隨著信息技術的飛速發展，網絡和信息安全已成為國家安全、社會穩定和經濟發展的重要基石。網絡和信息安全軟件作為防護體系的核心，其開發、應用與管理備受關注。為確保這類軟件的安全性與合規性，我國實施了網絡安全等級保護制度，要求相關系統（包括關鍵軟件）進行定級備案。本文旨在解析在填寫《網絡安全定級備案信息表》時，針對“網絡和信息安全軟件開發”這一特定類型，需要關注的核心要素與填報要點。

一、定級備案概述

網絡安全定級備案是國家網絡安全等級保護制度的基礎環節。其核心是對信息系統（包括作為獨立系統或核心組件的信息安全軟件）進行安全等級確定，并向公安機關備案。對于“網絡和信息安全軟件開發”項目或產品，通常指開發用于保障網絡、系統、數據安全的軟件，如防火墻系統、入侵檢測/防御系統（IDS/IPS）、安全審計系統、數據加密軟件、終端安全管理軟件、安全運維平臺等。這類軟件本身即是安全工具，其自身的安全性和可靠性直接關系到防護效能，因此定級備案尤為重要。

二、備案信息表核心內容解析（針對安全軟件開發）

在填寫備案信息表時，需結合安全軟件的特點，重點關注以下方面：

1. 系統/軟件基本信息：

• 系統名稱：應明確為具體的軟件產品名稱或項目名稱，例如“XX智能入侵檢測系統V3.0”。

• 系統類別：明確勾選或填寫為“網絡和信息安全軟件”或“網絡安全產品”。

• 承載的業務/功能描述：詳細闡述軟件的核心安全功能，例如：“實現對網絡流量的實時監測、異常行為分析、攻擊告警與阻斷；提供安全事件日志審計與報表生成功能。”需清晰說明其防護對象（如網絡邊界、主機、數據、應用等）。

2. 安全保護等級確定：
這是定級的核心。根據《信息安全技術 網絡安全等級保護定級指南》（GB/T 22240-2020），等級由受侵害的客體（公民、法人權益，社會秩序，公共利益，國家安全）及侵害程度綜合確定。對于安全軟件：

• 客體識別：安全軟件失效或被攻破，可能導致其保護的整個網絡、系統或數據面臨風險。因此，其定級不應僅考慮軟件自身，更應關聯其設計防護的目標系統或網絡的最高等級。例如，一款用于保護三級政務網絡的防火墻，其自身通常也應定為第三級。

• 侵害程度評估：需分析如果該安全軟件被破壞（如規則被篡改、檢測引擎失效、管理權限被竊取），可能對其防護對象造成的損害程度（一般損害、嚴重損害、特別嚴重損害）。

• 建議：安全軟件的定級普遍較高，常見為第二級或第三級。若其用于保護關鍵信息基礎設施或涉及國家安全，可能達到第四級。

1. 系統服務與資產識別：

• 服務范圍：說明軟件部署和服務的范圍（如全網、特定業務區域）。

• 關鍵資產：明確軟件本身（包括源代碼、算法模型、配置策略）、其生成和存儲的安全數據（日志、告警、策略庫）、以及其管理控制臺為關鍵資產。

4. 安全責任部門與人員：
明確軟件的開發單位、運營使用單位（可能是同一單位，也可能是軟件供應商與用戶單位）。安全責任主體通常是軟件的運營使用單位或其主管部門。

5. 安全建設與整改情況（如適用）：
對于新開發軟件，可闡述在開發生命周期（SDL）中融入的安全設計，如遵循的安全編碼規范、進行的安全測試（滲透測試、代碼審計）、使用的加密算法合規性等。對于已上線軟件，需說明已采取的安全技術措施（如自身身份鑒別、訪問控制、日志審計）和管理措施。

三、專項建議與注意事項

1. 強調“自保”能力：在描述中需突出該安全軟件自身的安全防護設計，例如：如何防止自身被繞過、如何保證管理通道安全、如何確保日志完整性。這是評審關注的重點。
2. 關聯性定級思維：務必跳出“僅僅為一個軟件工具定級”的思維，建立“為軟件所承載的安全使命定級”的關聯性思維，確保定級準確。
3. 材料準備完整性：除了備案信息表，通常還需準備：系統拓撲結構圖、軟件架構說明、安全需求規格說明書、安全測試報告、用戶手冊等作為附件，以佐證定級的合理性和安全措施的完備性。
4. 合規性聲明：確保軟件開發遵循國家相關法律法規和標準，如使用經認證的密碼模塊。

###

對網絡和信息安全軟件開發項目進行準確、規范的網絡安全定級備案，不僅是履行法律義務、滿足監管要求的關鍵步驟，更是對軟件自身安全性和所提供服務可靠性的系統性審視與承諾。通過嚴謹的定級備案流程，能夠促使開發者和使用者從源頭和全生命周期強化安全防護，共同筑牢國家網絡空間的安全防線。開發單位與運營單位應密切協作，準確評估，如實填報，確保國家等級保護制度在這一關鍵領域有效落地。