網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度探究

趙娟

《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，該法第二十一條規(guī)定“？國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。”這是網(wǎng)絡(luò)安全等級(jí)保護(hù)這個(gè)名詞第一次以法律形式出現(xiàn)，這也是中國從法律層面保障企事業(yè)單位計(jì)算機(jī)網(wǎng)絡(luò)免受干擾、破壞或者非法訪問，進(jìn)而防止計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)遭受泄露或者被竊取、篡改的一項(xiàng)強(qiáng)制性舉措?？墒?，全社會(huì)對(duì)于等級(jí)保護(hù)制度的認(rèn)知認(rèn)同和落實(shí)執(zhí)行情況卻不容樂觀，一些重點(diǎn)聯(lián)網(wǎng)單位負(fù)責(zé)人甚至計(jì)算機(jī)網(wǎng)絡(luò)管理人員對(duì)等級(jí)保護(hù)制度了解不深、執(zhí)行不力，在建設(shè)、維護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的過程中不能自覺適用等級(jí)保護(hù)制度的規(guī)定和標(biāo)準(zhǔn)，造成單位內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理制度和安全技術(shù)措施不到位的現(xiàn)象屢見不鮮，這將嚴(yán)重危害我國的信息網(wǎng)絡(luò)安全。本文通過對(duì)中國等級(jí)保護(hù)制度的分析和研究，提出按照等級(jí)保護(hù)制度來開展單位內(nèi)部信息網(wǎng)絡(luò)安全管理的對(duì)策，為企事業(yè)單位內(nèi)部信息網(wǎng)絡(luò)安全管理工作提供政策指導(dǎo)。

一、等級(jí)保護(hù)制度的法律淵源

等級(jí)保護(hù)制度的法律形成分為三個(gè)階段，歷時(shí)23年。第一階段為提出階段。第一次提出等級(jí)保護(hù)制度是1994年2月18日發(fā)布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，條例第九條規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定?！睏l列出臺(tái)等級(jí)保護(hù)制度后，鑒于中國當(dāng)時(shí)信息網(wǎng)絡(luò)處于比較落后狀態(tài)，并未真正出臺(tái)配套具體制度。第二階段為推行階段。2007年7月，四部委聯(lián)合出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》，這一規(guī)章成為推動(dòng)我國等級(jí)保護(hù)制度的起點(diǎn)。從2007年開始，國務(wù)院有關(guān)主管部門通力協(xié)作，先后出臺(tái)了具體的等級(jí)保護(hù)制度實(shí)施辦法、國家和行業(yè)標(biāo)準(zhǔn)，全國開始在重點(diǎn)聯(lián)網(wǎng)單位推行等級(jí)保護(hù)制度。第三階段是強(qiáng)制階段。《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，等級(jí)保護(hù)制度寫進(jìn)法律，等級(jí)保護(hù)制度成為全社會(huì)強(qiáng)制性義務(wù)。中國在網(wǎng)絡(luò)安全制度上開啟新局面。

二、等級(jí)保護(hù)制度的主要內(nèi)容

第一，等級(jí)劃分。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)分為五級(jí)，劃分的標(biāo)準(zhǔn)是信息系統(tǒng)受到各種破壞后造成后果的嚴(yán)重性，信息系統(tǒng)遭受破壞后危及國家安全、社會(huì)秩序和公共利益的程度越大，劃分的級(jí)別越高。比如說，某單位的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)或者網(wǎng)絡(luò)工作服務(wù)平臺(tái)受到破壞后，可能對(duì)社會(huì)秩序或者公共利益造成嚴(yán)重?fù)p害，一般定級(jí)為三級(jí)以上。這種劃分標(biāo)準(zhǔn)不是量化的。

第二，工作原則。我國的信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。各單位內(nèi)部的計(jì)算機(jī)信息系統(tǒng)建成后，根據(jù)系統(tǒng)的重要性、安全性與國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)聯(lián)程度，自主定級(jí)、自主保護(hù)，自覺履行等級(jí)保護(hù)制度各項(xiàng)規(guī)定和要求。

第三，監(jiān)督管理。依據(jù)法律規(guī)定，國家網(wǎng)信部門、國務(wù)院電信主管部門、公安部門等負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作，這三大部門也是等級(jí)保護(hù)制度的監(jiān)督管理部門。

第四，法律責(zé)任。雖然等級(jí)保護(hù)制度堅(jiān)持自主定級(jí)、自主保護(hù)的原則，但是法律責(zé)任依然存在。《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條規(guī)定，？網(wǎng)絡(luò)運(yùn)營者不履行等級(jí)保護(hù)制度相關(guān)安全保護(hù)義務(wù)的，由有關(guān)主管部門對(duì)相關(guān)單位和直接責(zé)任人作出行政處罰?！吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十條規(guī)定，違反計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，危害計(jì)算機(jī)信息系統(tǒng)安全的，由公安機(jī)關(guān)處以警告或者停機(jī)整頓。此外，《中華人民共和國刑法修正案九》第二十八條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正、情節(jié)嚴(yán)重的將追究刑事責(zé)任。

三、單位內(nèi)部信息網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)策

等級(jí)保護(hù)制度既是單位內(nèi)部網(wǎng)絡(luò)安全建設(shè)和管理的指針，也是衡量單位內(nèi)部網(wǎng)絡(luò)安全保護(hù)能力的標(biāo)準(zhǔn)。無論是單位內(nèi)部的辦公、生產(chǎn)的計(jì)算機(jī)信息系統(tǒng)還是對(duì)外的網(wǎng)站、各類網(wǎng)絡(luò)宣傳、服務(wù)、交易平臺(tái)，在網(wǎng)絡(luò)安全管理上都應(yīng)當(dāng)以等級(jí)保護(hù)制度為依據(jù)來開展相關(guān)工作，既能保障合法又能保障安全，特別是定級(jí)為三級(jí)以上的計(jì)算機(jī)信息系統(tǒng)更要定期按照等級(jí)保護(hù)制度要求實(shí)施網(wǎng)絡(luò)安全管理。

（一）系統(tǒng)建設(shè)中的網(wǎng)絡(luò)安全保護(hù)措施

企事業(yè)單位在計(jì)算機(jī)信息系統(tǒng)建設(shè)的立項(xiàng)、評(píng)估、招標(biāo)等環(huán)節(jié)，應(yīng)當(dāng)同步考慮網(wǎng)絡(luò)安全建設(shè)，國家等級(jí)保護(hù)制度出臺(tái)了一些列標(biāo)準(zhǔn)，企事業(yè)單位的建設(shè)、運(yùn)營、管理相關(guān)人員要熟知并執(zhí)行這些標(biāo)準(zhǔn)，有關(guān)標(biāo)準(zhǔn)名錄如下表。

（二）自主定級(jí)和備案

計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，要按照等級(jí)保護(hù)制度開展定級(jí)備案工作。按照規(guī)定，已運(yùn)營（運(yùn)行）的第二級(jí)以上計(jì)算機(jī)信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上的計(jì)算機(jī)信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。定級(jí)備案工作的有關(guān)詳細(xì)流程和規(guī)定參見《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010）。定級(jí)的要素和等級(jí)的關(guān)系如下表。

（三）信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)

第三級(jí)以上計(jì)算機(jī)信息系統(tǒng)在定級(jí)備案后，應(yīng)當(dāng)開展信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)工作。測評(píng)工作有關(guān)要求參照《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》（GB/T 28448-2012）、《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》（GB/T28449-2012）。信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)分為安全技術(shù)測評(píng)和安全管理測評(píng)兩大類。

（四）網(wǎng)絡(luò)安全體系

按照等級(jí)保護(hù)制度，企事業(yè)單位網(wǎng)絡(luò)安全體系主要是安全管理和安全技術(shù)兩大方面。

安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。網(wǎng)絡(luò)安全管理的主要內(nèi)容具體包括有主要領(lǐng)導(dǎo)負(fù)責(zé)的逐級(jí)安全保護(hù)責(zé)任制，配備專職或者兼職的安全管理員，；明確運(yùn)行和使用部門或者安全崗位的責(zé)任，建立完善的安全管理規(guī)章制度；全員開展網(wǎng)絡(luò)安全知識(shí)和法律法規(guī)教育培訓(xùn)，對(duì)重點(diǎn)崗位的安全管理人員進(jìn)行專門培訓(xùn)和考核；采取必要的安全技術(shù)措施；對(duì)安全保護(hù)工作記錄日志、保全檔案；制定網(wǎng)絡(luò)安全應(yīng)急計(jì)劃和應(yīng)急措施；定期進(jìn)行安全檢測和風(fēng)險(xiǎn)分析，及時(shí)整改安全隱患。

安全技術(shù)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。安全技術(shù)的主要內(nèi)容有防干擾防火防盜防災(zāi)等實(shí)體安全技、身份認(rèn)證、安全審計(jì)、漏洞掃描、入侵監(jiān)測檢測、防火墻、病毒防治、安全操作系統(tǒng)和安全數(shù)據(jù)庫、加密保密、信息內(nèi)容過濾等，網(wǎng)絡(luò)安全技術(shù)是不可窮盡的，是一個(gè)動(dòng)態(tài)防護(hù)。