“沒有網絡安全就沒有國家安全”。近幾年,我(I)國《網絡安全法》《密碼法》《保守國家秘密法(修訂)》《關鍵信息基礎設施安全保護條例》《數據安全法》等法律法規陸續發布實施,爲(for)承載我(I)國國計民生(born)的(of)重要(want)網絡信息系統的(of)安全提供了(Got it)法律保障,正在(exist)實施的(of)網絡安全等級保護、涉密信息系統分級保護、關鍵信息基礎設施保護、商用(use)密碼應用(use)安全性評估爲(for)我(I)國重要(want)網絡信息系統的(of)安全構築了(Got it)四道防線。
《中華人(people)民共和(and)國網絡安全法》(2017年6月1日起實施)第二十一(one)條規定:國家實行網絡安全等級保護制度。2007年6月,公安部發布《信息安全等級保護管理辦法》(公通字[2007]43号),标志着等級保護1.0的(of)正式啓動。等級保護1.0的(of)主要(want)标準是(yes):•《信息系統安全等級保護基本要(want)求 GB/T22239-2008》•《信息系統等級保護安全設計要(want)求 GB/T25070-2010》•《信息系統安全等級保護測評要(want)求 GB/T28448-2012》2019年5月13日,國家市場監督管理總局、國家标準化管理委員會發布了(Got it)3個(indivual)網絡安全領域的(of)國家标準(2019年12月1日起實施):•《信息安全技術 網絡安全等級保護基本要(want)求》(GB/T 22239-2019)•《信息安全技術 網絡安全等級保護安全設計技術要(want)求》(GB/T 25070-2019)•《信息安全技術 網絡安全等級保護測評要(want)求》(GB/T 28448-2019)标志着我(I)國進入等級保護2.0時(hour)代。根據信息系統受到(arrive)破壞後,對公民、法人(people)和(and)其他(he)組織的(of)合法權益,以(by)及對公共利益、社會秩序和(and)國家安全的(of)損害程度,等級保護分爲(for)五級:
《中華人(people)民共和(and)國保守國家秘密法》(2010年4月29日修訂,2010年10月1日起實施)第二十三條規定:存儲、處理國家秘密的(of)計算機信息系統(以(by)下簡稱涉密信息系統)按照涉密程度實行分級保護。涉密信息系統的(of)分級保護依據《保守國家秘密法》《涉及國家秘密的(of)信息系統分級保護管理辦法》(國保發[2005]16号)等法律法規開展。
涉密信息系統的(of)等級分爲(for)秘密級、機密級、絕密級三個(indivual)級别。
《保守國家秘密法》第九條規定:下列涉及國家安全和(and)利益的(of)事項,洩露後可能損害國家在(exist)政治、經濟、國防、外交等領域的(of)安全和(and)利益的(of),應當确定爲(for)國家秘密:(一(one)) 國家事務重大(big)決策中的(of)秘密事項;(二) 國防建設和(and)武裝力量活動中的(of)秘密事項;(三) 外交和(and)外事活動中的(of)秘密事項以(by)及對外承擔保密義務的(of)秘密事項;(四) 國民經濟和(and)社會發展中的(of)秘密事項;(六) 維護國家安全活動和(and)追查刑事犯罪中的(of)秘密事項;(七) 經國家保密行政管理部門确定的(of)其他(he)秘密事項。 政黨的(of)秘密事項中符合前款規定的(of),屬于(At)國家秘密。《保守國家秘密法》第十三條規定:中央國家機關、省級機關及其授權的(of)機關、單位可以(by)确定絕密級、機密級和(and)秘密級國家秘密;設區的(of)市、自治州一(one)級的(of)機關及其授權的(of)機關、單位可以(by)确定機密級和(and)秘密級國家秘密。
《網絡安全法》第三十一(one)條:國家對提供公共通信、廣播電視傳輸等服務的(of)基礎信息網絡,能源、交通、水利、金融等重要(want)行業和(and)供電、供水、供氣、醫療衛生(born)、社會保障等公共服務領域的(of)重要(want)信息系統,軍事網絡,設區的(of)市級以(by)上國家機關等政務網絡,用(use)戶數量衆多的(of)網絡服務提供者所有或者管理的(of)網絡和(and)系統(以(by)下稱關鍵信息基礎設施),實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。
《關鍵信息基礎設施安全保護條例》(2021年7月30日國務院令第745号公布,2021年9月1日起施行)第二條規定:本條例所稱關鍵信息基礎設施,是(yes)指公共通信和(and)信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要(want)行業和(and)領域的(of),以(by)及其他(he)一(one)旦遭到(arrive)破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生(born)、公共利益的(of)重要(want)網絡設施、信息系統等。
2017年7月10日,國家互聯網信息辦公室發布《關鍵信息基礎設施安全保護條例(征求意見稿)》;2019至2021年,《關鍵信息基礎設施安全保護條例》連續三年納入國家立法計劃;2021年4月27日,經國務院第133次常務會議通過;2021年7月30日,國務院總理李克強簽署中華人(people)民共和(and)國國務院令第745号公布,自2021年9月1日起施行。《關鍵信息基礎設施安全保護條例》第五條規定:國家對關鍵信息基礎設施實行重點保護,采取措施,監測、防禦、處置來(Come)源于(At)中華人(people)民共和(and)國境内外的(of)網絡安全風險和(and)威脅,保護關鍵信息基礎設施免受攻擊、侵入、幹擾和(and)破壞,依法懲治危害關鍵信息基礎設施安全的(of)違法犯罪活動。“關保”由國家網信部門統籌協調;國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作(do);國務院電信主管部門和(and)其他(he)有關部門依照本條例和(and)有關法律、行政法規的(of)規定,在(exist)各自職責範圍内負責關鍵信息基礎設施安全保護和(and)監督管理工作(do);省級人(people)民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和(and)監督管理。
“密評”是(yes)指商用(use)密碼應用(use)安全性評估。《中華人(people)民共和(and)國密碼法》(2020年1月1日起實施)所述的(of)密碼,是(yes)指采用(use)特定變換的(of)方法對信息等進行加密保護、安全認證的(of)技術、産品和(and)服務。商用(use)密碼用(use)于(At)保護不(No)屬于(At)國家秘密的(of)信息。《中華人(people)民共和(and)國密碼法》第二十七條規定:法律、行政法規和(and)國家有關規定要(want)求使用(use)商用(use)密碼進行保護的(of)關鍵信息基礎設施,其運營者應當使用(use)商用(use)密碼進行保護,自行或者委托商用(use)密碼檢測機構開展商用(use)密碼應用(use)安全性評估。商用(use)密碼應用(use)安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重複評估、測評。《商用(use)密碼應用(use)安全性評估管理辦法(試行)》(2017年4月22日起施行)《信息系統密碼應用(use)基本要(want)求》(GM/T 0054-2018 )商用(use)密碼應用(use)安全性評估的(of)對象包括:• 涉及國計民生(born)和(and)基礎信息資源的(of)重要(want)信息系統:能源、教育、公安、測繪地(land)理、社保、交通、衛生(born)計生(born)、金融等信息系統;• 重要(want)工業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等工業控制系統;• 面向社會服務的(of)政務信息系統:黨政機關和(and)使用(use)财政性資金的(of)事業單位和(and)團體組織使用(use)的(of)面向社會服務的(of)信息系統。關鍵信息基礎設施、網絡安全等級保護第三級及以(by)上的(of)信息系統,密碼應用(use)安全性評估每年至少一(one)次。對采用(use)商用(use)密碼技術、産品和(and)服務集成建設的(of)網絡和(and)信息系統,對其密碼應用(use)的(of)合規性、正确性、有效性進行評估。•使用(use)的(of)密碼算法、密碼技術符合法律法規和(and)國家标準、行業标準的(of)有關要(want)求;•使用(use)的(of)密碼産品、密碼模塊通過國家密碼管理部門核準;•使用(use)的(of)密碼服務符合國家密碼管理要(want)求;•密碼算法、密碼協議、密鑰管理、密碼産品和(and)服務使用(use)正确;•系統中采用(use)标準的(of)密碼算法、協議、密鑰管理,按照國家和(and)行業标準進行正确的(of)設計和(and)實現;•自定義密碼協議、密鑰管理機制的(of)設計和(and)實現正确,符合标準要(want)求;•密碼保障系統建設改造過程中密碼産品和(and)服務的(of)部署和(and)應用(use)正确;系統中采用(use)的(of)密碼協議、密鑰管理系統、密碼應用(use)子系統和(and)密碼安全防護機制設計合理,在(exist)系統運行過程中能夠發揮密碼作(do)用(use),保障信息的(of)機密性、完整性、真實性、不(No)可否認性。 商用(use)密碼應用(use)安全性評估主要(want)從:總體要(want)求、物理和(and)環境、網絡和(and)通信、設備和(and)計算、應用(use)和(and)數據、密鑰管理以(by)及安全管理七個(indivual)方面進行評估。
