基于網絡安全法的等級保護工作開展研究

李云亞，陳大文，李盛民

（江蘇金盾檢測技術有限公司，江蘇 南京 210013）

2017年6月1日《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）正式實施。第二十一條提出“國家實行網絡安全等級保護制度”，第三十一條提出“關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。至此，網絡安全等級保護制度上升為法律要求，網絡運營者必須按照網絡安全等級保護制度，采取相應的管理措施和技術防范措施，履行相應的網絡安全保護義務。本文從網絡安全等級保護定級備案、建設整改和等級測評3個方面，結合網絡安全法相關內容闡述作為網絡運營者需要履行的安全保護義務及工作要求。

1 定級備案

系統定級作為網絡安全等級保護工作的第一步，定級結果直接影響到后續工作的順利開展。作為網絡運營者應當依據《信息安全技術 信息系統安全等級保護定級指南》（GB/T 22240—2008）（以下簡稱《定級指南》）分析業務信息和系統服務遭到破壞后，所侵害的客體，以及對相應客體的侵害程度，確定信息系統安全保護級別，并及時到當地市級以上公安機關辦理備案手續。另外，針對關鍵信息基礎設施，從網絡安全法第三十一條可以看出，關鍵信息基礎設施一旦遭到破壞、喪失功能或者數據泄露，可能會嚴重危害國家安全、國計民生、公共利益。根據《定級指南》，可能嚴重危害到國家安全、國計民生、公共利益的信息系統，安全保護等級至少在3級及以上。所以，作為關鍵信息基礎設施，其安全保護等級不得低于3級。

網絡運營者一定要仔細分析信息系統業務信息和系統服務遭到破壞后，所侵害的客體以及對相應客體的侵害程度，準確定級[1]。網絡運營者在初步確定網絡安全保護等級后，應當及時組織相關專家對定級結果的合理性進行評審，避免出現所定級別過低或過高的現象，并及時向主管部門報批系統定級結果。

2 建設整改

在確定網絡安全保護等級后，網絡運營者在開展建設整改工作時，首先應當確保已完全履行了網絡安全法第二十一條所規定的全部安全保護義務。網絡安全法第二十一條具體內容如下。

第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務：保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任。

（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。

（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于6個月。

（四）采取數據分類、重要數據備份和加密等措施。

（五）法律、行政法規規定的其他義務。

第一條是安全管理方面的要求，雖說安全技術是信息安全控制的重要手段，許多信息系統的安全性保障都要依靠技術手段來實現，但光有安全技術還不行，要讓安全技術發揮應有的作用，必然要有適當的管理程序。否則，安全技術只能趨于僵化和失敗[2]。所以強調網絡運營者必須要有針對性地建立自己的網絡安全管理體系，且至少包含管理制度和操作規范兩個層面。管理制度是網絡運營者制定的有關管理組織架構、人員配備、行為規范和管理責任等方面的規則。操作規程是網絡運維者制定的相關人員在進行日常操作時應當遵守的程序和步驟。除此以外還需確定網絡安全負責人，落實網絡運營者第一責任人的責任。

第二條是安全技術防范方面的要求，強調網絡運營者須采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。防范計算機病毒方面比較常見的技術措施有防病毒軟件和防毒墻，防病毒軟件主要防范服務器操作系統層面的惡意病毒，防毒墻一般以硬件形式部署網絡邊界處，對來自外部網絡的惡意代碼在網絡層進行檢測阻攔，將惡意代碼或病毒程序阻擋在網絡邊界外。網絡攻擊防范技術措施，較為常見的有防火墻設備，用于實現網絡或安全域邊界的隔離保護；另外除普通防火墻外，還有Web應用防火墻，用于實現對來自應用層的攻擊行為進行防范保護。網絡侵入防范技術常見的有入侵檢測（IDS）、入侵防御（IPS）等設備，IDS設備主要用于對入侵行為的檢測報警不具備阻攔功能，IPS可對入侵行為進行阻攔，但對業務系統可用性要求較高的單位，一般都選用IDS，因為IPS有可能會發生誤報對業務系統正常運行造成影響。作為網絡運營者應結合此項要求，至少配備防范計算機病毒和網絡攻擊、網絡侵入等方面中的一項或多項技術措施。

第三條是安全監測和審計方面的要求，強調網絡運營者必須具備監測、記錄網絡運行狀態、網絡安全事件的技術措施。這塊比較常見的措施有網絡審計系統、主機審計系統、數據庫審計系統和運維審計系統分別對信息系統各個層面進行監測記錄，另外近幾年逐漸出現大數據日志分析平臺，主要將信息系統中各個層面的日志信息進行統一匯總分析。對于日志留存方面，還提出按照規定留存相關的網絡日志不少于6個月，即相關的網絡日志存儲周期要大于6個月。作為網絡運營者至少應當具備監測并記錄網絡運行狀態和安全事件的技術措施，另外還要具備相關日志的備份措施，保障相關日志存儲周期大于6個月。

第四條是數據保護方面的要求，網絡運營者須根據數據的重要性對數據進行分類實施保護，重要數據須具備備份措施和數據加密措施。重要數據的備份要支持在發生安全事件后數據的有效恢復，另外對于重要數據的加密要從數據傳輸和存儲兩個方面去考慮實施。

第五條是法律、行政法規規定的其他義務。除網絡安全法規定范圍內的其他義務，如行業主管部門對行業內的網絡安全要求、地方政府部門對網絡安全的相關要求等。

除網絡安全法第二十一條規定的內容外，網絡運營者還應當按照網絡安全法第二十五條規定的要求，建立網絡安全事件應急預案，應急預案至少應當覆蓋能夠及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全事件。另外，網絡運營者應定期組織應急演練，確保應急預案制度的有效執行。

第二十五條網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

作為關鍵信息基礎設施的網絡運營者除履行好網絡安全法第二十一條和第二十五條規定的義務外，還應當履行網絡安全法第三十四條規定網絡運營者須履行的安全保護義務。

第三十四條 除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務。

（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。

（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核。

（三）對重要系統和數據庫進行容災備份。

（四）制定網絡安全事件應急預案，并定期進行演練。

（五）法律、行政法規規定的其他義務。

（1）網絡運營者需設立專門的網絡安全管理部門以及安全管理負責人，來負責制定本單位網絡安全保護策略，并落實執行各項網絡安全工作；另外對安全管理負責人和關鍵崗位人員進行背景審查，以確定其從事安全管理負責人和關鍵崗位的可靠性。（2）網絡運營者須定期對從業人員進行相關培訓和考核，以提高從業人員的網絡安全意識和網絡安全技能，從而更好地保障網絡系統的安全穩定運行。（3）網絡運營者須提供對重要系統和數據庫系統的容災備份措施，確保在發生安全事件時，備份系統能夠替代主系統正常運行。（4）網絡運營者須針對系統內可能發生的安全事件建立應急預案，并定期組織演練工作，以提高應急人員處理應急事件的能力，確保在發生安全事件時能夠快速有效地處理[3]。（5）除以上規定義務外，法律、行政法規規定的其他義務，如行業網絡安全方面的相關技術要求等。

一般信息系統網絡運營者在滿足網絡安全第二十一條和第二十五條要求的基礎上，關鍵信息基礎設施網絡運營者在滿足網絡安全法第二十一條、第二十五條和第三十四條規定的基礎上分別按照各自所定的安全保護級別，參照《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）和《信息安全技術 信息系統等級保護安全設計技術要求》（GB/T 25070—2010）等標準，再進一步開展建設整改工作。

3 等級測評

信息系統在完成建設整改上線運行后，為保障信息系統長期的安全穩定運行，網絡運營者必須要不斷地對信息系統開展檢測、整改工作。網絡安全法第三十八條中提出“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險，每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門”。另外，在《信息安全等級保護管理辦法》公通字〔2007〕43號第十四條中同樣也提出“信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評”。

由于關鍵信息基礎設施的安全保護等級均在3級及以上，所以網絡運營者針對關鍵信息基礎設施，應當每年均委托具備公安部門認可的測評機構，開展等級測評工作[4]，并將測評結果和整改措施報送給負責關鍵信息基礎設施安全保護工作的部門。

4 結語

網絡安全法正式實施，等級保護上升為法律要求。網絡運營者若拒不履行或履行不當，可能會導致單位和個人承擔相應的法律責任。為避免產生相應的法律后果，保障信息系統的安全穩定運行，網絡運營者應當積極開展落實網絡安全等級保護工作。為適應當前安全形勢，迎合信息技術的快速發展，目前部分網絡安全等級保護相關標準制度，國家相關部門正在進一步改編修訂中，網絡運營者應當積極主動關注網絡安全等級保護制度最新變化，及時根據相關要求調整安全策略，確保信息系統的各項安全保障措施滿足最新安全形勢需要。