关于信息系统实施安全等级保护的思考

罗德洪

【摘 要】习近平主席在全国网络安全和信息化工作会议上提出：没有网络安全，就没有国家安全，就没有经济社会稳定运行！随着网络时代的到来，智能化、自动化、大数据、物联网已经越来越普遍，数据信息保护的地位和作用越来越突出。中央网络安全和信息化领导小组第一次会议上提出，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。由此可见，从国家层面对信息系统实施安全等级保护的要求已是刻不容缓。

【关键词】网络;安全;信息化

一、现状分析：随着信息技术的发展，等级保护对象已经从狭义的信息系统，扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统和采用移动互联技术的系统等方面。《网络安全等级保护条例》规定未经允许或授权，网络运营者不得收集与其提供的服务无关的数据和个人信息，不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息，不得泄露、篡改、损毁其收集的数据和个人信息，不得非授权访问、使用、提供数据和个人信息。然而，现实的网络环境是纷繁复杂的，存在各种潜在的网络风险，具体表象包括：

（一）敌对势力的网络攻击，日益威胁我国家安全

“针对中国的网络间谍攻击正变得越来越多，中国的国家安全从来没有像现在这样与网络密切相关。”目前境外有数万个木马控制端IP紧盯着中国大陆被控制的电脑，数千个僵尸网络控制服务器也针对着大陆地区，甚至有境外间谍机构设立数十个网络情报据点，疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。

（二）黑客组织、不法分子网络违法犯罪升级

公安部网安局有关负责人指出，由于网络的匿名、无界特点，网络诈骗不同于传统意义上的诈骗，作案手法变化多端，欺骗性、隐蔽性更强，作案成本降低，链条化特征明显。部分网络诈骗区域性特点明显，个别类型网络诈骗跨境实施，打击难度更大，损失难以挽回。

（三）军事战争的第一波攻击是网络战

近年来，网络空间日益成为军事斗争的新战场，网络战已被视为继陆战、海战、空战、太空战之后“第五种作战形式”。俄罗斯对格鲁吉亚的网络攻击、伊朗离心机“中毒”事件等网络攻击事件，使各国意识到了网络战的威力。根据各国的网络战实践和网络战备战情况，我们可以更好地认识网络战这一新的作战形式。

（四）国家新基建全面启动，网络安全任务更加繁重

新基建是2020年中国经济的热词，加快推进新基建，不仅是当前拉动投资、提振经济的当务之急，更是关乎经济转型、社会发展的长远之计。但从安全角度看，这也意味着安全态势变得更加复杂，安全的范畴也变得更加广泛，漏洞存在于每个地方、攻击可以由世界任何一个地方发起、安全威胁随时都可能影响新基建关键业务的正常运行。随着数字化、网络化、智能化的发展，维护网络空间的战略稳定至关重要，成为国家的战略力量之一。

（五）受新冠疫情影响，网络安全面临新挑战

此次疫情将带来国际关系、全球经济、跨境贸易、民众工作生活等方面的巨大变革，在后疫情时代如何利用好网信技术，趋利避害，助力恢复我国的经济发展，提高我国的抗风险能力，是下一阶段我国网信工作的重点。

二、网络安全新任务、新要求

（一）指导思想

以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础，以保护关键信息基础设施、重要网络和数据安全为重点，切实加强保卫、保护和保障，全面加强网络安全防范管理、监测预警、应急处置、侦查打击等各项措施，及时监测、处置网络安全风险和威胁，依法惩治网络违法犯罪活动，切实提高网络安全保护能力，积极构建国家网络安全综合防控体系，切实维护国家网络空间主权、国家安全和社会公共利益，保护人民群众的合法权益，保障和促进经济社会信息化健康发展。

（二）基本原则

1、坚持分等级保护、突出重点

重点保障关键信息基础设施、第三级以上网络、重要数据安全。

2、坚持积极防御、综合防护

充分利用人工智能、大数据分析等技术，积极落实网络安全管理和技术防范措施，强化网络安全监测、态势感知、通报预警和应急处置等重点工作。

3、坚持依法保护、形成合力

公安机关依法履行保卫和监督管理职责，行业主管部门履行本行业主管、监管责任，强化和落实网络运营者主体防护责任。

（三）具体措施

1、强化网络运行安全，重点保护关键信息基础设施

网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全和社会公共利益息息相关。为此，《网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。

2、完善网络安全义务和责任，加大违法惩处力度

《网络安全法》对网络运营者等主体的法律义务和责任做了全面规定，并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准，加大了处罚力度，有利于保障《網络安全法》的实施。

3、将监测预警与应急处置措施制度化、法制化

《网络安全法》将监测预警与应急处置工作制度化、法制化，明确国家建立网络安全监测预警和信息通报制度，建立网络安全风险评估和应急工作机制，制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据，为深化网络安全防护体系，实现全天候全方位感知网络安全态势提供了法律保障。

三、结论

随着信息化的普及，信息系统的基础性、全局性日益突出，信息资源已成为重要的战略资源之一，保障信息安全成为信息化发展中的重要课题。在金融、电力、广电、医疗、教育、交通等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。公积金管理中心作为一家准金融机构，对信息系统的数据、信息和资金安全有较高的要求。特别是新疆公积金作为全国唯一的全省统一公积金云平台，承载着全疆住房公积金缴存人的住房梦，将继续沿着十三五期间的卓越成就砥砺前行，并力争十四五期间在全国率先实现智慧公积金云平台，从而在全国树立起一面鲜艳的公积金行业旗帜。因此，公积金系统的安全等级保护问题显得尤为突出，只有完全符合网络安全等级保护等相关安全规范的要求，才能有效防范公积金的资金风险和信息泄漏，确保新疆公积金云平台系统的安全、高效、可靠。

安全等级保护是支撑国家网络安全的基本制度，信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。各行业、各部门网络安全运营者应积极落实“两个制度”，建立健全完善网络安全综合防控体系，合力提升网络和信息系统安全防护能力，有效防范网络安全威胁和处置重大网络安全事件，大力提升网络实战能力，保卫网络安全。

参考文献：

[1]王升保.信息安全等级保护体系研究及应用[D].合肥工业大学，2009.1-50.

（作者单位：克拉玛依住房公积金管理中心）