網絡安全管理與網絡安全等級保護制度探討

張儉

摘要：隨著互聯網在社會各領域的普及，網絡發展給人們工作生活帶來了很大的便利，但同時也帶來了巨大的安全隱患，網絡安全等保是網絡安保的有效途徑，隨著網絡技術發展，網絡安全管理必須優化升級，建立網絡安全等保制度，明確網絡安全管理的重要性。

關鍵詞：網絡安全管理;網絡安全等保制度

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）05-0041-02

開放科學（資源服務）標識碼 （OSID）：

網絡安全等級保護是網絡安全主管部門領導下，針對網絡安全保護制定的工作措施，規定各安全保護等級的技術標準的工作，具有一定的科學性與嚴肅性。2017年，《網絡安全法》實施，第21條規定國家實行網絡安全等級保護制度，明確網絡安全等級保護制度法律地位，2019年，國家標準化管理委員會發布2.0國家標準，包括《網絡安全等?；疽蟆返龋缺Ｗ兏鼮榫W絡安全等保，標志著信息安全等級保護制度跨入2.0新階段。網絡安全等級保護制度規范性開展網絡安全管理工作，可以強化網絡安全管理實效，通過嚴格的等級劃分，監督管理等方面人手，全面貫徹網絡安全管理，促進網絡安全工作的全面升級，營造安全穩定的網絡環境。

1 我國信息網絡安全現狀

隨著現代科技快速發展，人們對網絡使用需求加大，國家對信息網絡安全管理要求不斷提高。信息網絡時代對國家信息管理帶來了巨大的威脅?；ヂ摼W快速發展使得犯罪分子利用互聯網違法犯罪案例日益增多，技術對利益的誘惑超出了法律的管理能力，法律穩定與現代社會快速發展產生了矛盾，網絡空間成為繼海陸空后的主權領域，棱鏡計劃等信息網絡安全事件，使網絡安全的重要性日益凸顯。

《中華人民共和國網絡安全法》是我國涉及信息網絡安全的基礎法律，對我國信息網絡健康發展具有重要指導意義。網絡安全法涉及信息網絡發展中存在的各種問題，確立了如何進行維護國家網絡空間主權的基本程序。建設綠色網絡環境中，公民需要自主履行網絡安全綠色健康發展義務。我國自1997年開始對互聯網犯罪相關行為進行規制，我國法律對罪名的確定遵循針對計算機到互聯網為工具犯罪的邏輯程序，但計算機互聯網工具犯罪的治理是補救型立法方式，執法中有國家強制力為保障，但自上而下的單一治理模式難以應對快速發展的社會中多樣化的互聯網犯罪問題，通過立法強化公民自我約束意識，使企業市場積極主動開展自我規制的活動是立法的關鍵。

我國信息網絡安全管理體系逐步完善，但體系中仍存在一些不足。我國網絡信息安全管理中的問題主要表現為網絡安全意識薄弱，保障信息網絡安全基礎較為薄弱。隨著經濟全球化發展，信息網絡安全在國家安全保護中的地位日漸提高，發達國家堅持將相關建設放在重要戰略位置。目前我國意識到保障信息網絡安全的重要性，但網絡安全保護體系相對缺失，導致現有法律難以充分適應現代社會的快速發展要求，最終成為經濟科學發展的絆腳石。發達國家依靠較高的法制建設水平作為維護信息網絡安全的基礎，我國由于經濟建設起步較晚等原因，導致保障信息網絡安全經濟基礎較為薄弱，使得我國信息網絡安全發展存在較大隱患，易受到境內外互聯網供給，如竊取我國隱私等黑客行為[1]。

隨著信息化快速發展，計算機廣泛應用于國民經濟各個領域，大多數公安機關建立了網絡安全保衛部門，但新時期公安機關對計算機信息網絡的管理面臨很多的挑戰，網絡安全等保2.0標準頒布，要求公安機關必須重視加強計算機網絡安全管理。

2 網絡安全管理與等級保護制度

通常針對信息系統安全等級劃分，依據信息系統受到破壞帶來后果的嚴重度，如對國家安全損害程度大則級別高，如某一事業單位計算機網絡信息系統受破壞對公共利益損壞嚴重定級為三級以上，以往對計算機信息系統安全保護等級劃分標準不能進行量化。

我國針對計算機安全等級保護工作堅持自主定級的原則，但單位計算機信息系統構建后根據系統的安全性及與其他組織的相關權益關聯，進行自主保護，遵守各等級保護制度要求。我國法律對計算機網絡安全管理規定，國家網信部等負責網絡安全管理工作。我國各單位對網絡安全管理實行等級保護制度，主要堅持自主保護原則，《網絡安全法》規定，網絡運營商未履行等保制度義務，應受到相關主管部門行政處罰，《刑罰修正案9》規定，網絡服務者未遵守相關網絡安全管理義務，由相關監管部門糾正，拒不改正的，單位和個人被追究刑事責任。

安全計算環境是對計算機網絡等級系統進行詳細管理，對信息系統核心情況整理，計算機網絡在安全計算環境防護范圍內，可以拒絕外界攻擊訪問，安全計算機環境是對計算機網絡安全防范工作系統改造，避免網絡存在安全漏洞等問題被攻擊，針對網絡安全計算環境保護，可對系統的供給進行有效控制，避免內部人員錯誤數據造成破壞行為。

隨著人工智能、物聯網、區塊鏈等技術廣泛應用，新技術應用帶來新產業變革，全球性網絡安全威脅日益猖獗，網絡安全形勢日益嚴峻，新網絡安全法頒布后，我國網絡安全上升到國家層面，公安部門應引導各方樹立正確的新時代網絡安全觀，構建網絡安全新生態，有效將等保制度落實。

網絡安全法規定國家網信部門負責統籌網絡安全工作，國務院電信主管部門及有關機關依照相關法律在各自職能范圍內負責網絡安全保護工作，公安機關在維護網絡空間治理中賦予安保監管職責。網絡安全法為公安機關履行網絡空間治理職責提供了法律支持，但我國依法治網初步建立，相關條款存在疏漏，為執法工作帶來了困難，網絡空間治理是社會治理的新命題，傳統執法理念，執法隊伍建設受到極大的挑戰。

公安部門應加大資源投入安全技術研究，參考引入國外先進網絡安全治理理念方法，健全技術標準，提升網絡安全服務能力，以滿足新技術模式的安全保護需求。屬地公安部門應加大與科研院校的溝通，成立網絡安全技術專家組，在大規模病毒爆發時有本地技術力量支撐。公安部門應加強與行業主管單位溝通，加大網絡安全等保工作宣傳，召開行業部門負責人參加的安全等保相關會議，促使各行業單位積極轉變觀念，認識網絡安全對單位安全穩定的重要性。

3 網絡安全等級保護制度下的網絡安全管理

3.1網絡安全管理規劃

全面落實網絡安全等保制度，需要各單位部門用戶的全面協同，為解決重要行業部門在新技術環境下開展等保工作，公安部組織國內科研院所，安全廠商等單位，總結1.0標準實施情況，研究新技術安全問題[2]。等保2.0標準發布為企業合規提出了更高的要求，網絡安全廠商在等保標準推廣中承擔相應的責任，所有的網絡安全廠商都是等保制度推行的受益者，也有責任義務投入等保制度的落實中[3]。

等級保護安全建設必須與信息化系統實現融合，網絡安全思路主要從假設系統有未被發現漏洞，系統被黑，有發現漏洞未打補丁及有內鬼情況，通過第三代網絡安全技術新戰略，動態授權訪問控制新戰術，數據驅動安全新戰力，實現高中低為三位一體，用戶，安全公司與云服務商三位一體。

網絡系統安全定級主要有系統識別與相關描述，確定網絡信息安全系統等級，實現對網絡信息系統的等級劃分。安全建設規劃是相關網絡信息系統為基礎，確定具體結構，根據實踐安全風險因素結合系統安全要求，制定安全管理計劃，可為信息系統安全建設提供指導，展開信息系統針對需求分析，確定整體情況，有針對性地開展操作。

安全實施工作是基于信息系統安全設計方案，落實各項安全措施，根據網絡信息安全等級要求制定需求方案，確定不同等級保護需求制定等級保護措施。網絡系統進行中，監控系統運行中存在的安全風險情況，整體分析網絡信息系統安全運行情況，基于評估結果優化系統中存在的安全問題，制定針對安全措施。

3.2 網絡安全管理措施

當前人們提高了對網絡內容安全的認識，但缺少網絡安全的認識，部分單位缺少保護網絡安全能力，隨著信息時代的發展，信息共享更為廣泛，信息網絡通暢以黨政機關為主，包括交通，光電，大型企業等國家經濟建設重點部門，相關單位的信息網絡與國民經濟發展密切相關，如受到攻擊會帶來嚴重的后果，應增強對網絡安全等保制度的認識[4]。

網絡安全管理建設存在一定的盲目性，許多單位不知如何改進網絡安全性，部分人認為網絡中設置入侵檢測，防火墻等程序即可確保網絡安全，網絡安全管理水平低導致投資失去針對性，無法保障網絡的安保能力。當前網絡監督管理相對薄弱，國家陸續頒布了很多網絡安全技術標準，給予很多主管部門執法監督職能，但隨著科技的迅速發展，傳統網絡安全管理方法不再適用，主要體現在無集中執法主體，多頭管理等方面，重點進行監督網絡無從下手。很多網絡安全檢查缺乏全面檢查標準，使得網絡安全檢查工作不能深入開展，檢測與監督職能界限不明，需要不斷加強網絡安全監督管理。

目前國內未形成高水平規范化網絡安全機構，缺少網絡安全方面風險分析等網絡安全相關機構，不能為社會網絡安全提供服務。國內很多單位自建信息網絡，管理服務水平較低，需建立網絡安全機構加強網絡安全管理。通過網絡安全相關專家研究，應根據網絡系統受到破壞后帶來的危害性等綜合因素，根據國標設置保護等級，提高網絡安保實用性科學性。通過實施網絡安全等保制度，國家加強監管工作，明確企業責任，探索符合新形勢的網絡安全發展路徑。

網絡安全等保納入信息安全意見中，需按網絡安全精神，與認可認證等部門進行網絡等保制度的制定工作，不斷完善檢測機構，技術標準，應全面了解保護網絡安全工作需要，做好網絡安全等保制度培訓工作，對相關人員進行網絡安保培訓。

4 結束語

網絡安全等保制度與網絡安全管理相輔相成，網絡安全管理是提高國家網絡安全環境的關鍵。新時期公安機關建設使用計算機玩兩個中面臨諸多挑戰，公安機關必須重視計算機網絡安全管理工作，提高計算機網絡安全管理水平。新形勢下網絡安全等保制度十分重要，相關部門應加強對網絡安全等保制度的重視，完善網絡安全法規，推動信息化發展，為網絡強國建設提供技術保障。

參考文獻：

[1]李賡曦，姚健，牛晨.基于等級保護制度的校園網絡安全建設 實踐[J].信息安全與技術，2016，7（4）：72-74.

[2]畢馬寧，李明.以等級保護制度為支付電子化管理安全護航[J].中國財政，2013（24）：39-41.

[3]國家/省信息安全等級保護工作協調小組辦公室推薦的測評機構[C]//第二屆全國信息安全等級保護測評體系建設會議 論文集.上海，2012：162-216.

[4]王會.基于等級保護的黨校網絡安全體系的研究與應用[D]. 廣州：中山大學，2012.

【通聯編輯：光文玲】