隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)和信息安全已成為國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的重要基石。網(wǎng)絡(luò)和信息安全軟件作為防護(hù)體系的核心，其開(kāi)發(fā)、應(yīng)用與管理備受關(guān)注。為確保這類(lèi)軟件的安全性與合規(guī)性，我國(guó)實(shí)施了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，要求相關(guān)系統(tǒng)（包括關(guān)鍵軟件）進(jìn)行定級(jí)備案。本文旨在解析在填寫(xiě)《網(wǎng)絡(luò)安全定級(jí)備案信息表》時(shí)，針對(duì)“網(wǎng)絡(luò)和信息安全軟件開(kāi)發(fā)”這一特定類(lèi)型，需要關(guān)注的核心要素與填報(bào)要點(diǎn)。

一、定級(jí)備案概述

網(wǎng)絡(luò)安全定級(jí)備案是國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)環(huán)節(jié)。其核心是對(duì)信息系統(tǒng)（包括作為獨(dú)立系統(tǒng)或核心組件的信息安全軟件）進(jìn)行安全等級(jí)確定，并向公安機(jī)關(guān)備案。對(duì)于“網(wǎng)絡(luò)和信息安全軟件開(kāi)發(fā)”項(xiàng)目或產(chǎn)品，通常指開(kāi)發(fā)用于保障網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全的軟件，如防火墻系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、安全審計(jì)系統(tǒng)、數(shù)據(jù)加密軟件、終端安全管理軟件、安全運(yùn)維平臺(tái)等。這類(lèi)軟件本身即是安全工具，其自身的安全性和可靠性直接關(guān)系到防護(hù)效能，因此定級(jí)備案尤為重要。

二、備案信息表核心內(nèi)容解析（針對(duì)安全軟件開(kāi)發(fā)）

在填寫(xiě)備案信息表時(shí)，需結(jié)合安全軟件的特點(diǎn)，重點(diǎn)關(guān)注以下方面：

1. 系統(tǒng)/軟件基本信息：

• 系統(tǒng)名稱(chēng)：應(yīng)明確為具體的軟件產(chǎn)品名稱(chēng)或項(xiàng)目名稱(chēng)，例如“XX智能入侵檢測(cè)系統(tǒng)V3.0”。

• 系統(tǒng)類(lèi)別：明確勾選或填寫(xiě)為“網(wǎng)絡(luò)和信息安全軟件”或“網(wǎng)絡(luò)安全產(chǎn)品”。

• 承載的業(yè)務(wù)/功能描述：詳細(xì)闡述軟件的核心安全功能，例如：“實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)測(cè)、異常行為分析、攻擊告警與阻斷；提供安全事件日志審計(jì)與報(bào)表生成功能。”需清晰說(shuō)明其防護(hù)對(duì)象（如網(wǎng)絡(luò)邊界、主機(jī)、數(shù)據(jù)、應(yīng)用等）。

2. 安全保護(hù)等級(jí)確定：
這是定級(jí)的核心。根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2020），等級(jí)由受侵害的客體（公民、法人權(quán)益，社會(huì)秩序，公共利益，國(guó)家安全）及侵害程度綜合確定。對(duì)于安全軟件：

• 客體識(shí)別：安全軟件失效或被攻破，可能導(dǎo)致其保護(hù)的整個(gè)網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)面臨風(fēng)險(xiǎn)。因此，其定級(jí)不應(yīng)僅考慮軟件自身，更應(yīng)關(guān)聯(lián)其設(shè)計(jì)防護(hù)的目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的最高等級(jí)。例如，一款用于保護(hù)三級(jí)政務(wù)網(wǎng)絡(luò)的防火墻，其自身通常也應(yīng)定為第三級(jí)。

• 侵害程度評(píng)估：需分析如果該安全軟件被破壞（如規(guī)則被篡改、檢測(cè)引擎失效、管理權(quán)限被竊取），可能對(duì)其防護(hù)對(duì)象造成的損害程度（一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害）。

• 建議：安全軟件的定級(jí)普遍較高，常見(jiàn)為第二級(jí)或第三級(jí)。若其用于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施或涉及國(guó)家安全，可能達(dá)到第四級(jí)。

1. 系統(tǒng)服務(wù)與資產(chǎn)識(shí)別：

• 服務(wù)范圍：說(shuō)明軟件部署和服務(wù)的范圍（如全網(wǎng)、特定業(yè)務(wù)區(qū)域）。

• 關(guān)鍵資產(chǎn)：明確軟件本身（包括源代碼、算法模型、配置策略）、其生成和存儲(chǔ)的安全數(shù)據(jù)（日志、告警、策略庫(kù)）、以及其管理控制臺(tái)為關(guān)鍵資產(chǎn)。

4. 安全責(zé)任部門(mén)與人員：
明確軟件的開(kāi)發(fā)單位、運(yùn)營(yíng)使用單位（可能是同一單位，也可能是軟件供應(yīng)商與用戶單位）。安全責(zé)任主體通常是軟件的運(yùn)營(yíng)使用單位或其主管部門(mén)。

5. 安全建設(shè)與整改情況（如適用）：
對(duì)于新開(kāi)發(fā)軟件，可闡述在開(kāi)發(fā)生命周期（SDL）中融入的安全設(shè)計(jì)，如遵循的安全編碼規(guī)范、進(jìn)行的安全測(cè)試（滲透測(cè)試、代碼審計(jì)）、使用的加密算法合規(guī)性等。對(duì)于已上線軟件，需說(shuō)明已采取的安全技術(shù)措施（如自身身份鑒別、訪問(wèn)控制、日志審計(jì)）和管理措施。

三、專(zhuān)項(xiàng)建議與注意事項(xiàng)

1. 強(qiáng)調(diào)“自保”能力：在描述中需突出該安全軟件自身的安全防護(hù)設(shè)計(jì)，例如：如何防止自身被繞過(guò)、如何保證管理通道安全、如何確保日志完整性。這是評(píng)審關(guān)注的重點(diǎn)。
2. 關(guān)聯(lián)性定級(jí)思維：務(wù)必跳出“僅僅為一個(gè)軟件工具定級(jí)”的思維，建立“為軟件所承載的安全使命定級(jí)”的關(guān)聯(lián)性思維，確保定級(jí)準(zhǔn)確。
3. 材料準(zhǔn)備完整性：除了備案信息表，通常還需準(zhǔn)備：系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖、軟件架構(gòu)說(shuō)明、安全需求規(guī)格說(shuō)明書(shū)、安全測(cè)試報(bào)告、用戶手冊(cè)等作為附件，以佐證定級(jí)的合理性和安全措施的完備性。
4. 合規(guī)性聲明：確保軟件開(kāi)發(fā)遵循國(guó)家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)，如使用經(jīng)認(rèn)證的密碼模塊。

###

對(duì)網(wǎng)絡(luò)和信息安全軟件開(kāi)發(fā)項(xiàng)目進(jìn)行準(zhǔn)確、規(guī)范的網(wǎng)絡(luò)安全定級(jí)備案，不僅是履行法律義務(wù)、滿足監(jiān)管要求的關(guān)鍵步驟，更是對(duì)軟件自身安全性和所提供服務(wù)可靠性的系統(tǒng)性審視與承諾。通過(guò)嚴(yán)謹(jǐn)?shù)亩?jí)備案流程，能夠促使開(kāi)發(fā)者和使用者從源頭和全生命周期強(qiáng)化安全防護(hù)，共同筑牢國(guó)家網(wǎng)絡(luò)空間的安全防線。開(kāi)發(fā)單位與運(yùn)營(yíng)單位應(yīng)密切協(xié)作，準(zhǔn)確評(píng)估，如實(shí)填報(bào)，確保國(guó)家等級(jí)保護(hù)制度在這一關(guān)鍵領(lǐng)域有效落地。