網絡安全管理與網絡安全等級保護制度探討

魏旭

摘? ?要：隨著信息科技的飛速發展，網絡走進千家萬戶，其應用領域越來越廣泛，對社會經濟發展以及人們日常生活的影響也越來越重要。網絡在提供便利生活的同時，也有著巨大的安全隱患。因此，如何創新網絡技術，建立健全網絡安全等級制度以及加強網絡安全管理是我國網絡管理的核心所在。文章主要簡述了網絡安全等級保護制度，提出網絡安全管理的對策，以期為防控網絡安全風險、營造綠色網絡環境提供參考。

關鍵詞：網絡安全管理;網絡安全等級保護制度;信息安全

1? ? 網絡安全管理與網絡安全等級保護制度概述

我國的網絡安全等級保護制度的法律形式可分為4個階段。1994年2月《中華人民共和國計算機信息系統安全保護條例》出臺，這是我國首次提出網絡安全等級保護制度。由于網絡信息技術滯后，當時的具體配套措施并未真正實施。2007年7月《信息安全等級保護管理辦法》出臺，并在重點聯網單位開始執行。此后，我國網絡安全等級保護制度進入推行階段。2017年6月《中華人民共和國網絡安全法》正式實施，網絡安全等級制度第一次以法律形式出現，成為社會強制性義務，這也是在法律層面防止網絡數據免受干擾、破壞、竊取、泄露、篡改等的一項強制性保護措施。2019年5月網絡安全等級保護制度2.0標準正式發布，對“威脅情報檢測系統”和“威脅情報庫”做出了具體要求。

2? ? ?網絡安全等級保護制度概述

2.1? 工作原則

我國網絡安全等級保護制度的貫徹原則為“自主定級、自主保護”。各企事業單位在建立計算機系統后，應參照系統信息安全性、重要性以及與公共利益、其他合法組織等的權益相關情況，自主定級、自主保護，以滿足國家相關網絡安全等級保護制度的具體要求。

2.2? 法律責任

我國的網絡安全等級保護制度堅持的是“自主定級、自主保護”的原則，但是并不意味著可以忽視其法律責任。《中華人民共和國網絡安全法》中規定：網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5 000元以上5萬元以下罰款[1]。《中華人民共和國計算機信息系統安全保護條例》中規定：有違反計算機信息系統安全等級保護制度，危害計算機系統安全等行為的，由公安機關處以警告或者整頓。《中華人民共和國刑法修正案九》第二十八條，對刑法第二百八十六條的補充：網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使違法信息大量傳播的;致使用戶信息泄露，造成嚴重后果的;致使刑事案件證據滅失，情節嚴重的;有其他嚴重情節的，處3年以下有期徒刑、拘役或者管制，并處或者單處罰金[2]。

2.3? 等級劃分

按照信息系統遭受破壞后，對國家安全、公共利益帶來的影響，計算機信息系統安全保護可分為五級，危害程度越大，級別越高。舉例來說，假如A單位的網絡信息系統遭到破壞后，嚴重擾亂社會公共秩序，使公共利益遭受嚴重損失，則可將其定級為三級或者三級以上。需要注意的是，該等級劃分標準是無法量化的。

2.4? 監管部門

根據相關法律規定，我國網絡安全監督與管理主要由國務院電信主管部門、國家網信部門以及各級公安部門負責。與此同時，上述3個部門也是我國網絡安全等級保護制度的主要監管部門。

3? ? 網絡安全管理對策

3.1? 定級實現

在計算機信息系統構建完成以后，相關網絡運營者應根據其系統識別以及相關描述，全面評估網絡信息安全風險，明確網絡信息安全等級，起草、上交定級報告，開展定級備案。根據相關規定，二級及二級以上的計算機系統運營者或者主管部門，應在確定安全保護等級后30日內，到相關公安機關網監部門進行網絡安全保護等級備案工作;而對于新建的二級及二級以上的網絡信息系統，則應在正式運營后，到相關公安機關網監部門進行備案工作，備案時間仍以30日為限。

3.2? 總體規劃

網絡安全建設的總體規劃，應基于計算機信息系統，結合業務范圍、數據敏感度以及安全風險評估分析等，合理設計具體結構、制定安全管理策略，以滿足信息系統的安全需求，進而為網絡系統的安全管理打下良好基礎。對于該系統，還應分析其整體特征以及特有需求，以明確差距，開展有針對性的操作。

3.3? 安全實施與維護

根據網絡信息安全保護等級制度要求，基于自身安全設計規劃，開展安全實施工作，完善安全管理體系。基于此，制定網絡安全管理方案，執行逐級安全保護責任制，細化網絡使用部門、運行部門以及安全管理部門的權責，做到“有法可依、有章可循、違法必究”;加強網絡安全知識的推廣與宣傳，對關鍵崗位人員進行定期培訓，并將培訓納入績效考核范疇;引入先進的安全保護技術，制定科學的應急方案;記錄、保全安全保護日志以及檔案，及時排查網絡安全風險，對突出的安全隱患及時進行整改整頓。并注重提高專項整治效率，實現抓實、抓緊、抓出成效。此外，還應開展動態維護，對系統運行情況進行實時監控跟蹤，以分析變化趨勢與規律，不斷改造安全隱患，提高網絡信息系統運行的安全性與穩定性。

4? ? 結語

網絡安全等級保護制度是網絡信息安全體系建設的基本方針、基本制度以及基本策略，同時也是衡量網絡安全管理質量的重要依據。不管用于辦公、生產的網絡信息系統，還是各類服務、貿易平臺，都應基于網絡安全等級保護制度，加強網絡安全管理，維護網絡空間主權以及發展利益。特別是對安全等級保護在三級及以上的網絡信息系統或者關鍵基礎設施單位，更應對其實施重點保護，并根據業務屬性以及數據敏感程度，制定行之有效的針對性安全管理策略，以防止出現重要信息泄露、資產遭受違法訪問等，對國家及其他組織的合法權益造成嚴重損失。

[參考文獻]

[1]全國人民代表大會常務委員會.中華人民共和國網絡安全法[M].北京：法律出版社，2016.

[2]李欣，厚佳琪.網絡安全等級保護工作的創新發展[J].中國信息安全，2019（8）：33-34.