“没有网络安全就没有国家安全”。近几年,我国《网络安全法》《密码法》《保守国家秘密法(修订)》《关键信息基础设施安全保护条例》《数据安全法》等法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,正在实施的网络安全等级保护、涉密信息系统分级保护、关键信息基础设施保护、商用密码应用安全性评估为我国重要网络信息系统的安全构筑了四道防线。
《中华人民共和国网络安全法》(2017年6月1日起实施)第二十一条规定:国家实行网络安全等级保护制度。2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。•《信息系统安全等级保护基本要求 GB/T22239-2008》•《信息系统等级保护安全设计要求 GB/T25070-2010》•《信息系统安全等级保护测评要求 GB/T28448-2012》2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施):•《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)•《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)•《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)根据信息系统受到破坏后,对公民、法人和其他组织的合法权益,以及对公共利益、社会秩序和国家安全的损害程度,等级保护分为五级:
《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。
涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。
《保守国家秘密法》第九条规定:下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;(七) 经国家保密行政管理部门确定的其他秘密事项。《保守国家秘密法》第十三条规定:中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。
《网络安全法》第三十一条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
《关键信息基础设施安全保护条例》(2021年7月30日国务院令第745号公布,2021年9月1日起施行)第二条规定:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2017年7月10日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》;2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划;2021年4月27日,经国务院第133次常务会议通过;2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号公布,自2021年9月1日起施行。《关键信息基础设施安全保护条例》第五条规定:国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。“关保”由国家网信部门统筹协调;国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
《中华人民共和国密码法》(2020年1月1日起实施)所述的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。《中华人民共和国密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。《商用密码应用安全性评估管理办法(试行)》(2017年4月22日起施行)《信息系统密码应用基本要求》(GM/T 0054-2018 )• 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;• 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;• 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。•使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求;•使用的密码产品、密码模块通过国家密码管理部门核准;•密码算法、密码协议、密钥管理、密码产品和服务使用正确;•系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;•自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;•密码保障系统建设改造过程中密码产品和服务的部署和应用正确;系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理,在系统运行过程中能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。 商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。