網(wǎng)絡安全等級保護工作中的定級與備案

文/徐佳瑾 劉剛

1 定級備案主要流程

根據(jù)《信息安全等級保護管理辦法》規(guī)定，等級保護工作主要分為五個環(huán)節(jié)，分別是定級、備案、建設整改、等級測評和監(jiān)督檢查。其中網(wǎng)絡安全等級保護工作的首要環(huán)節(jié)為定級備案，對于未備案項目，應各網(wǎng)絡運行者應確認系統(tǒng)的級別然后去公安機關備案，定級工作應按照“網(wǎng)絡運營者擬定網(wǎng)絡安全保護等級、專家評審、主管部門核準、公安機關審核”的原則進行，公安機關審核通過后會下發(fā)通過的備案審批號。對于已備案項目，只要確認系統(tǒng)的級別、備案號、備案材料即可。

相關流程圖如圖1所示。

2 定級

2.1 定級對象

網(wǎng)絡運營者開展網(wǎng)絡定級之前，首先需要梳理信息系統(tǒng)的信息，包括識別系統(tǒng)的數(shù)量、邊界和范圍等，需要說明的是：個人、家庭組建的網(wǎng)絡和使用的計算機不在等級保護范圍內(nèi)。

那么如何科學、合理地確定定級對象呢，網(wǎng)絡運營者或主管部門可參考下列情況來確定定級對象。

（1）各單位的各類業(yè)務系統(tǒng)，主要用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公、郵件等目的；

（2）各單位的各類網(wǎng)站（如門戶網(wǎng)站，OA管理網(wǎng)站，電子商務網(wǎng)站等），另外安全級別高的網(wǎng)站后臺管理系統(tǒng)，也應作為獨立的定級對象；

（3）云計算平臺，物聯(lián)網(wǎng)信息系統(tǒng)也需作為獨立的定級對象來進行備案。

需特別注意的是，作為定級對象的網(wǎng)絡、信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。不應將某個單一的系統(tǒng)組件(例如服務器、終端、網(wǎng)絡設備等)作為定級對象；

2.2 定級級別建議

定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。確定受侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益。

定級對象的安全主要包括業(yè)務信息安全和系統(tǒng)服務安全，首先確定業(yè)務信息安全受到破壞時所侵害的客體，根據(jù)業(yè)務信息安全保護等級矩陣表得出業(yè)務信息安全保護等級，然后確定系統(tǒng)服務安全受到破壞時所侵害的客體，根據(jù)系統(tǒng)服務安全保護等級矩陣表得出系統(tǒng)服務安全保護等級，將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者確定為定級對象的安全保護等級。如圖2所示。

信息系統(tǒng)運營使用單位可參照下列說明來確定信息系統(tǒng)的安全保護等級：

第一級信息系統(tǒng)：一般適用于小型私營、個體企業(yè)、中小學，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：一般適用于縣級某些單位中的重要的信息系統(tǒng)；地市級以上國家機關、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

第三級信息系統(tǒng)：一般適用于國家機關、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)；以及其他包含大量敏感信息的各類重要信息系統(tǒng)。

3 備案材料準備與提交

3.1 備案材料填寫

備案需要填寫項目聯(lián)系人填寫《系統(tǒng)安全等級保護備案表》，《結構化定級報告》，以及單位資質(zhì)證明，如果申請單位為一般企業(yè)，則需要提供營業(yè)執(zhí)照；如果申請單位為事業(yè)單位，則需要提供事業(yè)單位法人證；如果申請單位為政府機關，則需要提供組織機構代碼證；如果為申請單位為IDC企業(yè)備，則需要提供增值業(yè)務許可證及營業(yè)執(zhí)照；如果申請單位為游戲企業(yè)，則需要網(wǎng)絡文化經(jīng)營許可證（文網(wǎng)文）及營業(yè)執(zhí)照。

圖1：定級備案流程

圖2：定級方法流程

備案表，定級報告，補充信息表模板及注意事項如下：

3.1.1 備案表

如圖3所示。

（1）單位名稱必須和營業(yè)執(zhí)照所提供的相一致，并且備案表，定級報告，補充信息表單位名稱必須一致，否則材料不符合，退回重寫；

（2）圖4中的系統(tǒng)名稱，備案表，定級報告，補充信息表中的系統(tǒng)名稱必須一致，否則材料不符合，退回重寫；

（3）業(yè)務描述建議填寫系統(tǒng)功能及業(yè)務描述，以及系統(tǒng)的IP地址和URL；

（4）關鍵產(chǎn)品使用情況中的安全專用產(chǎn)品一般指安全防護設備，例如防火墻/ISP/WAF之類的等；網(wǎng)絡產(chǎn)品一般指網(wǎng)絡設備，例如交換機，路由器之類等；

（5）服務器，網(wǎng)絡產(chǎn)品，安全專用產(chǎn)品數(shù)量需與定級報告中的拓撲圖，以及拓撲圖描述的數(shù)量相一致。如圖5所示；

（6）業(yè)務信息安全保護等級和系統(tǒng)服務安全等級以及信息系統(tǒng)安全保護等級必須填寫正確，并且與定級報告相一致，否則材料不符合，退回重寫。

3.1.2 定級報告

定級報告主要包含系統(tǒng)概述，當系統(tǒng)遭到破壞對業(yè)務和系統(tǒng)服務的破壞程度等，詳細內(nèi)容網(wǎng)絡運營者可以參照中國網(wǎng)絡安全等級保護網(wǎng)中的要求和模板來填寫。建議在系統(tǒng)概述時畫出系統(tǒng)所在網(wǎng)絡的網(wǎng)絡架構拓撲圖，需明確邊界的安全防護設備、系統(tǒng)服務器所在的區(qū)域等；對網(wǎng)絡拓撲架構圖進行文字描述，重點說明邊界的安全防護措施、數(shù)據(jù)的保護措施等，其中設備數(shù)量需要與備案表中填寫的設備數(shù)量想一致。

圖3：備案表表一截圖

圖4：備案表表二截圖

圖5：備案表表三截圖

3.2 備案材料提交公安機關

關于備案材料，網(wǎng)絡運營者需要提交給公安機關的電子版材料有：

（1）《系統(tǒng)安全等級保護備案表》終稿；

（2）《結構化定級報告》終稿；

（3）電子版營業(yè)執(zhí)照、法人證書；

（4）其他相關電子版材料。

需要提交給網(wǎng)安的紙質(zhì)材料有：

（1）系統(tǒng)安全等級保護備案表紙質(zhì)材料兩份，并在備案表的封面?zhèn)浒竼挝惶帯⒈硪坏膯挝幻Q處蓋單位公章；

（2）定級報告紙質(zhì)版一份，并在首頁蓋單位公章；

（3）電子版營業(yè)執(zhí)照、法人證書；

（4）其他相關紙質(zhì)材料并且加蓋單位公章。

接收備案材料后，公安機關會重點審核已下內(nèi)容：

（1）備案材料基本信息填寫是否完整；

（2）網(wǎng)絡系統(tǒng)的定級是否準備，符合相關要求；

（3）提交的電子材料和紙質(zhì)材料是否一致。

4 結論

定級備案僅僅只是信息系統(tǒng)安全等級保護的前期準備工作，但也是重要的一個環(huán)節(jié)，只有備案材料公安機關審核通過，下發(fā)備案編號后，第三方測評機構才可以正式入場進行測評，希望網(wǎng)絡運營者重視定級備案工作并且認真執(zhí)行。以上為筆者結合標準以及自身工作對定級備案的一點總結，希望對各位有幫助，如有遺漏或錯誤，歡迎批評改正。