網絡安全管理與網絡安全等級保護制度探討

魏旭

摘? ?要：隨著信息科技的飛速發(fā)展，網絡走進千家萬戶，其應用領域越來越廣泛，對社會經濟發(fā)展以及人們日常生活的影響也越來越重要。網絡在提供便利生活的同時，也有著巨大的安全隱患。因此，如何創(chuàng)新網絡技術，建立健全網絡安全等級制度以及加強網絡安全管理是我國網絡管理的核心所在。文章主要簡述了網絡安全等級保護制度，提出網絡安全管理的對策，以期為防控網絡安全風險、營造綠色網絡環(huán)境提供參考。

關鍵詞：網絡安全管理;網絡安全等級保護制度;信息安全

1? ? 網絡安全管理與網絡安全等級保護制度概述

我國的網絡安全等級保護制度的法律形式可分為4個階段。1994年2月《中華人民共和國計算機信息系統(tǒng)安全保護條例》出臺，這是我國首次提出網絡安全等級保護制度。由于網絡信息技術滯后，當時的具體配套措施并未真正實施。2007年7月《信息安全等級保護管理辦法》出臺，并在重點聯(lián)網單位開始執(zhí)行。此后，我國網絡安全等級保護制度進入推行階段。2017年6月《中華人民共和國網絡安全法》正式實施，網絡安全等級制度第一次以法律形式出現(xiàn)，成為社會強制性義務，這也是在法律層面防止網絡數(shù)據(jù)免受干擾、破壞、竊取、泄露、篡改等的一項強制性保護措施。2019年5月網絡安全等級保護制度2.0標準正式發(fā)布，對“威脅情報檢測系統(tǒng)”和“威脅情報庫”做出了具體要求。

2? ? ?網絡安全等級保護制度概述

2.1? 工作原則

我國網絡安全等級保護制度的貫徹原則為“自主定級、自主保護”。各企事業(yè)單位在建立計算機系統(tǒng)后，應參照系統(tǒng)信息安全性、重要性以及與公共利益、其他合法組織等的權益相關情況，自主定級、自主保護，以滿足國家相關網絡安全等級保護制度的具體要求。

2.2? 法律責任

我國的網絡安全等級保護制度堅持的是“自主定級、自主保護”的原則，但是并不意味著可以忽視其法律責任。《中華人民共和國網絡安全法》中規(guī)定：網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5 000元以上5萬元以下罰款[1]。《中華人民共和國計算機信息系統(tǒng)安全保護條例》中規(guī)定：有違反計算機信息系統(tǒng)安全等級保護制度，危害計算機系統(tǒng)安全等行為的，由公安機關處以警告或者整頓。《中華人民共和國刑法修正案九》第二十八條，對刑法第二百八十六條的補充：網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，致使違法信息大量傳播的;致使用戶信息泄露，造成嚴重后果的;致使刑事案件證據(jù)滅失，情節(jié)嚴重的;有其他嚴重情節(jié)的，處3年以下有期徒刑、拘役或者管制，并處或者單處罰金[2]。

2.3? 等級劃分

按照信息系統(tǒng)遭受破壞后，對國家安全、公共利益帶來的影響，計算機信息系統(tǒng)安全保護可分為五級，危害程度越大，級別越高。舉例來說，假如A單位的網絡信息系統(tǒng)遭到破壞后，嚴重擾亂社會公共秩序，使公共利益遭受嚴重損失，則可將其定級為三級或者三級以上。需要注意的是，該等級劃分標準是無法量化的。

2.4? 監(jiān)管部門

根據(jù)相關法律規(guī)定，我國網絡安全監(jiān)督與管理主要由國務院電信主管部門、國家網信部門以及各級公安部門負責。與此同時，上述3個部門也是我國網絡安全等級保護制度的主要監(jiān)管部門。

3? ? 網絡安全管理對策

3.1? 定級實現(xiàn)

在計算機信息系統(tǒng)構建完成以后，相關網絡運營者應根據(jù)其系統(tǒng)識別以及相關描述，全面評估網絡信息安全風險，明確網絡信息安全等級，起草、上交定級報告，開展定級備案。根據(jù)相關規(guī)定，二級及二級以上的計算機系統(tǒng)運營者或者主管部門，應在確定安全保護等級后30日內，到相關公安機關網監(jiān)部門進行網絡安全保護等級備案工作;而對于新建的二級及二級以上的網絡信息系統(tǒng)，則應在正式運營后，到相關公安機關網監(jiān)部門進行備案工作，備案時間仍以30日為限。

3.2? 總體規(guī)劃

網絡安全建設的總體規(guī)劃，應基于計算機信息系統(tǒng)，結合業(yè)務范圍、數(shù)據(jù)敏感度以及安全風險評估分析等，合理設計具體結構、制定安全管理策略，以滿足信息系統(tǒng)的安全需求，進而為網絡系統(tǒng)的安全管理打下良好基礎。對于該系統(tǒng)，還應分析其整體特征以及特有需求，以明確差距，開展有針對性的操作。

3.3? 安全實施與維護

根據(jù)網絡信息安全保護等級制度要求，基于自身安全設計規(guī)劃，開展安全實施工作，完善安全管理體系。基于此，制定網絡安全管理方案，執(zhí)行逐級安全保護責任制，細化網絡使用部門、運行部門以及安全管理部門的權責，做到“有法可依、有章可循、違法必究”;加強網絡安全知識的推廣與宣傳，對關鍵崗位人員進行定期培訓，并將培訓納入績效考核范疇;引入先進的安全保護技術，制定科學的應急方案;記錄、保全安全保護日志以及檔案，及時排查網絡安全風險，對突出的安全隱患及時進行整改整頓。并注重提高專項整治效率，實現(xiàn)抓實、抓緊、抓出成效。此外，還應開展動態(tài)維護，對系統(tǒng)運行情況進行實時監(jiān)控跟蹤，以分析變化趨勢與規(guī)律，不斷改造安全隱患，提高網絡信息系統(tǒng)運行的安全性與穩(wěn)定性。

4? ? 結語

網絡安全等級保護制度是網絡信息安全體系建設的基本方針、基本制度以及基本策略，同時也是衡量網絡安全管理質量的重要依據(jù)。不管用于辦公、生產的網絡信息系統(tǒng)，還是各類服務、貿易平臺，都應基于網絡安全等級保護制度，加強網絡安全管理，維護網絡空間主權以及發(fā)展利益。特別是對安全等級保護在三級及以上的網絡信息系統(tǒng)或者關鍵基礎設施單位，更應對其實施重點保護，并根據(jù)業(yè)務屬性以及數(shù)據(jù)敏感程度，制定行之有效的針對性安全管理策略，以防止出現(xiàn)重要信息泄露、資產遭受違法訪問等，對國家及其他組織的合法權益造成嚴重損失。

[參考文獻]

[1]全國人民代表大會常務委員會.中華人民共和國網絡安全法[M].北京：法律出版社，2016.

[2]李欣，厚佳琪.網絡安全等級保護工作的創(chuàng)新發(fā)展[J].中國信息安全，2019（8）：33-34.