魏旭

摘? ?要：隨著信息科技的飛速發(fā)展，網(wǎng)絡走進千家萬戶，其應用領域越來越廣泛，對社會經(jīng)濟發(fā)展以及人們?nèi)粘Ｉ畹挠绊懸苍絹碓街匾＞W(wǎng)絡在提供便利生活的同時，也有著巨大的安全隱患。因此，如何創(chuàng)新網(wǎng)絡技術(shù)，建立健全網(wǎng)絡安全等級制度以及加強網(wǎng)絡安全管理是我國網(wǎng)絡管理的核心所在。文章主要簡述了網(wǎng)絡安全等級保護制度，提出網(wǎng)絡安全管理的對策，以期為防控網(wǎng)絡安全風險、營造綠色網(wǎng)絡環(huán)境提供參考。

關鍵詞：網(wǎng)絡安全管理;網(wǎng)絡安全等級保護制度;信息安全

1? ? 網(wǎng)絡安全管理與網(wǎng)絡安全等級保護制度概述

我國的網(wǎng)絡安全等級保護制度的法律形式可分為4個階段。1994年2月《中華人民共和國計算機信息系統(tǒng)安全保護條例》出臺，這是我國首次提出網(wǎng)絡安全等級保護制度。由于網(wǎng)絡信息技術(shù)滯后，當時的具體配套措施并未真正實施。2007年7月《信息安全等級保護管理辦法》出臺，并在重點聯(lián)網(wǎng)單位開始執(zhí)行。此后，我國網(wǎng)絡安全等級保護制度進入推行階段。2017年6月《中華人民共和國網(wǎng)絡安全法》正式實施，網(wǎng)絡安全等級制度第一次以法律形式出現(xiàn)，成為社會強制性義務，這也是在法律層面防止網(wǎng)絡數(shù)據(jù)免受干擾、破壞、竊取、泄露、篡改等的一項強制性保護措施。2019年5月網(wǎng)絡安全等級保護制度2.0標準正式發(fā)布，對“威脅情報檢測系統(tǒng)”和“威脅情報庫”做出了具體要求。

2? ? ?網(wǎng)絡安全等級保護制度概述

2.1? 工作原則

我國網(wǎng)絡安全等級保護制度的貫徹原則為“自主定級、自主保護”。各企事業(yè)單位在建立計算機系統(tǒng)后，應參照系統(tǒng)信息安全性、重要性以及與公共利益、其他合法組織等的權(quán)益相關情況，自主定級、自主保護，以滿足國家相關網(wǎng)絡安全等級保護制度的具體要求。

2.2? 法律責任

我國的網(wǎng)絡安全等級保護制度堅持的是“自主定級、自主保護”的原則，但是并不意味著可以忽視其法律責任?！吨腥A人民共和國網(wǎng)絡安全法》中規(guī)定：網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5 000元以上5萬元以下罰款[1]?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》中規(guī)定：有違反計算機信息系統(tǒng)安全等級保護制度，危害計算機系統(tǒng)安全等行為的，由公安機關處以警告或者整頓。《中華人民共和國刑法修正案九》第二十八條，對刑法第二百八十六條的補充：網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，致使違法信息大量傳播的;致使用戶信息泄露，造成嚴重后果的;致使刑事案件證據(jù)滅失，情節(jié)嚴重的;有其他嚴重情節(jié)的，處3年以下有期徒刑、拘役或者管制，并處或者單處罰金[2]。

2.3? 等級劃分

按照信息系統(tǒng)遭受破壞后，對國家安全、公共利益帶來的影響，計算機信息系統(tǒng)安全保護可分為五級，危害程度越大，級別越高。舉例來說，假如A單位的網(wǎng)絡信息系統(tǒng)遭到破壞后，嚴重擾亂社會公共秩序，使公共利益遭受嚴重損失，則可將其定級為三級或者三級以上。需要注意的是，該等級劃分標準是無法量化的。

2.4? 監(jiān)管部門

根據(jù)相關法律規(guī)定，我國網(wǎng)絡安全監(jiān)督與管理主要由國務院電信主管部門、國家網(wǎng)信部門以及各級公安部門負責。與此同時，上述3個部門也是我國網(wǎng)絡安全等級保護制度的主要監(jiān)管部門。

3? ? 網(wǎng)絡安全管理對策

3.1? 定級實現(xiàn)

在計算機信息系統(tǒng)構(gòu)建完成以后，相關網(wǎng)絡運營者應根據(jù)其系統(tǒng)識別以及相關描述，全面評估網(wǎng)絡信息安全風險，明確網(wǎng)絡信息安全等級，起草、上交定級報告，開展定級備案。根據(jù)相關規(guī)定，二級及二級以上的計算機系統(tǒng)運營者或者主管部門，應在確定安全保護等級后30日內(nèi)，到相關公安機關網(wǎng)監(jiān)部門進行網(wǎng)絡安全保護等級備案工作;而對于新建的二級及二級以上的網(wǎng)絡信息系統(tǒng)，則應在正式運營后，到相關公安機關網(wǎng)監(jiān)部門進行備案工作，備案時間仍以30日為限。

3.2? 總體規(guī)劃

網(wǎng)絡安全建設的總體規(guī)劃，應基于計算機信息系統(tǒng)，結(jié)合業(yè)務范圍、數(shù)據(jù)敏感度以及安全風險評估分析等，合理設計具體結(jié)構(gòu)、制定安全管理策略，以滿足信息系統(tǒng)的安全需求，進而為網(wǎng)絡系統(tǒng)的安全管理打下良好基礎。對于該系統(tǒng)，還應分析其整體特征以及特有需求，以明確差距，開展有針對性的操作。

3.3? 安全實施與維護

根據(jù)網(wǎng)絡信息安全保護等級制度要求，基于自身安全設計規(guī)劃，開展安全實施工作，完善安全管理體系。基于此，制定網(wǎng)絡安全管理方案，執(zhí)行逐級安全保護責任制，細化網(wǎng)絡使用部門、運行部門以及安全管理部門的權(quán)責，做到“有法可依、有章可循、違法必究”;加強網(wǎng)絡安全知識的推廣與宣傳，對關鍵崗位人員進行定期培訓，并將培訓納入績效考核范疇;引入先進的安全保護技術(shù)，制定科學的應急方案;記錄、保全安全保護日志以及檔案，及時排查網(wǎng)絡安全風險，對突出的安全隱患及時進行整改整頓。并注重提高專項整治效率，實現(xiàn)抓實、抓緊、抓出成效。此外，還應開展動態(tài)維護，對系統(tǒng)運行情況進行實時監(jiān)控跟蹤，以分析變化趨勢與規(guī)律，不斷改造安全隱患，提高網(wǎng)絡信息系統(tǒng)運行的安全性與穩(wěn)定性。

4? ? 結(jié)語

網(wǎng)絡安全等級保護制度是網(wǎng)絡信息安全體系建設的基本方針、基本制度以及基本策略，同時也是衡量網(wǎng)絡安全管理質(zhì)量的重要依據(jù)。不管用于辦公、生產(chǎn)的網(wǎng)絡信息系統(tǒng)，還是各類服務、貿(mào)易平臺，都應基于網(wǎng)絡安全等級保護制度，加強網(wǎng)絡安全管理，維護網(wǎng)絡空間主權(quán)以及發(fā)展利益。特別是對安全等級保護在三級及以上的網(wǎng)絡信息系統(tǒng)或者關鍵基礎設施單位，更應對其實施重點保護，并根據(jù)業(yè)務屬性以及數(shù)據(jù)敏感程度，制定行之有效的針對性安全管理策略，以防止出現(xiàn)重要信息泄露、資產(chǎn)遭受違法訪問等，對國家及其他組織的合法權(quán)益造成嚴重損失。

[參考文獻]

[1]全國人民代表大會常務委員會.中華人民共和國網(wǎng)絡安全法[M].北京：法律出版社，2016.

[2]李欣，厚佳琪.網(wǎng)絡安全等級保護工作的創(chuàng)新發(fā)展[J].中國信息安全，2019（8）：33-34.