關于信息系統實施安全等級保護的思考

羅德洪

【摘 要】習近平主席在全國網絡安全和信息化工作會議上提出：沒有網絡安全，就沒有國家安全，就沒有經濟社會穩定運行！隨著網絡時代的到來，智能化、自動化、大數據、物聯網已經越來越普遍，數據信息保護的地位和作用越來越突出。中央網絡安全和信息化領導小組第一次會議上提出，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題。由此可見，從國家層面對信息系統實施安全等級保護的要求已是刻不容緩。

【關鍵詞】網絡;安全;信息化

一、現狀分析：隨著信息技術的發展，等級保護對象已經從狹義的信息系統，擴展到網絡基礎設施、云計算平臺、大數據平臺、物聯網、工業控制系統和采用移動互聯技術的系統等方面?！毒W絡安全等級保護條例》規定未經允許或授權，網絡運營者不得收集與其提供的服務無關的數據和個人信息，不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息，不得泄露、篡改、損毀其收集的數據和個人信息，不得非授權訪問、使用、提供數據和個人信息。然而，現實的網絡環境是紛繁復雜的，存在各種潛在的網絡風險，具體表象包括：

（一）敵對勢力的網絡攻擊，日益威脅我國家安全

“針對中國的網絡間諜攻擊正變得越來越多，中國的國家安全從來沒有像現在這樣與網絡密切相關?！蹦壳熬惩庥袛等f個木馬控制端IP緊盯著中國大陸被控制的電腦，數千個僵尸網絡控制服務器也針對著大陸地區，甚至有境外間諜機構設立數十個網絡情報據點，瘋狂采用“狼群戰術”、“蛙跳攻擊”等對我進行網絡竊密和情報滲透。

（二）黑客組織、不法分子網絡違法犯罪升級

公安部網安局有關負責人指出，由于網絡的匿名、無界特點，網絡詐騙不同于傳統意義上的詐騙，作案手法變化多端，欺騙性、隱蔽性更強，作案成本降低，鏈條化特征明顯。部分網絡詐騙區域性特點明顯，個別類型網絡詐騙跨境實施，打擊難度更大，損失難以挽回。

（三）軍事戰爭的第一波攻擊是網絡戰

近年來，網絡空間日益成為軍事斗爭的新戰場，網絡戰已被視為繼陸戰、海戰、空戰、太空戰之后“第五種作戰形式”。俄羅斯對格魯吉亞的網絡攻擊、伊朗離心機“中毒”事件等網絡攻擊事件，使各國意識到了網絡戰的威力。根據各國的網絡戰實踐和網絡戰備戰情況，我們可以更好地認識網絡戰這一新的作戰形式。

（四）國家新基建全面啟動，網絡安全任務更加繁重

新基建是2020年中國經濟的熱詞，加快推進新基建，不僅是當前拉動投資、提振經濟的當務之急，更是關乎經濟轉型、社會發展的長遠之計。但從安全角度看，這也意味著安全態勢變得更加復雜，安全的范疇也變得更加廣泛，漏洞存在于每個地方、攻擊可以由世界任何一個地方發起、安全威脅隨時都可能影響新基建關鍵業務的正常運行。隨著數字化、網絡化、智能化的發展，維護網絡空間的戰略穩定至關重要，成為國家的戰略力量之一。

（五）受新冠疫情影響，網絡安全面臨新挑戰

此次疫情將帶來國際關系、全球經濟、跨境貿易、民眾工作生活等方面的巨大變革，在后疫情時代如何利用好網信技術，趨利避害，助力恢復我國的經濟發展，提高我國的抗風險能力，是下一階段我國網信工作的重點。

二、網絡安全新任務、新要求

（一）指導思想

以貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度為基礎，以保護關鍵信息基礎設施、重要網絡和數據安全為重點，切實加強保衛、保護和保障，全面加強網絡安全防范管理、監測預警、應急處置、偵查打擊等各項措施，及時監測、處置網絡安全風險和威脅，依法懲治網絡違法犯罪活動，切實提高網絡安全保護能力，積極構建國家網絡安全綜合防控體系，切實維護國家網絡空間主權、國家安全和社會公共利益，保護人民群眾的合法權益，保障和促進經濟社會信息化健康發展。

（二）基本原則

1、堅持分等級保護、突出重點

重點保障關鍵信息基礎設施、第三級以上網絡、重要數據安全。

2、堅持積極防御、綜合防護

充分利用人工智能、大數據分析等技術，積極落實網絡安全管理和技術防范措施，強化網絡安全監測、態勢感知、通報預警和應急處置等重點工作。

3、堅持依法保護、形成合力

公安機關依法履行保衛和監督管理職責，行業主管部門履行本行業主管、監管責任，強化和落實網絡運營者主體防護責任。

（三）具體措施

1、強化網絡運行安全，重點保護關鍵信息基礎設施

網絡運行安全是網絡安全的重心，關鍵信息基礎設施安全則是重中之重，與國家安全和社會公共利益息息相關。為此，《網絡安全法》強調在網絡安全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護，明確關鍵信息基礎設施的運營者負有更多的安全保護義務，并配以國家安全審查、重要數據強制本地存儲等法律措施，確保關鍵信息基礎設施的運行安全。

2、完善網絡安全義務和責任，加大違法懲處力度

《網絡安全法》對網絡運營者等主體的法律義務和責任做了全面規定，并在“網絡運行安全”、“網絡信息安全”、“監測預警與應急處置”中進一步明確、細化。在“法律責任”中則提高了違法行為的處罰標準，加大了處罰力度，有利于保障《網絡安全法》的實施。

3、將監測預警與應急處置措施制度化、法制化

《網絡安全法》將監測預警與應急處置工作制度化、法制化，明確國家建立網絡安全監測預警和信息通報制度，建立網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案并定期演練。這為建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制提供了法律依據，為深化網絡安全防護體系，實現全天候全方位感知網絡安全態勢提供了法律保障。

三、結論

隨著信息化的普及，信息系統的基礎性、全局性日益突出，信息資源已成為重要的戰略資源之一，保障信息安全成為信息化發展中的重要課題。在金融、電力、廣電、醫療、教育、交通等行業，主管單位明確要求從業機構的信息系統要開展等級保護工作。公積金管理中心作為一家準金融機構，對信息系統的數據、信息和資金安全有較高的要求。特別是新疆公積金作為全國唯一的全省統一公積金云平臺，承載著全疆住房公積金繳存人的住房夢，將繼續沿著十三五期間的卓越成就砥礪前行，并力爭十四五期間在全國率先實現智慧公積金云平臺，從而在全國樹立起一面鮮艷的公積金行業旗幟。因此，公積金系統的安全等級保護問題顯得尤為突出，只有完全符合網絡安全等級保護等相關安全規范的要求，才能有效防范公積金的資金風險和信息泄漏，確保新疆公積金云平臺系統的安全、高效、可靠。

安全等級保護是支撐國家網絡安全的基本制度，信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。各行業、各部門網絡安全運營者應積極落實“兩個制度”，建立健全完善網絡安全綜合防控體系，合力提升網絡和信息系統安全防護能力，有效防范網絡安全威脅和處置重大網絡安全事件，大力提升網絡實戰能力，保衛網絡安全。

參考文獻：

[1]王升保.信息安全等級保護體系研究及應用[D].合肥工業大學，2009.1-50.

（作者單位：克拉瑪依住房公積金管理中心）