本文是全系列中第5 / 7篇:网络安全防护

说起等级保护,就得从一个比较著名的文件说起,这就是1985年发布的《可信计算机系统评估准则》(Trusted Computer System Evaluation Criteria),一般我们称为橘皮书。这个文件开始是作为美国国防部对军事计算机的保密要求而提出,紧接着,英、法、德、荷等四国于1991年提出了《信息技术安全评估标准》(Information Technology Security Evaluation Criteria)。1993年,加拿大将以上两个文件内容结合,发布了《可信计算机产品评估准则》(Canadian Trusted Computer Product Evaluation Criteria)。

在我国,信息安全等级保护从1994年开始随着《中华人民共和国计算机信息系统安全保护条例》颁布开始,进行了10多年的摸索和研究,直到2007年,公安部联合四部委颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,标志着我国信息安全等级保护制度正式开始实施。

在此基础上,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,如:《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护定级指南》等,并汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。

1993年,美国政府发表的《国家信息基础设施行动动议》,正式提出了信息基础设施的概念。1996年,美国总统克林顿发布第13010号行政令《关键基础设施保护》,并宣布成立关键基础设施保护总统委员会,将“网络”基础设施作为保护策略的新焦点,其中,全球或国家信息基础设施中维系关键基础设施服务持续运转的这一部分称作“关键信息基础设施”。《2002年关键基础设施信息保护法》作为美国《国土安全法》第二部分的一部分得以出台。它对关键基础设施保护的原则、适用的范围和效力、项目管理、保护条件、程序、措施及法律责任等都作了详细规定。

在我国,2017年6月1日颁布的《网络安全法》首次提出“关键信息基础设施”的概念并对其范围进行了明确。根据《网络安全法》的规定,我们可以大体将关键信息基础设施划分为五大类:基础信息网络、重要行业和公共服务领域的重要新系统、电子政务、国家安全网络和用户数量众多的网络服务商系统。国家互联网信息办公室也会同有关部门,研究制定相关指导性文件和标准,知道相关行业领域明确关键信息基础设施的具体范围。

以笔者长期从事的通信行业网络安全防护工作来说,一直以来都是国家信息安全等级保护和关键信息基础设施的重要行业。2009年,工业和信息化部出台了第11号令《通信网络安全防护管理办法》,对通信行业重要网络安全和系统的安全管理做了详细的要求,主要包括:三同步、定级备案、风险评估、符合性评测和自查整改。2013年以后,随着互联网的发展,在通信行业安全防护工作中,将以前的通信网络安全防护都改为网络安全防护,增加了安全防护的外延,也对网络安全防护工作提出了更高的要求。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注