網絡安全管理與網絡安全等級保護制度探究

趙娟

《中華人民共和國網絡安全法》于2017年6月1日正式施行，該法第二十一條規定“？國家實行網絡安全等級保護制度。”這是網絡安全等級保護這個名詞第一次以法律形式出現，這也是中國從法律層面保障企事業單位計算機網絡免受干擾、破壞或者非法訪問，進而防止計算機網絡數據遭受泄露或者被竊取、篡改的一項強制性舉措?？墒牵鐣τ诘燃壉Ｗo制度的認知認同和落實執行情況卻不容樂觀，一些重點聯網單位負責人甚至計算機網絡管理人員對等級保護制度了解不深、執行不力，在建設、維護計算機信息網絡的過程中不能自覺適用等級保護制度的規定和標準，造成單位內部計算機信息網絡安全管理制度和安全技術措施不到位的現象屢見不鮮，這將嚴重危害我國的信息網絡安全。本文通過對中國等級保護制度的分析和研究，提出按照等級保護制度來開展單位內部信息網絡安全管理的對策，為企事業單位內部信息網絡安全管理工作提供政策指導。

一、等級保護制度的法律淵源

等級保護制度的法律形成分為三個階段，歷時23年。第一階段為提出階段。第一次提出等級保護制度是1994年2月18日發布的《中華人民共和國計算機信息系統安全保護條例》，條例第九條規定“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。”條列出臺等級保護制度后，鑒于中國當時信息網絡處于比較落后狀態，并未真正出臺配套具體制度。第二階段為推行階段。2007年7月，四部委聯合出臺《信息安全等級保護管理辦法》，這一規章成為推動我國等級保護制度的起點。從2007年開始，國務院有關主管部門通力協作，先后出臺了具體的等級保護制度實施辦法、國家和行業標準，全國開始在重點聯網單位推行等級保護制度。第三階段是強制階段。《中華人民共和國網絡安全法》于2017年6月1日正式施行，等級保護制度寫進法律，等級保護制度成為全社會強制性義務。中國在網絡安全制度上開啟新局面。

二、等級保護制度的主要內容

第一，等級劃分。計算機信息系統安全保護等級分為五級，劃分的標準是信息系統受到各種破壞后造成后果的嚴重性，信息系統遭受破壞后危及國家安全、社會秩序和公共利益的程度越大，劃分的級別越高。比如說，某單位的計算機網絡信息系統或者網絡工作服務平臺受到破壞后，可能對社會秩序或者公共利益造成嚴重損害，一般定級為三級以上。這種劃分標準不是量化的。

第二，工作原則。我國的信息安全等級保護堅持自主定級、自主保護的原則。各單位內部的計算機信息系統建成后，根據系統的重要性、安全性與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關聯程度，自主定級、自主保護，自覺履行等級保護制度各項規定和要求。

第三，監督管理。依據法律規定，國家網信部門、國務院電信主管部門、公安部門等負責網絡安全保護和監督管理工作，這三大部門也是等級保護制度的監督管理部門。

第四，法律責任。雖然等級保護制度堅持自主定級、自主保護的原則，但是法律責任依然存在?！吨腥A人民共和國網絡安全法》第五十九條規定，？網絡運營者不履行等級保護制度相關安全保護義務的，由有關主管部門對相關單位和直接責任人作出行政處罰。《中華人民共和國計算機信息系統安全保護條例》第二十條規定，違反計算機信息系統安全等級保護制度，危害計算機信息系統安全的，由公安機關處以警告或者停機整頓。此外，《中華人民共和國刑法修正案九》第二十八條規定，網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正、情節嚴重的將追究刑事責任。

三、單位內部信息網絡安全等級保護對策

等級保護制度既是單位內部網絡安全建設和管理的指針，也是衡量單位內部網絡安全保護能力的標準。無論是單位內部的辦公、生產的計算機信息系統還是對外的網站、各類網絡宣傳、服務、交易平臺，在網絡安全管理上都應當以等級保護制度為依據來開展相關工作，既能保障合法又能保障安全，特別是定級為三級以上的計算機信息系統更要定期按照等級保護制度要求實施網絡安全管理。

（一）系統建設中的網絡安全保護措施

企事業單位在計算機信息系統建設的立項、評估、招標等環節，應當同步考慮網絡安全建設，國家等級保護制度出臺了一些列標準，企事業單位的建設、運營、管理相關人員要熟知并執行這些標準，有關標準名錄如下表。

（二）自主定級和備案

計算機信息系統建設完成后，要按照等級保護制度開展定級備案工作。按照規定，已運營（運行）的第二級以上計算機信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上的計算機信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。定級備案工作的有關詳細流程和規定參見《信息系統安全等級保護實施指南》（GB/T 25058-2010）。定級的要素和等級的關系如下表。

（三）信息系統安全等級保護測評

第三級以上計算機信息系統在定級備案后，應當開展信息系統安全等級保護測評工作。測評工作有關要求參照《信息安全技術 信息系統安全等級保護測評要求》（GB/T 28448-2012）、《信息安全技術 信息系統安全等級保護測評過程指南》（GB/T28449-2012）。信息系統安全等級保護測評分為安全技術測評和安全管理測評兩大類。

（四）網絡安全體系

按照等級保護制度，企事業單位網絡安全體系主要是安全管理和安全技術兩大方面。

安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。網絡安全管理的主要內容具體包括有主要領導負責的逐級安全保護責任制，配備專職或者兼職的安全管理員，；明確運行和使用部門或者安全崗位的責任，建立完善的安全管理規章制度；全員開展網絡安全知識和法律法規教育培訓，對重點崗位的安全管理人員進行專門培訓和考核；采取必要的安全技術措施；對安全保護工作記錄日志、保全檔案；制定網絡安全應急計劃和應急措施；定期進行安全檢測和風險分析，及時整改安全隱患。

安全技術包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。安全技術的主要內容有防干擾防火防盜防災等實體安全技、身份認證、安全審計、漏洞掃描、入侵監測檢測、防火墻、病毒防治、安全操作系統和安全數據庫、加密保密、信息內容過濾等，網絡安全技術是不可窮盡的，是一個動態防護。