网络安全管理与网络安全等级保护制度探究

赵娟

《中华人民共和国网络安全法》于2017年6月1日正式施行，该法第二十一条规定“？国家实行网络安全等级保护制度。”这是网络安全等级保护这个名词第一次以法律形式出现，这也是中国从法律层面保障企事业单位计算机网络免受干扰、破坏或者非法访问，进而防止计算机网络数据遭受泄露或者被窃取、篡改的一项强制性举措。可是，全社会对于等级保护制度的认知认同和落实执行情况却不容乐观，一些重点联网单位负责人甚至计算机网络管理人员对等级保护制度了解不深、执行不力，在建设、维护计算机信息网络的过程中不能自觉适用等级保护制度的规定和标准，造成单位内部计算机信息网络安全管理制度和安全技术措施不到位的现象屡见不鲜，这将严重危害我国的信息网络安全。本文通过对中国等级保护制度的分析和研究，提出按照等级保护制度来开展单位内部信息网络安全管理的对策，为企事业单位内部信息网络安全管理工作提供政策指导。

一、等级保护制度的法律渊源

等级保护制度的法律形成分为三个阶段，历时23年。第一阶段为提出阶段。第一次提出等级保护制度是1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》，条例第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”条列出台等级保护制度后，鉴于中国当时信息网络处于比较落后状态，并未真正出台配套具体制度。第二阶段为推行阶段。2007年7月，四部委联合出台《信息安全等级保护管理办法》，这一规章成为推动我国等级保护制度的起点。从2007年开始，国务院有关主管部门通力协作，先后出台了具体的等级保护制度实施办法、国家和行业标准，全国开始在重点联网单位推行等级保护制度。第三阶段是强制阶段。《中华人民共和国网络安全法》于2017年6月1日正式施行，等级保护制度写进法律，等级保护制度成为全社会强制性义务。中国在网络安全制度上开启新局面。

二、等级保护制度的主要内容

第一，等级划分。计算机信息系统安全保护等级分为五级，划分的标准是信息系统受到各种破坏后造成后果的严重性，信息系统遭受破坏后危及国家安全、社会秩序和公共利益的程度越大，划分的级别越高。比如说，某单位的计算机网络信息系统或者网络工作服务平台受到破坏后，可能对社会秩序或者公共利益造成严重损害，一般定级为三级以上。这种划分标准不是量化的。

第二，工作原则。我国的信息安全等级保护坚持自主定级、自主保护的原则。各单位内部的计算机信息系统建成后，根据系统的重要性、安全性与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关联程度，自主定级、自主保护，自觉履行等级保护制度各项规定和要求。

第三，监督管理。依据法律规定，国家网信部门、国务院电信主管部门、公安部门等负责网络安全保护和监督管理工作，这三大部门也是等级保护制度的监督管理部门。

第四，法律责任。虽然等级保护制度坚持自主定级、自主保护的原则，但是法律责任依然存在。《中华人民共和国网络安全法》第五十九条规定，？网络运营者不履行等级保护制度相关安全保护义务的，由有关主管部门对相关单位和直接责任人作出行政处罚。《中华人民共和国计算机信息系统安全保护条例》第二十条规定，违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的，由公安机关处以警告或者停机整顿。此外，《中华人民共和国刑法修正案九》第二十八条规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正、情节严重的将追究刑事责任。

三、单位内部信息网络安全等级保护对策

等级保护制度既是单位内部网络安全建设和管理的指针，也是衡量单位内部网络安全保护能力的标准。无论是单位内部的办公、生产的计算机信息系统还是对外的网站、各类网络宣传、服务、交易平台，在网络安全管理上都应当以等级保护制度为依据来开展相关工作，既能保障合法又能保障安全，特别是定级为三级以上的计算机信息系统更要定期按照等级保护制度要求实施网络安全管理。

（一）系统建设中的网络安全保护措施

企事业单位在计算机信息系统建设的立项、评估、招标等环节，应当同步考虑网络安全建设，国家等级保护制度出台了一些列标准，企事业单位的建设、运营、管理相关人员要熟知并执行这些标准，有关标准名录如下表。

（二）自主定级和备案

计算机信息系统建设完成后，要按照等级保护制度开展定级备案工作。按照规定，已运营（运行）的第二级以上计算机信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上的计算机信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。定级备案工作的有关详细流程和规定参见《信息系统安全等级保护实施指南》（GB/T 25058-2010）。定级的要素和等级的关系如下表。

（三）信息系统安全等级保护测评

第三级以上计算機信息系统在定级备案后，应当开展信息系统安全等级保护测评工作。测评工作有关要求参照《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）、《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T28449-2012）。信息系统安全等级保护测评分为安全技术测评和安全管理测评两大类。

（四）网络安全体系

按照等级保护制度，企事业单位网络安全体系主要是安全管理和安全技术两大方面。

安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。网络安全管理的主要内容具体包括有主要领导负责的逐级安全保护责任制，配备专职或者兼职的安全管理员，；明确运行和使用部门或者安全岗位的责任，建立完善的安全管理规章制度；全员开展网络安全知识和法律法规教育培训，对重点岗位的安全管理人员进行专门培训和考核；采取必要的安全技术措施；对安全保护工作记录日志、保全档案；制定网络安全应急计划和应急措施；定期进行安全检测和风险分析，及时整改安全隐患。

安全技术包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。安全技术的主要内容有防干扰防火防盗防灾等实体安全技、身份认证、安全审计、漏洞扫描、入侵监测检测、防火墙、病毒防治、安全操作系统和安全数据库、加密保密、信息内容过滤等，网络安全技术是不可穷尽的，是一个动态防护。