《網絡安全法》出臺后，網絡等級保護進入2.0時代。

這意味著在遵照2007年公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室頒布實施的《信息安全等級保護管理辦法》及其配套的標準《信息系統安全等級保護定級指南》建立的“信息安全等級保護體系”已全面升級。

　　《網絡安全法》　　第二十一條 國家實行網絡安全等級保護制度。

網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：　　(一)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任;　　(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;　　(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月;　　(四)采取數據分類、重要數據備份和加密等措施;　　(五)法律、行政法規規定的其他義務。

　　隨后，《網絡安全法》出臺后各地執法案例不斷涌現，其中不乏有關網絡安全等級保護義務的案例：　　——安徽省蚌埠懷遠縣教育進修學校，未進行網絡安全等級保護的定級備案、等級評測工作;未落實網絡安全等級保護制度;未履行網絡安全等級保護義務;機構被處以1.5萬元罰款，負有直接責任人員處以5000元罰款。

　　——四川宜賓市“教師發展平臺”網站，未落實網絡安全等級保護制度;未履行網絡安全等級保護義務;機構被處以1萬元罰款，負有直接責任人員處以5000元罰款。

　　這些處罰案例距離網絡運營者是如此之近，不得不關注何謂《網絡安全等級保護制度》，與之前的信息安全等級保護制度有什么不同要求?隨著1月19日，全國信息安全標準化技術委員會發布關于《信息安全技術 網絡安全等級保護定級指南(征求意見稿)》(以下稱“《定級指南》”)，我們一起來看一下，網絡安全等級保護有哪些值得關注的變化。

　　一、整體繼承關系　　《定級指南》在前言說明，本標準代替GB/T 22240—2008《信息安全技術　信息系統安全等級保護定級指南》，與GB/T 22240—2008相比，主要技術變化如下：　　——標準名稱變更為《信息安全技術 網絡安全等級保護定級指南》。

　　——修改了等級保護對象、增加了網絡、基礎信息網絡等術語定義。

　　——修改了定級要素與安全保護等級的關系。

　　——增加了基礎信息網絡的定級對象確定方法。

　　——增加了特定定級對象定級說明。

　　——修改了定級流程。

　　二、等級保護對象　　等級保護制度始終保持不變的安全保護目標，即保護系統安全，保證敏感信息的處理、保證服務的連續。

但隨著IT向DT的轉變，現有網絡等級保護體系更加豐富，從內容的維度，除基礎信息網絡外，把云平臺、大數據、物聯網、工控系統等納入等級保護制度管理中;從監管對象這一維度，大型互聯網企業也加入其中。

　　作為定級對象的網絡應具有如下三個基本特征：具有確定的主要安全責任主體;承載相對獨立的業務應用; 包含相互關聯的多個資源。

在此定義之下，特別關注：　　云計算平臺。

在云計算環境中，應將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級。

對于大型云計算平臺，應將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。

　　大數據。

大數據應作為單獨定級對象進行定級;安全責任主體相同的大數據、大數據平臺和應用可作為一個整體對象定級。

　　三、安全保護等級　　網絡安全等級保護對象的級別由兩個定級要素決定，分別是受侵害的客體(三類)和對客體的侵害程度(三種程度)，相互對應起來形成五級安全保護等級，如圖所示：　　關于上述三類受侵害的客體分類，一般損害、嚴重損害和特別嚴重損害的定義，基本沿襲原有表達。

但是在《定級指南》中，對公民、法人和其他組織的合法權益，遭受特別嚴重損害的，明確定級在“第三級”,彰顯了對私權利維護的升級。

　　對于基礎信息網絡、云計算平臺、大數據平臺等支撐類網絡，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

　　《定級指南》規定，原則上，大數據安全保護等級不低于第三級。

對于確定為關鍵信息基礎設施的，原則上其安全保護等級不低于第三級。

　　四、定級流程　　定級的流程在本次《定級指南》中予以明確，按照如下五個步驟進行。

　　其實這五個步驟也是信息安全等級保護體系下原有步驟，不過，根據《信息安全等級保護管理辦法》，以上第三步和第四步并不是每個等級必須的強制性要求。

相應的規定是：　　信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。

有主管部門的，應當經主管部門審核批準。

　　對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

　　由于《定級指南》的級別較低，目前還在征求意見中，是否能取代《信息安全等級保護管理辦法》而將5個步驟普遍適用于全部定級流程，還有待看《信息安全等級保護管理辦法》是否會進行進一步的修訂。

　　五、定級保護自主性　　在2007年《信息安全等級保護管理辦法》實施期間，曾經確立了“依照標準，自行保護”的原則，即國家運用強制性的規范及標準，要求信息和信息系統按照相應的建設和管理要求，自行定級、自行保護。

”　　第一級依照國家管理規范和技術標準進行自主保護;　　第二級在信息安全監管職能部門指導下依照國家管理規范和技術標準進行自主保護;　　第三級依照國家管理規范和技術標準進行自主保護，信息安全監管職能部門對其進行監督、檢查;　　第四級依照國家管理規范和技術標準進行自主保護，信息安全監管職能部門對其進行強制監督、檢查;　　第五級依照國家管理規范和技術標準進行自主保護，國家指定專門部門、專門機構進行專門監督。

　　但是，在網絡安全法下，網絡安全等級保護成為網絡運營者最重要的義務之一，“自行定級、自行保護”明顯已不符合網絡安全管理的需要。

如何避免企業降低保護等級規避，尚缺少更高位級的法律要求。

　　另一方面，不同的行業按照行業政策的要求，有更具體的等級保護工作要求和定級方案，在這個過程中，主管部門的審核就具有更強的現實意義。

比如電子政務網，金融行業，電力行業，廣電部門，交通行業，教育行業，稅收行業，衛生行業，煙草行業，以及最近剛剛興起的網絡借貸，網約車行業。

　　所以，網絡等級保護的定級將越來越趨于規范性管理，而不是自主保護。

　　結語　　《網絡安全法》為網絡安全等級保護提出了新要求，在繼續原有《信息安全等級保護管理辦法》的規則之下，如何與新發布的定級指南相匹配，特別是對強制性的級別要求有更明確的梳理，則是我們所期待的。

　　維創信息技術：網絡安全解決方案專家