網絡安全等級保護制度與關鍵信息基礎設施保護的關系
網絡安全等級保護制度是國家網絡安全保障工作的基本制度,關鍵信息基礎設施是網絡安全等級保護的重點,網絡安全等級保護制度涵蓋關鍵信息基礎設施保護。
什么是關鍵信息基礎設施
關系國家重大利益、人民生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統和數據資源。 關鍵信息基礎設施這個概念中央第一次正式提出,是在2014年2月27日召開的中央網絡安全和信息化領導小組第一次會議,習近平總書記指示,“要抓緊制定互聯網信息內容管理、國家關鍵信息基礎設施保護等方面的專項法規,解決工作急需”,隨后下發的文件中提到,要建設網絡強國,要有良好的信息基礎設施,形成實力雄厚的信息經濟,要完善關鍵信息基礎設施保護等法律法規等。 在《網絡安全法》出臺以前,現有法律條文中并沒有給出關鍵信息基礎設施的明確概念,僅是部分法規文件從重大基礎設施、重點領域網絡與信息系統等幾個方面做出了規定。 ● 重大基礎設施:“《國務院辦公廳關于開展重大基礎設施安全隱患排查工作的通知》國辦發〔2007〕58號”中使用了“重大基礎設施”的概念,并列舉了公路、鐵路、水運交通設施、大型水利設施、大型煤礦、重要電力設施、石油天然氣設施、城市基礎設施等九種類別。 ● 重點領域網絡與信息系統:《2012年重點領域網絡與信息安全檢查總結報告》中指出各重點領域的“重要網絡與信息系統”,其中的調查報告則初步列舉了我國多個關系國家安全、經濟秩序正常運行和社會穩定的“關鍵網絡與信息系統”。初步劃定了我國信息安全保障的重點。 2017年6月1日《網絡安全法》正式實施,其中第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。現在,國家關鍵信息基礎設施已經納入網絡安全等級保護制度進行管理,在實現網絡安全等級保護相關要求的基礎上,增強實現更強的要求,具體要求正在起草制定中。(關鍵信息基礎設施保護標準體系,如:關鍵信息基礎設施保護條例正在制定中,關鍵信息基礎設施安全保護要求、關鍵信息基礎設施安全控制要求、關鍵信息基礎設施安全控制評估方法都在起草當中。) 
正確理解網絡安全等級保護制度與關鍵信息基礎設施保護的關系 1.等級保護制度是普適性的制度,是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護制度的保護重點。 2.等級保護制度和關鍵信息基礎設施保護是網絡安全的兩個重要方面,不可分割。關鍵信息基礎設施必須按照網絡安全等級保護制度要求,開展定級備案、等級測評、安全建設整改、安全檢查等強制性、規定性工作。 3.網絡運營者應當在第三級(含)以上網絡中確定關鍵信息基礎設施。 4.關鍵信息基礎設施保護,要落實公安機關、保密部門、密碼部門的保衛、保護、監管責任,落實網絡運營者和行業主管部門的主體責任。 5.公安機關在情報偵察、追蹤溯源、快速處置、打擊犯罪、等級保護、通報預警、互聯網管理等方面,發揮職能作用,發揮主力軍作用,保衛關鍵信息基礎設施安全。 實施網絡安全等級保護制度的根本目的就是保護國家關鍵信息基礎設施 依據一:《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發【2003】27號)要求,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度”。 依據二:公安部、國家保密局、國家密碼管理局和原國務院信息辦聯合印發的《關于信息安全等級保護工作的實施意見》(公通字【2004】66號)規定,國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統。 依據三:公安部、國家保密局、國家密碼管理局和原國務院信息辦聯合印發的《關于信息安全等級保護工作的實施意見》(公通字【2004】66號)規定,信息和信息系統的安全保護等級共分為五級,第三級、第四級、第五級屬于國家重要信息系統,涵蓋所有關鍵信息基礎設施。
網絡安全等級保護與關鍵信息基礎設施保護的關系: 一是從保護的對象上看,網絡安全等級保護包含全國所有第二級(含)以上安全保護對象,關鍵信息基礎設施保護對象是網絡安全等級保護對象中的一小部分; 二是從保護的策略上看,網絡安全等級保護是分等級進行的,所有網絡劃分為五個等級,對第三級(含)以上系統采取重點保護,而對關鍵信息基礎設施同樣實行重點保護; 三是從保護的措施上看,第三級(含)以上網絡采取的保護措施,與關鍵信息基礎設施采取的保護措施基本一致; 四是從發展上看,中央《關于加強社會治安防控體系建設的意見》《關于全面深化公安改革若干重大問題的框架意見》,要求健全網絡安全等級保護制度。 公安部正在會同有關部門研究落實健全網絡安全等級保護制度的具體措施,覆蓋所有保護對象和保護方法。 現在確定了47個行業、276家重點單位為網絡安全重點保衛單位,確定了500個信息系統為國家重要信息系統,47個行業涵蓋電信、廣電、電力、石油、銀行、證券、保險、交通、民航、鐵路、教育、衛生、稅務、海關等國家關鍵信息基礎設施領域。 等級保護合規對關鍵信息基礎設施要求 a)確定關鍵信息基礎設施安全保護的定級對象及其安全保護等級;其中,定級對象包括網絡基礎設施、云計算平臺/系統、大數據平臺/系統、物聯網、工控系統等。 b)根據定級對象的安全保護等級,按照GB/T 22239相應等級的安全要求,進行安全建設、管理和運維,確保定級對象具有相應等級的安全保護能力。 c)在落實GB/T 22239相應等級的總體安全策略基礎上,對關鍵信息基礎設施實施分區分域管理,并根據承載業務的重要程度和數據敏感程度,制定不同的安全策略,避免重要網絡、系統和資產遭受未經授權的訪問,防止重要數據泄露或者被竊取、篡改。
