隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)和信息安全已成為國家安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展的重要基石。網(wǎng)絡(luò)和信息安全軟件作為防護(hù)體系的核心，其開發(fā)、應(yīng)用與管理備受關(guān)注。為確保這類軟件的安全性與合規(guī)性，我國實施了網(wǎng)絡(luò)安全等級保護(hù)制度，要求相關(guān)系統(tǒng)（包括關(guān)鍵軟件）進(jìn)行定級備案。本文旨在解析在填寫《網(wǎng)絡(luò)安全定級備案信息表》時，針對“網(wǎng)絡(luò)和信息安全軟件開發(fā)”這一特定類型，需要關(guān)注的核心要素與填報要點。

一、定級備案概述

網(wǎng)絡(luò)安全定級備案是國家網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)環(huán)節(jié)。其核心是對信息系統(tǒng)（包括作為獨立系統(tǒng)或核心組件的信息安全軟件）進(jìn)行安全等級確定，并向公安機(jī)關(guān)備案。對于“網(wǎng)絡(luò)和信息安全軟件開發(fā)”項目或產(chǎn)品，通常指開發(fā)用于保障網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全的軟件，如防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)（IDS/IPS）、安全審計系統(tǒng)、數(shù)據(jù)加密軟件、終端安全管理軟件、安全運(yùn)維平臺等。這類軟件本身即是安全工具，其自身的安全性和可靠性直接關(guān)系到防護(hù)效能，因此定級備案尤為重要。

二、備案信息表核心內(nèi)容解析（針對安全軟件開發(fā)）

在填寫備案信息表時，需結(jié)合安全軟件的特點，重點關(guān)注以下方面：

1. 系統(tǒng)/軟件基本信息：

• 系統(tǒng)名稱：應(yīng)明確為具體的軟件產(chǎn)品名稱或項目名稱，例如“XX智能入侵檢測系統(tǒng)V3.0”。

• 系統(tǒng)類別：明確勾選或填寫為“網(wǎng)絡(luò)和信息安全軟件”或“網(wǎng)絡(luò)安全產(chǎn)品”。

• 承載的業(yè)務(wù)/功能描述：詳細(xì)闡述軟件的核心安全功能，例如：“實現(xiàn)對網(wǎng)絡(luò)流量的實時監(jiān)測、異常行為分析、攻擊告警與阻斷；提供安全事件日志審計與報表生成功能。”需清晰說明其防護(hù)對象（如網(wǎng)絡(luò)邊界、主機(jī)、數(shù)據(jù)、應(yīng)用等）。

2. 安全保護(hù)等級確定：
這是定級的核心。根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GB/T 22240-2020），等級由受侵害的客體（公民、法人權(quán)益，社會秩序，公共利益，國家安全）及侵害程度綜合確定。對于安全軟件：

• 客體識別：安全軟件失效或被攻破，可能導(dǎo)致其保護(hù)的整個網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)面臨風(fēng)險。因此，其定級不應(yīng)僅考慮軟件自身，更應(yīng)關(guān)聯(lián)其設(shè)計防護(hù)的目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的最高等級。例如，一款用于保護(hù)三級政務(wù)網(wǎng)絡(luò)的防火墻，其自身通常也應(yīng)定為第三級。

• 侵害程度評估：需分析如果該安全軟件被破壞（如規(guī)則被篡改、檢測引擎失效、管理權(quán)限被竊取），可能對其防護(hù)對象造成的損害程度（一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害）。

• 建議：安全軟件的定級普遍較高，常見為第二級或第三級。若其用于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施或涉及國家安全，可能達(dá)到第四級。

1. 系統(tǒng)服務(wù)與資產(chǎn)識別：

• 服務(wù)范圍：說明軟件部署和服務(wù)的范圍（如全網(wǎng)、特定業(yè)務(wù)區(qū)域）。

• 關(guān)鍵資產(chǎn)：明確軟件本身（包括源代碼、算法模型、配置策略）、其生成和存儲的安全數(shù)據(jù)（日志、告警、策略庫）、以及其管理控制臺為關(guān)鍵資產(chǎn)。

4. 安全責(zé)任部門與人員：
明確軟件的開發(fā)單位、運(yùn)營使用單位（可能是同一單位，也可能是軟件供應(yīng)商與用戶單位）。安全責(zé)任主體通常是軟件的運(yùn)營使用單位或其主管部門。

5. 安全建設(shè)與整改情況（如適用）：
對于新開發(fā)軟件，可闡述在開發(fā)生命周期（SDL）中融入的安全設(shè)計，如遵循的安全編碼規(guī)范、進(jìn)行的安全測試（滲透測試、代碼審計）、使用的加密算法合規(guī)性等。對于已上線軟件，需說明已采取的安全技術(shù)措施（如自身身份鑒別、訪問控制、日志審計）和管理措施。

三、專項建議與注意事項

1. 強(qiáng)調(diào)“自保”能力：在描述中需突出該安全軟件自身的安全防護(hù)設(shè)計，例如：如何防止自身被繞過、如何保證管理通道安全、如何確保日志完整性。這是評審關(guān)注的重點。
2. 關(guān)聯(lián)性定級思維：務(wù)必跳出“僅僅為一個軟件工具定級”的思維，建立“為軟件所承載的安全使命定級”的關(guān)聯(lián)性思維，確保定級準(zhǔn)確。
3. 材料準(zhǔn)備完整性：除了備案信息表，通常還需準(zhǔn)備：系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖、軟件架構(gòu)說明、安全需求規(guī)格說明書、安全測試報告、用戶手冊等作為附件，以佐證定級的合理性和安全措施的完備性。
4. 合規(guī)性聲明：確保軟件開發(fā)遵循國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)，如使用經(jīng)認(rèn)證的密碼模塊。

###

對網(wǎng)絡(luò)和信息安全軟件開發(fā)項目進(jìn)行準(zhǔn)確、規(guī)范的網(wǎng)絡(luò)安全定級備案，不僅是履行法律義務(wù)、滿足監(jiān)管要求的關(guān)鍵步驟，更是對軟件自身安全性和所提供服務(wù)可靠性的系統(tǒng)性審視與承諾。通過嚴(yán)謹(jǐn)?shù)亩墏浒噶鞒蹋軌虼偈归_發(fā)者和使用者從源頭和全生命周期強(qiáng)化安全防護(hù)，共同筑牢國家網(wǎng)絡(luò)空間的安全防線。開發(fā)單位與運(yùn)營單位應(yīng)密切協(xié)作，準(zhǔn)確評估，如實填報，確保國家等級保護(hù)制度在這一關(guān)鍵領(lǐng)域有效落地。