淺談網絡安全等級保護制度在《網絡安全法》作用下的發展

◆郭巍　關興卓

淺談網絡安全等級保護制度在《網絡安全法》作用下的發展

◆郭巍關興卓

（吉林市公安局網絡安全保衛支隊 吉林 132000）

目前，伴隨著信息化和網絡化的迅猛發展，各行各業的主要業務均已實現信息化和網絡化，但是伴隨著新技術的不斷出現，也帶來了更大的安全威脅，網絡安全問題日益嚴重，在此背景下，網絡空間安全也成了國家安全的重要組成部分。網絡安全等級保護制度是根據我國國情，針對傳統信息系統、云計算、物聯網、移動互聯、工業控制和大數據等網絡系統實行的一套較為成熟的網絡安全防護機制。在《網絡安全法》實行后，網絡安全等級保護制度成為落實《網絡安全法》的重要手段，公安部門必須設法提高網絡等級保護標準的時效性，完善監督管理職能，以保證網絡空間的安全性。

網絡安全等級保護；制度；網絡安全法；發展

0 前言

現代社會，全球范圍的信息技術有了突飛猛進的發展，促使國民經濟不斷提高，信息化水平不斷提升，也促使網絡安全成為社會的重要組成部分。要想更好地提高網絡安全防護能力，公安部門作為等級保護工作的牽頭部門，應該組織技術力量制定出相應的網絡安全等級保護標準，并完善等級保護監督管理辦法，使其在《網絡安全法》的作用下能夠更加全面的提高網絡安全防護水平。

1 網絡安全等級保護的概念及主要內容

1.1 網絡安全等級保護的概念

所謂網絡安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

網絡安全等級保護是對信息及信息載體按照重要性等級分等級進行保護的一項工作，是國際上很多國家都實施的一項網絡安全防范工作。在中國，網絡安全等級保護廣義上是為涉及網絡安全工作的標準、產品、系統、信息等依據等級保護思想確立的安全工作；狹義上一般指信息系統安全等級保護。

1.2 網絡安全等級保護的主要內容

等級保護以國家強制標準《計算機信息系統安全保護等級劃分準則》（GB 17859—1999）為基礎，劃分為五個等級，分別為第一級：用戶自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級，并以此標準擴展出一系列信息安全技術國家推薦性標準。

等級保護制度規定了等級保護的5個基本動作，分別為定級、備案、等級測評、建設整改和監督檢查。信息系統的安全保護等級是信息系統本身的客觀自然屬性，不是以已采取或將采取什么安全保護措施為依據，而是以信息系統的重要性和信息系統遭到破壞后對國家安全、社會穩定、人民群眾合法權益的危害程度為依據，確定信息系統的安全等級。確定為第二級及以上信息系統時，系統運營使用單位應到屬地公安機關網絡安全部門進行備案工作。第三級系統應每年進行一次等級測評，第四級系統應每半年進行一次等級測評。系統運營、使用單位在測評后，應根據安全整改建議進行安全建設整改。公安部門和行業主管部門作為監督管理部門每年對系統運營、使用單位進行安全檢查。

2017年6月1日《網絡安全法》正式實行，其中第二十一條規定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

至此，等級保護完成了從國家強制技術標準、制度到法律法規的逐步完善，形成了一整套行之有效的安全防護機制。

2 網絡安全等級保護的現狀

2.1 數據安全問題日益突出

隨著互聯網和信息技術應用的高速發展，數據正在成為各方爭相搶奪的一種戰略型資源，成為當今數字時代的石油。在中共中央政治局實施國家大數據戰略進行第二次集體學習中，習近平總書記指出：“大數據是信息化發展的新階段。隨著信息技術和人類生產生活交匯融合，互聯網快速普及，全球數據呈現爆發增長、海量集聚的特點，對經濟發展、社會治理、國家管理、人民生活都產生了重大影響。”同時特別強調：“要切實保障國家數據安全。”

鑒于當前網絡安全的嚴峻形勢，公安部在召開的“2018年全國公安機關網絡安全執法檢查工作電視電話會議”中首次開展針對大數據安全的整治工作，尤其是針對公民個人信息的保護將是執法的重中之重。

2.2 網絡安全相關標準的體系化發展

自2017年6月1日《網絡安全法》作為我國網絡空間安全管理的基本法以來，國家有關部門及行業監管機構正在加快圍繞著以《網絡安全法》為核心法律框架制定和發布各項有關配套的網絡安全條例與標準規范，例如：《關鍵信息基礎設施安全保護條例(征求意見稿)》、《網絡產品和服務安全審查辦法(試行)》和《個人信息和重要數據出境安全評估辦法(征求意見稿)》等等。

2018年6月27日，公安部頒布《網絡安全等級保護條例(征求意見稿)》，并向社會公開征求意見。仍然有大量相關的法規正在研究和制定中，尚未出臺。但可以預見，未來網絡空間的安全將更加有法可依，有規可循。

2.3 網絡安全等級保護制度逐漸成為企業網絡安全防護能力的展示平臺

隨著網絡安全事件的持續高發，信息安全意識的宣傳普及，等級保護制度的全面落實，各個行業及廣大民眾在獲得互聯網信息服務便利性的同時也越來越關注服務提供商的信息安全的保障能力，網絡安全等級保護制度逐漸成為企業網絡安全防護能力的展示平臺，尤其在金融行業，各個金融服務平臺通過開展網絡安全等級保護、安全體系認證等對外打出網絡安全牌，一方面滿足監管安全合規要求，另一方面向廣大投資人和用戶宣傳平臺安全性，增強客戶信心，促進企業業務的發展。

3 網絡安全等級保護在網絡安全法作用下的發展

隨著人工智能、云計算、物聯網、大數據、移動互聯網和區塊鏈等技術越來越廣泛的應用和融合發展，新技術應用在帶來新一輪的產業變革的同時，全球性的網絡安全威脅和新型網絡犯罪也變得日益猖獗，重大網絡安全事故頻發，網絡安全形勢越發嚴峻。在《網絡安全法》頒布施行后，我國的網絡安全進入了新的時代，網絡安全上升到國家層面，同時關乎每個人的核心利益。在新的背景下，公安部門應引導各方樹立正確的新時代網絡安全觀，依托網絡安全共建共治共享的理念，構建網絡安全生態，攜手各方加強協同配合，更加有效地將等級保護制度落到實處。

3.1 網絡安全技術支撐

公安部門應加大資源投入安全技術研究，持續自主創新，參考和引入國外先進網絡安全治理理念和方法，進一步健全技術標準，全面提升網絡安全服務能力，以滿足新技術、新應用、新模式的安全保障需求。

屬地公安部門應加大與屬地科研院校和高技術企業的溝通與交流，成立屬地網絡安全技術專家組，以便在大規模病毒爆發或網絡攻擊時有本地的技術力量支撐。

3.2 發揮好行業主管單位的監管作用

公安部門應加強和行業主管單位的溝通與交流。以行業為單位加大網絡安全等級保護工作的宣傳力度，定期召開有關行業部門負責人參加的網絡安全等級保護相關會議，宣傳網絡安全等級保護工作的重要性和意義，促使各個行業單位積極轉變觀念，充分認識網絡安全對于各個單位安全和穩定的重要性以及由此產生的積極作用。

屬地公安部門應與行業主管單位聯合發文，指導、監督本行業的等級保護工作落實到位。

3.3 監督檢查企業網絡安全合規建設

自《網絡安全法》及其系列配套制度陸續發布并施行以來，公安部門組織開展了各項網絡安全專項執法活動，處罰案例頻現報端。隨著網絡安全等級保護2.0的推出和試行，公安部門應在標準出臺前加大對企業網絡安全的監督檢查力度，引導企業以等級保護2.0標準加強網絡安全的合法合規建設，落實網絡安全責任，深入開展宣傳教育，增強網絡安全意識，提升安全防范能力，著力保障網絡運行安全。

4 結束語

綜上所述，伴隨等級保護標準內容的健全，作為公安部門應該對新技術、新應用保持高度的關注，及時調整技術標準和相關要求，切實將網絡安全與網絡技術發展聯系起來，從而全面貫徹落實網絡安全等級保護制度，不斷提升社會整體網絡安全水平。

[1]周佑源，張曉梅.網絡安全管理在等級保護實施過程中的要點分析[J].網絡安全與通信保密，2009（9）：99-102.

[2]《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）.

[3]郭啟全.加快落實網絡安全等級保護整改建設工作[J].網絡安全與通信保密，2017（05）：56-57.