新形勢下落實網(wǎng)絡(luò)安全等級保護制度

孟瑜

（潤成安全技術(shù)有限公司，天津 南開 300110）

0 引言

當(dāng)前信息系統(tǒng)會因為安全管理不當(dāng)、配置問題、代碼缺陷以及防護措施不足等，而引入一些不可避免的安全漏洞。這些信息系統(tǒng)存在的安全漏洞將有可能會被惡意攻擊者利用，從而給信息系統(tǒng)帶來極大的安全風(fēng)險。因此為應(yīng)對這些網(wǎng)絡(luò)安全威脅，企業(yè)和單位急需一個可以有效指導(dǎo)開展信息網(wǎng)絡(luò)安全防護工作的方法。而目前最值得各單位和企業(yè)使用的就是網(wǎng)絡(luò)安全等級保護方法，它是我國當(dāng)前開展網(wǎng)絡(luò)安全工作的基本方法，也是我國保障國家信息安全的基本國策和基本制度。

1 網(wǎng)絡(luò)安全等級保護制度的相關(guān)介紹

網(wǎng)絡(luò)安全等級保護制度實際上指的就是對包括法人、公民和組織在內(nèi)的專有或公開的信息以及國家機密信息進(jìn)行分等級的安全防護，同時對處理、傳輸以及存儲這些信息的系統(tǒng)也要開展分等級的安全防護。除此之外，在所使用的信息系統(tǒng)中還需要對應(yīng)用到的安全產(chǎn)品進(jìn)行分等級的管理，且對其中發(fā)生的安全事件進(jìn)行分等級的處置與響應(yīng)。對于網(wǎng)絡(luò)安全等級保護制度來說，就是按照信息的重要程度開展分等級保護的工作，這項工作如今已經(jīng)被很多國家實施，從而有效防范信息及信息系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅。在我國，從廣義上來講，網(wǎng)絡(luò)安全等級保護制度就是對涉及網(wǎng)絡(luò)安全的信息、系統(tǒng)、產(chǎn)品以及標(biāo)準(zhǔn)按照等級保護的思想來開展網(wǎng)絡(luò)安全防護工作。而從狹義上來講，網(wǎng)絡(luò)安全等級保護制度指的是對信息系統(tǒng)開展分等級的保護[1-2]。

對于信息系統(tǒng)來說，它的網(wǎng)絡(luò)安全保護等級不應(yīng)該是參考該信息系統(tǒng)已經(jīng)采取或?qū)⒁扇〉木W(wǎng)絡(luò)安全防護手段來確立的。而是應(yīng)該根據(jù)該信息系統(tǒng)本身的重要程度，以及當(dāng)該信息系統(tǒng)被攻擊者攻破之后，會對人民群眾的合法權(quán)益、社會的穩(wěn)定以及國家的安全造成危害的嚴(yán)重性，來有效確立該信息系統(tǒng)應(yīng)該處于哪個安全保護等級。當(dāng)信息系統(tǒng)的安全保護等級為二級或二級以上時，系統(tǒng)的歸屬單位就需要到當(dāng)?shù)毓矙C關(guān)的網(wǎng)絡(luò)安全部門對該信息系統(tǒng)進(jìn)行備案。并且信息系統(tǒng)的保護等級為三級時，需要每年開展一次測評工作，而保護等級為四級時，該信息系統(tǒng)則要每半年開展一次測評工作。信息系統(tǒng)的歸屬單位在拿到等級測評的結(jié)果之后，要及時的對信息系統(tǒng)進(jìn)行安全整改，確保信息系統(tǒng)符合等級安全保護的要求。行業(yè)主管部門以及公安機關(guān)等監(jiān)管部門需要定期對備案的信息系統(tǒng)開展安全檢查，及時發(fā)現(xiàn)信息系統(tǒng)存在的安全問題，避免給人民群眾、社會以及國家造成損失。

2 當(dāng)前網(wǎng)絡(luò)安全等級保護制度面臨的新形勢

2.1 數(shù)據(jù)安全問題越來越嚴(yán)峻

國家、社會以及企業(yè)當(dāng)前對于信息技術(shù)以及互聯(lián)網(wǎng)的應(yīng)用水平越來越成熟，數(shù)據(jù)已經(jīng)逐漸成為各方極力爭搶的戰(zhàn)略資源。如今大數(shù)據(jù)時代已經(jīng)到來，信息化的高速發(fā)展離不開數(shù)據(jù)資源的有力支持。隨著互聯(lián)網(wǎng)的迅速發(fā)展以及人類的生活生產(chǎn)等各項活動跟信息技術(shù)的快速融合，使得全球的數(shù)據(jù)信息出現(xiàn)了爆發(fā)式的增長，這對于人民生活、國家管理、社會治理以及經(jīng)濟的發(fā)展都帶來了重大的影響。由于當(dāng)前新發(fā)展形勢下，網(wǎng)絡(luò)安全問題非常嚴(yán)峻，公安部也多次強調(diào)開展對于大數(shù)據(jù)的安全治理工作，且對于公民個人信息的有效防護也是數(shù)據(jù)安全保護的重要工作之一[3]。

2.2 網(wǎng)絡(luò)安全等級保護制度可以體現(xiàn)企業(yè)的安全防護能力

當(dāng)前社會關(guān)于網(wǎng)絡(luò)安全意識的大力宣傳，以及對于等級保護制度的有效落實，使得廣大人民群眾以及各個行業(yè)除了關(guān)注企業(yè)提供的信息系統(tǒng)的便利性之外，還會更加注重對于該信息系統(tǒng)安全級別的考量。隨著當(dāng)前網(wǎng)絡(luò)上頻頻爆發(fā)的信息安全事件，使得人民群眾對于信息系統(tǒng)網(wǎng)絡(luò)安全防護能力的要求變得也越來越高。因此，現(xiàn)如今的網(wǎng)絡(luò)安全等級保護制度也逐漸成為了體現(xiàn)企業(yè)網(wǎng)絡(luò)安全防護能力的指標(biāo)之一，它能夠?qū)υ撈髽I(yè)的網(wǎng)絡(luò)安全防護能力進(jìn)行有效的展示。尤其是對于金融行業(yè)來說，常常通過建立安全認(rèn)證體系以及開展網(wǎng)絡(luò)安全等級保護，進(jìn)而為企業(yè)打造出一個具有較強的網(wǎng)絡(luò)安全防護能力的形象。各企業(yè)開展網(wǎng)絡(luò)安全等級保護不僅是要滿足網(wǎng)絡(luò)安全監(jiān)管部門制定的合規(guī)要求，也是為了向企業(yè)用戶宣傳其信息系統(tǒng)或平臺的安全性，通過增強用戶對企業(yè)的信心，從而有效促進(jìn)企業(yè)未來的發(fā)展[4]。

3 當(dāng)前在新形勢下如何才能有效落實網(wǎng)絡(luò)安全等級保護制度

3.1 學(xué)習(xí)網(wǎng)絡(luò)安全等級保護制度的具體要求和內(nèi)容

雖然人們當(dāng)前對于網(wǎng)絡(luò)安全知識的認(rèn)識要比之前強了很多，但是仍然存在一些問題，比如對網(wǎng)絡(luò)本身的安全認(rèn)知不足等。一些企業(yè)認(rèn)為網(wǎng)絡(luò)只要在企業(yè)內(nèi)部使用就不會出現(xiàn)網(wǎng)絡(luò)安全問題，這很明顯缺少對于網(wǎng)絡(luò)安全的正確認(rèn)知。應(yīng)用信息網(wǎng)絡(luò)的企業(yè)中，往往包含一些重點工程、大型企業(yè)、金融、電信、廣電、能源、交通等關(guān)乎著國家經(jīng)濟命脈的重要企業(yè)。這些企業(yè)的信息網(wǎng)絡(luò)一旦遭到了外部或者內(nèi)部的攻擊，將會直接影響國計民生，從而帶來非常嚴(yán)重的后果。因此，各行各業(yè)都要不斷加強對于網(wǎng)絡(luò)安全等級保護制度的學(xué)習(xí)，清楚掌握該制度的具體要求和內(nèi)容[5-6]。

3.2 增強企業(yè)的網(wǎng)絡(luò)安全管理和防護能力

當(dāng)前很多企業(yè)對于網(wǎng)絡(luò)安全的管理和防護都存在一些問題，他們很難找到正確有效的網(wǎng)絡(luò)安全管理和防護方法。所以在實際開展網(wǎng)絡(luò)安全防護工作時，不清楚怎樣有效開展網(wǎng)絡(luò)安全情況的檢查，以及怎樣對現(xiàn)有的網(wǎng)絡(luò)安全情況進(jìn)行改進(jìn)和完善。一些企業(yè)認(rèn)為只要在內(nèi)部的網(wǎng)絡(luò)中應(yīng)用了防火墻、防病毒以及入侵檢測等一系列的網(wǎng)絡(luò)安全防護設(shè)備，就能夠保證企業(yè)內(nèi)部的網(wǎng)絡(luò)安全不受侵害，其實這種對于網(wǎng)絡(luò)安全的認(rèn)識是非常錯誤的。企業(yè)對于網(wǎng)絡(luò)安全的建設(shè)和管理的不到位，導(dǎo)致了企業(yè)對于網(wǎng)絡(luò)安全建設(shè)的投資變得沒有意義，且讓企業(yè)的整個網(wǎng)絡(luò)安全防護能力處于非常低的水平。因此，要想提高自身的網(wǎng)絡(luò)安全防護能力，就必須不斷增強企業(yè)的網(wǎng)絡(luò)安全管理以及防護能力。

3.3 對網(wǎng)絡(luò)安全進(jìn)行有力的監(jiān)督管理

我國雖然已經(jīng)發(fā)布了很多網(wǎng)絡(luò)安全相關(guān)的法規(guī)法律以及技術(shù)標(biāo)準(zhǔn)，但是在網(wǎng)絡(luò)安全的監(jiān)管方面還有一定的欠缺。隨著當(dāng)前網(wǎng)絡(luò)安全形勢越來越復(fù)雜，舊的網(wǎng)絡(luò)安全監(jiān)督管理方法已經(jīng)不再適用，必須開展關(guān)于新的監(jiān)督管理辦法的研究，并加大對網(wǎng)絡(luò)安全監(jiān)管的力度。舊的網(wǎng)絡(luò)安全管理辦法沒有認(rèn)識到不同信息數(shù)據(jù)對于網(wǎng)絡(luò)安全的要求不同，因此要對信息數(shù)據(jù)按照重要性級別開展分等級的監(jiān)督管理。除此之外當(dāng)前很多企業(yè)在開展網(wǎng)絡(luò)安全的排查工作時，經(jīng)常使用一些一般性的檢查手段來排查，缺少先進(jìn)的網(wǎng)絡(luò)安全檢測工具和全面的檢測標(biāo)準(zhǔn)，從而導(dǎo)致對網(wǎng)絡(luò)安全的排查不夠深入和全面。因此，面對新形勢下的網(wǎng)絡(luò)安全問題，在落實網(wǎng)絡(luò)安全等級保護制度時，必須要注重對網(wǎng)絡(luò)安全進(jìn)行有力的監(jiān)督管理，使網(wǎng)絡(luò)安全防護工作按照標(biāo)準(zhǔn)有序執(zhí)行[7]。

3.4 建立規(guī)范和高水平的網(wǎng)絡(luò)安全機構(gòu)

我國當(dāng)前關(guān)于建立規(guī)范和高水平的網(wǎng)絡(luò)安全機構(gòu)還不夠重視，缺少這類專業(yè)的網(wǎng)絡(luò)安全機構(gòu)去完成技術(shù)咨詢、風(fēng)險分析以及監(jiān)測評估等工作事項。由于建立網(wǎng)絡(luò)安全機構(gòu)需要專業(yè)的網(wǎng)絡(luò)安全人才，并且這類人才需要具備最新的網(wǎng)絡(luò)安全知識，使得建立專業(yè)的網(wǎng)絡(luò)安全機構(gòu)相對也比較困難。目前我國有很多企業(yè)都是自己在管理和防護企業(yè)的信息網(wǎng)絡(luò)安全，這些企業(yè)網(wǎng)絡(luò)安全防范以及管理服務(wù)的水平相對較低，因此急需借助專業(yè)的網(wǎng)絡(luò)安全機構(gòu)來完成企業(yè)的網(wǎng)絡(luò)安全防護工作。網(wǎng)絡(luò)安全機構(gòu)可以幫助促進(jìn)等級保護制度的落實，讓企業(yè)、個人以及國家共同推動網(wǎng)絡(luò)安全等級保護制度的發(fā)展，進(jìn)而有效應(yīng)對我國目前面對的網(wǎng)絡(luò)安全新威脅[8]。

4 結(jié)語

面對當(dāng)前社會如此復(fù)雜的網(wǎng)絡(luò)安全形勢，在國內(nèi)快速落實網(wǎng)絡(luò)安全等級保護制度顯得至關(guān)重要。當(dāng)前不論國家、企業(yè)還是個人，都要不斷學(xué)習(xí)了解網(wǎng)絡(luò)安全等級保護制度相關(guān)知識，提高自身的網(wǎng)絡(luò)安全防護意識和能力。同時應(yīng)該在國內(nèi)建立一些專業(yè)的網(wǎng)絡(luò)安全機構(gòu)，進(jìn)一步完善與網(wǎng)絡(luò)安全相關(guān)的政策與法律法規(guī)。各相關(guān)部門還要加大對網(wǎng)絡(luò)安全的監(jiān)督管理力度，確保各企業(yè)內(nèi)部有效落實網(wǎng)絡(luò)安全等級保護制度，避免網(wǎng)絡(luò)安全問題的發(fā)生。