新形勢下落實網絡安全等級保護制度

孟瑜

（潤成安全技術有限公司，天津 南開 300110）

0 引言

當前信息系統會因為安全管理不當、配置問題、代碼缺陷以及防護措施不足等，而引入一些不可避免的安全漏洞。這些信息系統存在的安全漏洞將有可能會被惡意攻擊者利用，從而給信息系統帶來極大的安全風險。因此為應對這些網絡安全威脅，企業和單位急需一個可以有效指導開展信息網絡安全防護工作的方法。而目前最值得各單位和企業使用的就是網絡安全等級保護方法，它是我國當前開展網絡安全工作的基本方法，也是我國保障國家信息安全的基本國策和基本制度。

1 網絡安全等級保護制度的相關介紹

網絡安全等級保護制度實際上指的就是對包括法人、公民和組織在內的專有或公開的信息以及國家機密信息進行分等級的安全防護，同時對處理、傳輸以及存儲這些信息的系統也要開展分等級的安全防護。除此之外，在所使用的信息系統中還需要對應用到的安全產品進行分等級的管理，且對其中發生的安全事件進行分等級的處置與響應。對于網絡安全等級保護制度來說，就是按照信息的重要程度開展分等級保護的工作，這項工作如今已經被很多國家實施，從而有效防范信息及信息系統所面臨的網絡安全威脅。在我國，從廣義上來講，網絡安全等級保護制度就是對涉及網絡安全的信息、系統、產品以及標準按照等級保護的思想來開展網絡安全防護工作。而從狹義上來講，網絡安全等級保護制度指的是對信息系統開展分等級的保護[1-2]。

對于信息系統來說，它的網絡安全保護等級不應該是參考該信息系統已經采取或將要采取的網絡安全防護手段來確立的。而是應該根據該信息系統本身的重要程度，以及當該信息系統被攻擊者攻破之后，會對人民群眾的合法權益、社會的穩定以及國家的安全造成危害的嚴重性，來有效確立該信息系統應該處于哪個安全保護等級。當信息系統的安全保護等級為二級或二級以上時，系統的歸屬單位就需要到當地公安機關的網絡安全部門對該信息系統進行備案。并且信息系統的保護等級為三級時，需要每年開展一次測評工作，而保護等級為四級時，該信息系統則要每半年開展一次測評工作。信息系統的歸屬單位在拿到等級測評的結果之后，要及時的對信息系統進行安全整改，確保信息系統符合等級安全保護的要求。行業主管部門以及公安機關等監管部門需要定期對備案的信息系統開展安全檢查，及時發現信息系統存在的安全問題，避免給人民群眾、社會以及國家造成損失。

2 當前網絡安全等級保護制度面臨的新形勢

2.1 數據安全問題越來越嚴峻

國家、社會以及企業當前對于信息技術以及互聯網的應用水平越來越成熟，數據已經逐漸成為各方極力爭搶的戰略資源。如今大數據時代已經到來，信息化的高速發展離不開數據資源的有力支持。隨著互聯網的迅速發展以及人類的生活生產等各項活動跟信息技術的快速融合，使得全球的數據信息出現了爆發式的增長，這對于人民生活、國家管理、社會治理以及經濟的發展都帶來了重大的影響。由于當前新發展形勢下，網絡安全問題非常嚴峻，公安部也多次強調開展對于大數據的安全治理工作，且對于公民個人信息的有效防護也是數據安全保護的重要工作之一[3]。

2.2 網絡安全等級保護制度可以體現企業的安全防護能力

當前社會關于網絡安全意識的大力宣傳，以及對于等級保護制度的有效落實，使得廣大人民群眾以及各個行業除了關注企業提供的信息系統的便利性之外，還會更加注重對于該信息系統安全級別的考量。隨著當前網絡上頻頻爆發的信息安全事件，使得人民群眾對于信息系統網絡安全防護能力的要求變得也越來越高。因此，現如今的網絡安全等級保護制度也逐漸成為了體現企業網絡安全防護能力的指標之一，它能夠對該企業的網絡安全防護能力進行有效的展示。尤其是對于金融行業來說，常常通過建立安全認證體系以及開展網絡安全等級保護，進而為企業打造出一個具有較強的網絡安全防護能力的形象。各企業開展網絡安全等級保護不僅是要滿足網絡安全監管部門制定的合規要求，也是為了向企業用戶宣傳其信息系統或平臺的安全性，通過增強用戶對企業的信心，從而有效促進企業未來的發展[4]。

3 當前在新形勢下如何才能有效落實網絡安全等級保護制度

3.1 學習網絡安全等級保護制度的具體要求和內容

雖然人們當前對于網絡安全知識的認識要比之前強了很多，但是仍然存在一些問題，比如對網絡本身的安全認知不足等。一些企業認為網絡只要在企業內部使用就不會出現網絡安全問題，這很明顯缺少對于網絡安全的正確認知。應用信息網絡的企業中，往往包含一些重點工程、大型企業、金融、電信、廣電、能源、交通等關乎著國家經濟命脈的重要企業。這些企業的信息網絡一旦遭到了外部或者內部的攻擊，將會直接影響國計民生，從而帶來非常嚴重的后果。因此，各行各業都要不斷加強對于網絡安全等級保護制度的學習，清楚掌握該制度的具體要求和內容[5-6]。

3.2 增強企業的網絡安全管理和防護能力

當前很多企業對于網絡安全的管理和防護都存在一些問題，他們很難找到正確有效的網絡安全管理和防護方法。所以在實際開展網絡安全防護工作時，不清楚怎樣有效開展網絡安全情況的檢查，以及怎樣對現有的網絡安全情況進行改進和完善。一些企業認為只要在內部的網絡中應用了防火墻、防病毒以及入侵檢測等一系列的網絡安全防護設備，就能夠保證企業內部的網絡安全不受侵害，其實這種對于網絡安全的認識是非常錯誤的。企業對于網絡安全的建設和管理的不到位，導致了企業對于網絡安全建設的投資變得沒有意義，且讓企業的整個網絡安全防護能力處于非常低的水平。因此，要想提高自身的網絡安全防護能力，就必須不斷增強企業的網絡安全管理以及防護能力。

3.3 對網絡安全進行有力的監督管理

我國雖然已經發布了很多網絡安全相關的法規法律以及技術標準，但是在網絡安全的監管方面還有一定的欠缺。隨著當前網絡安全形勢越來越復雜，舊的網絡安全監督管理方法已經不再適用，必須開展關于新的監督管理辦法的研究，并加大對網絡安全監管的力度。舊的網絡安全管理辦法沒有認識到不同信息數據對于網絡安全的要求不同，因此要對信息數據按照重要性級別開展分等級的監督管理。除此之外當前很多企業在開展網絡安全的排查工作時，經常使用一些一般性的檢查手段來排查，缺少先進的網絡安全檢測工具和全面的檢測標準，從而導致對網絡安全的排查不夠深入和全面。因此，面對新形勢下的網絡安全問題，在落實網絡安全等級保護制度時，必須要注重對網絡安全進行有力的監督管理，使網絡安全防護工作按照標準有序執行[7]。

3.4 建立規范和高水平的網絡安全機構

我國當前關于建立規范和高水平的網絡安全機構還不夠重視，缺少這類專業的網絡安全機構去完成技術咨詢、風險分析以及監測評估等工作事項。由于建立網絡安全機構需要專業的網絡安全人才，并且這類人才需要具備最新的網絡安全知識，使得建立專業的網絡安全機構相對也比較困難。目前我國有很多企業都是自己在管理和防護企業的信息網絡安全，這些企業網絡安全防范以及管理服務的水平相對較低，因此急需借助專業的網絡安全機構來完成企業的網絡安全防護工作。網絡安全機構可以幫助促進等級保護制度的落實，讓企業、個人以及國家共同推動網絡安全等級保護制度的發展，進而有效應對我國目前面對的網絡安全新威脅[8]。

4 結語

面對當前社會如此復雜的網絡安全形勢，在國內快速落實網絡安全等級保護制度顯得至關重要。當前不論國家、企業還是個人，都要不斷學習了解網絡安全等級保護制度相關知識，提高自身的網絡安全防護意識和能力。同時應該在國內建立一些專業的網絡安全機構，進一步完善與網絡安全相關的政策與法律法規。各相關部門還要加大對網絡安全的監督管理力度，確保各企業內部有效落實網絡安全等級保護制度，避免網絡安全問題的發生。