月1日起施行(háng / xíng)。《關鍵信息基礎設施安全保護條例》第五條規定:國家(jiā)對(duì)關鍵信息基礎設施實行(háng / xíng)重點保護,采取措施,監測、防禦、處置來源于(yú)中華人民共和國境内外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、幹擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。“關保”由國家(jiā)網信部門統籌協調;國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作;國務院電信主管部門和其(qí)他有關部門依照本條例和有關法律、行(háng / xíng)政法規的規定,在各自(zì)職責範圍内負責關鍵信息基礎設施安全保護和監督管理工作;省級人民政府有關部門依據各自(zì)職責對(duì)關鍵信息基礎設施實施安全保護和監督管理。“密評”是指商用(yòng)密碼應用(yòng)安全性評估。《中華人民共和國密碼法》(2020年(nián)1月1日起實施)所(suǒ)述的密碼,是指采用(yòng)特定變換的方法對(duì)信息等進行(háng / xíng)加密保護、安全認證的技術、産品和服務。商用(yòng)密碼用(yòng)于(yú)保護不屬于(yú)國家(jiā)秘密的信息。《中華人民共和國密碼法》第二十(shí)七條規定:法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的關鍵信息基礎設施,其(qí)運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護,自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安全性評估。商用(yòng)密碼應用(yòng)安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重複評估、測評。《商用(yòng)密碼應用(yòng)安全性評估管理辦法(試行(háng / xíng))》(2017年(nián)4月22日起施行(háng / xíng))《信息系統密碼應用(yòng)基本要(yào / yāo)求》(GM/T 0054-2018 )商用(yòng)密碼應用(yòng)安全性評估的對(duì)象包括:• 涉及國計民生(shēng)和基礎信息資源的重要(yào / yāo)信息系統:能(néng)源、教育、公安、測繪地理、社保、交通、衛生(shēng)計生(shēng)、金融等信息系統;• 重要(yào / yāo)工業控制系統:核設施、航空航天(tiān)、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等工業控制系統;• 面向社會(huì)服務的政務信息系統:黨政機關和使用(yòng)财政性資金的事(shì)業單位和團體組織使用(yòng)的面向社會(huì)服務的信息系統。關鍵信息基礎設施、網絡安全等級保護第三級及以上的信息系統,密碼應用(yòng)安全性評估每年(nián)至少一次。對(duì)采用(yòng)商用(yòng)密碼技術、産品和服務集成建設的網絡和信息系統,對(duì)其(qí)密碼應用(yòng)的合規性、正确性、有效性進行(háng / xíng)評估。•使用(yòng)的密碼算法、密碼技術符合法律法規和國家(jiā)标準、行(háng / xíng)業标準的有關要(yào / yāo)求;•使用(yòng)的密碼産品、密碼模塊通過(guò)國家(jiā)密碼管理部門核準;•使用(yòng)的密碼服務符合國家(jiā)密碼管理要(yào / yāo)求;•密碼算法、密碼協議、密鑰管理、密碼産品和服務使用(yòng)正确;•系統中采用(yòng)标準的密碼算法、協議、密鑰管理,按照國家(jiā)和行(háng / xíng)業标準進行(háng / xíng)正确的設計和實現;•自(zì)定義密碼協議、密鑰管理機制的設計和實現正确,符合标準要(yào / yāo)求;•密碼保障系統建設改造過(guò)程中密碼産品和服務的部署和應用(yòng)正确;系統中采用(yòng)的密碼協議、密鑰管理系統、密碼應用(yòng)子系統和密碼安全防護機制設計合理,在系統運行(háng / xíng)過(guò)程中能(néng)夠發(fā/fà)揮密碼作用(yòng),保障信息的機密性、完整性、真實性、不可(kě)否認性。 商用(yòng)密碼應用(yòng)安全性評估主要(yào / yāo)從:總體要(yào / yāo)求、物理和環境、網絡和通信、設備和計算、應用(yòng)和數據、密鑰管理以及安全管理七個方面進行(háng / xíng)評估。
