網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全等級保護(hù)制度探討

魏旭

摘? ?要：隨著信息科技的飛速發(fā)展，網(wǎng)絡(luò)走進(jìn)千家萬戶，其應(yīng)用領(lǐng)域越來越廣泛，對社會經(jīng)濟(jì)發(fā)展以及人們?nèi)粘Ｉ畹挠绊懸苍絹碓街匾?。網(wǎng)絡(luò)在提供便利生活的同時，也有著巨大的安全隱患。因此，如何創(chuàng)新網(wǎng)絡(luò)技術(shù)，建立健全網(wǎng)絡(luò)安全等級制度以及加強(qiáng)網(wǎng)絡(luò)安全管理是我國網(wǎng)絡(luò)管理的核心所在。文章主要簡述了網(wǎng)絡(luò)安全等級保護(hù)制度，提出網(wǎng)絡(luò)安全管理的對策，以期為防控網(wǎng)絡(luò)安全風(fēng)險、營造綠色網(wǎng)絡(luò)環(huán)境提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全等級保護(hù)制度;信息安全

1? ? 網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全等級保護(hù)制度概述

我國的網(wǎng)絡(luò)安全等級保護(hù)制度的法律形式可分為4個階段。1994年2月《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》出臺，這是我國首次提出網(wǎng)絡(luò)安全等級保護(hù)制度。由于網(wǎng)絡(luò)信息技術(shù)滯后，當(dāng)時的具體配套措施并未真正實施。2007年7月《信息安全等級保護(hù)管理辦法》出臺，并在重點聯(lián)網(wǎng)單位開始執(zhí)行。此后，我國網(wǎng)絡(luò)安全等級保護(hù)制度進(jìn)入推行階段。2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，網(wǎng)絡(luò)安全等級制度第一次以法律形式出現(xiàn)，成為社會強(qiáng)制性義務(wù)，這也是在法律層面防止網(wǎng)絡(luò)數(shù)據(jù)免受干擾、破壞、竊取、泄露、篡改等的一項強(qiáng)制性保護(hù)措施。2019年5月網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，對“威脅情報檢測系統(tǒng)”和“威脅情報庫”做出了具體要求。

2? ? ?網(wǎng)絡(luò)安全等級保護(hù)制度概述

2.1? 工作原則

我國網(wǎng)絡(luò)安全等級保護(hù)制度的貫徹原則為“自主定級、自主保護(hù)”。各企事業(yè)單位在建立計算機(jī)系統(tǒng)后，應(yīng)參照系統(tǒng)信息安全性、重要性以及與公共利益、其他合法組織等的權(quán)益相關(guān)情況，自主定級、自主保護(hù)，以滿足國家相關(guān)網(wǎng)絡(luò)安全等級保護(hù)制度的具體要求。

2.2? 法律責(zé)任

我國的網(wǎng)絡(luò)安全等級保護(hù)制度堅持的是“自主定級、自主保護(hù)”的原則，但是并不意味著可以忽視其法律責(zé)任?！吨腥A人民共和國網(wǎng)絡(luò)安全法》中規(guī)定：網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處1萬元以上10萬元以下罰款，對直接負(fù)責(zé)的主管人員處5 000元以上5萬元以下罰款[1]?！吨腥A人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中規(guī)定：有違反計算機(jī)信息系統(tǒng)安全等級保護(hù)制度，危害計算機(jī)系統(tǒng)安全等行為的，由公安機(jī)關(guān)處以警告或者整頓?！吨腥A人民共和國刑法修正案九》第二十八條，對刑法第二百八十六條的補(bǔ)充：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使違法信息大量傳播的;致使用戶信息泄露，造成嚴(yán)重后果的;致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的;有其他嚴(yán)重情節(jié)的，處3年以下有期徒刑、拘役或者管制，并處或者單處罰金[2]。

2.3? 等級劃分

按照信息系統(tǒng)遭受破壞后，對國家安全、公共利益帶來的影響，計算機(jī)信息系統(tǒng)安全保護(hù)可分為五級，危害程度越大，級別越高。舉例來說，假如A單位的網(wǎng)絡(luò)信息系統(tǒng)遭到破壞后，嚴(yán)重擾亂社會公共秩序，使公共利益遭受嚴(yán)重?fù)p失，則可將其定級為三級或者三級以上。需要注意的是，該等級劃分標(biāo)準(zhǔn)是無法量化的。

2.4? 監(jiān)管部門

根據(jù)相關(guān)法律規(guī)定，我國網(wǎng)絡(luò)安全監(jiān)督與管理主要由國務(wù)院電信主管部門、國家網(wǎng)信部門以及各級公安部門負(fù)責(zé)。與此同時，上述3個部門也是我國網(wǎng)絡(luò)安全等級保護(hù)制度的主要監(jiān)管部門。

3? ? 網(wǎng)絡(luò)安全管理對策

3.1? 定級實現(xiàn)

在計算機(jī)信息系統(tǒng)構(gòu)建完成以后，相關(guān)網(wǎng)絡(luò)運營者應(yīng)根據(jù)其系統(tǒng)識別以及相關(guān)描述，全面評估網(wǎng)絡(luò)信息安全風(fēng)險，明確網(wǎng)絡(luò)信息安全等級，起草、上交定級報告，開展定級備案。根據(jù)相關(guān)規(guī)定，二級及二級以上的計算機(jī)系統(tǒng)運營者或者主管部門，應(yīng)在確定安全保護(hù)等級后30日內(nèi)，到相關(guān)公安機(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行網(wǎng)絡(luò)安全保護(hù)等級備案工作;而對于新建的二級及二級以上的網(wǎng)絡(luò)信息系統(tǒng)，則應(yīng)在正式運營后，到相關(guān)公安機(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行備案工作，備案時間仍以30日為限。

3.2? 總體規(guī)劃

網(wǎng)絡(luò)安全建設(shè)的總體規(guī)劃，應(yīng)基于計算機(jī)信息系統(tǒng)，結(jié)合業(yè)務(wù)范圍、數(shù)據(jù)敏感度以及安全風(fēng)險評估分析等，合理設(shè)計具體結(jié)構(gòu)、制定安全管理策略，以滿足信息系統(tǒng)的安全需求，進(jìn)而為網(wǎng)絡(luò)系統(tǒng)的安全管理打下良好基礎(chǔ)。對于該系統(tǒng)，還應(yīng)分析其整體特征以及特有需求，以明確差距，開展有針對性的操作。

3.3? 安全實施與維護(hù)

根據(jù)網(wǎng)絡(luò)信息安全保護(hù)等級制度要求，基于自身安全設(shè)計規(guī)劃，開展安全實施工作，完善安全管理體系?；诖耍贫ňW(wǎng)絡(luò)安全管理方案，執(zhí)行逐級安全保護(hù)責(zé)任制，細(xì)化網(wǎng)絡(luò)使用部門、運行部門以及安全管理部門的權(quán)責(zé)，做到“有法可依、有章可循、違法必究”;加強(qiáng)網(wǎng)絡(luò)安全知識的推廣與宣傳，對關(guān)鍵崗位人員進(jìn)行定期培訓(xùn)，并將培訓(xùn)納入績效考核范疇;引入先進(jìn)的安全保護(hù)技術(shù)，制定科學(xué)的應(yīng)急方案;記錄、保全安全保護(hù)日志以及檔案，及時排查網(wǎng)絡(luò)安全風(fēng)險，對突出的安全隱患及時進(jìn)行整改整頓。并注重提高專項整治效率，實現(xiàn)抓實、抓緊、抓出成效。此外，還應(yīng)開展動態(tài)維護(hù)，對系統(tǒng)運行情況進(jìn)行實時監(jiān)控跟蹤，以分析變化趨勢與規(guī)律，不斷改造安全隱患，提高網(wǎng)絡(luò)信息系統(tǒng)運行的安全性與穩(wěn)定性。

4? ? 結(jié)語

網(wǎng)絡(luò)安全等級保護(hù)制度是網(wǎng)絡(luò)信息安全體系建設(shè)的基本方針、基本制度以及基本策略，同時也是衡量網(wǎng)絡(luò)安全管理質(zhì)量的重要依據(jù)。不管用于辦公、生產(chǎn)的網(wǎng)絡(luò)信息系統(tǒng)，還是各類服務(wù)、貿(mào)易平臺，都應(yīng)基于網(wǎng)絡(luò)安全等級保護(hù)制度，加強(qiáng)網(wǎng)絡(luò)安全管理，維護(hù)網(wǎng)絡(luò)空間主權(quán)以及發(fā)展利益。特別是對安全等級保護(hù)在三級及以上的網(wǎng)絡(luò)信息系統(tǒng)或者關(guān)鍵基礎(chǔ)設(shè)施單位，更應(yīng)對其實施重點保護(hù)，并根據(jù)業(yè)務(wù)屬性以及數(shù)據(jù)敏感程度，制定行之有效的針對性安全管理策略，以防止出現(xiàn)重要信息泄露、資產(chǎn)遭受違法訪問等，對國家及其他組織的合法權(quán)益造成嚴(yán)重?fù)p失。

[參考文獻(xiàn)]

[1]全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法[M].北京：法律出版社，2016.

[2]李欣，厚佳琪.網(wǎng)絡(luò)安全等級保護(hù)工作的創(chuàng)新發(fā)展[J].中國信息安全，2019（8）：33-34.