趙繼剛

摘? 要：無論處于什么年代，也無論身處何等處境，信息往往是影響一件事情成功與否的關(guān)鍵，在傳統(tǒng)文化中，人們用信件的方式進(jìn)行信息的交流，效率低下。但隨著計(jì)算機(jī)技術(shù)的興起，信息時(shí)代隨之而來，信息的交流和傳播變得空前的簡單，但信息的高度透明以及信息的快速傳播速度并不完全是優(yōu)點(diǎn)，在信息時(shí)代中信息的透明性也為有心人提供了侵犯他人信息的機(jī)會(huì)?；诖耍陙淼男畔⒓夹g(shù)發(fā)展已經(jīng)不再逃避安全的問題，反而在各個(gè)層級都在考慮如何開展高效率網(wǎng)絡(luò)安全等級保護(hù)的辦法，該文以此為主要方向，針對網(wǎng)絡(luò)安全等級保護(hù)實(shí)施方案中的細(xì)節(jié)問題進(jìn)行分析和探討，希望該文的觀點(diǎn)能夠?yàn)榫W(wǎng)絡(luò)安全研究人員提供借鑒。

關(guān)鍵詞：信息安全? ?網(wǎng)絡(luò)安全? ?等級保護(hù)? ?實(shí)施方案? ?設(shè)計(jì)探討

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號：1672-3791（2021）07（a）-0035-03

Abstract： No matter what age or situation， information is often the key to the success of a thing. In traditional culture， people communicate information by letter， which is inefficient. However， with the rise of computer technology and the advent of the information age， the exchange and dissemination of information has become unprecedentedly simple， but the high transparency of information and the rapid dissemination speed of information are not entirely advantages. In the information age， the transparency of information also provides people with the opportunity to invade others' information. Based on this， the development of information technology in recent years no longer evades the problem of security， but considers how to carry out efficient network security level protection at all levels. Taking this as the main direction， this paper analyzes and discusses the detailed problems in the implementation scheme of network security level protection. It is hoped that the views of this paper can provide reference for network security researchers.

Key Words： Information security; Network security; Grade protection; Implementation plan; Design discussion

通過信息安全等級保護(hù)的實(shí)施能夠?yàn)楦鞣N等級重要信息的信息提供適當(dāng)?shù)谋Ｗo(hù)，即：不會(huì)將不重要的信息與極重要的信息施以同等級保護(hù)，否則對不重要的信息是一種資源浪費(fèi)，而極重要的信息又未能獲得足夠的保護(hù)。通過保護(hù)方案的實(shí)施，能夠高度保證信息的安全，為國計(jì)民生提供保障。

1? 什么是網(wǎng)絡(luò)安全等級保護(hù)

隨著時(shí)代的逐漸發(fā)展，計(jì)算機(jī)技術(shù)的快速進(jìn)步，信息的交換已經(jīng)不再是困擾人類發(fā)展的主要問題，但在信息技術(shù)高度發(fā)達(dá)的今天，人們必須認(rèn)識(shí)到，信息技術(shù)既是幫助人類發(fā)展的工具，又是懸在我們頭頂?shù)囊槐麆?。面對這種情況，網(wǎng)絡(luò)安全等級保護(hù)便應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全等級保護(hù)是指為了保護(hù)國家機(jī)密、公民的重要信息以及其他組織的重要信息而制定的相關(guān)措施，包括對信息的傳輸、存儲(chǔ)等應(yīng)用方式的管理，針對不同級別的信息實(shí)行不同階級的保護(hù)措施，并在重要信息發(fā)生安全事件時(shí)按照不同級別啟動(dòng)應(yīng)急響應(yīng)[1]。

最早的信息保護(hù)僅僅是對實(shí)物信息的保護(hù)，但隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息的傳播速度已經(jīng)遠(yuǎn)超實(shí)物的傳遞速度，為了保護(hù)網(wǎng)絡(luò)信息的安全，在最新的信息等級保護(hù)相關(guān)規(guī)定中已經(jīng)著重指示了對網(wǎng)絡(luò)信息的防護(hù)。

網(wǎng)路安全等級保護(hù)共分為5個(gè)級別：（1）自主保護(hù)級，當(dāng)信息系統(tǒng)受到破壞后，會(huì)對公民個(gè)人權(quán)益造成一般損害，不會(huì)危害國家安全、社會(huì)秩序;（2）指導(dǎo)保護(hù)級，當(dāng)信息系統(tǒng)受到破壞后，會(huì)對公民個(gè)人權(quán)益造成嚴(yán)重?fù)p害，對社會(huì)秩序以及大眾利益造成一般損害，不會(huì)損害國家安全;（3）監(jiān)督保護(hù)級，當(dāng)信息系統(tǒng)受到破壞后，會(huì)對公民個(gè)人權(quán)益造成特別嚴(yán)重的損害，對社會(huì)秩序以及大眾利益造成嚴(yán)重?fù)p害，對國家安全造成損害;（4）強(qiáng)制保護(hù)級，當(dāng)信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和大眾利益造成特別嚴(yán)重的損害，對國家安全造成嚴(yán)重?fù)p害;（5）?？乇Ｗo(hù)級，當(dāng)信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重的損害[2]。

網(wǎng)絡(luò)安全等級保護(hù)的5個(gè)級別設(shè)置從對個(gè)人權(quán)益的損害直至對國家安全的嚴(yán)重?fù)p害都包括在內(nèi)，是對我國整體信息安全的全面性保護(hù)方法，能夠有效地保障公民個(gè)人信息、社會(huì)大眾信息、國家信息的高度安全，為國家發(fā)展、社會(huì)運(yùn)行、公民工生活提供保障。

2? 網(wǎng)絡(luò)安全等級保護(hù)的實(shí)施原則

2.1 自主保護(hù)原則

在當(dāng)前的時(shí)代背景下，網(wǎng)絡(luò)已經(jīng)不再是“奢侈品”，是社會(huì)大眾都能夠使用的基本設(shè)施之一。這就導(dǎo)致每天產(chǎn)生的信息量及其龐大，這一特點(diǎn)也就決定了，新產(chǎn)生的信息如果單靠國家部門或者社會(huì)中某一單位進(jìn)行處理，顯然是不切實(shí)際的。因此，針對新產(chǎn)生的信息，各信息運(yùn)營單位、信息使用單位需要根據(jù)國家相關(guān)的法規(guī)自行確定信息的保護(hù)等級，而后實(shí)施相應(yīng)的信息安全保護(hù)[3]。

2.2 重點(diǎn)保護(hù)原則

重點(diǎn)保護(hù)原則是基于自主保護(hù)原則的，重點(diǎn)保護(hù)原則是指信息運(yùn)營單位和信息使用單位需要根據(jù)信息的類別、信息的重要程度等，將信息按照保護(hù)等級進(jìn)行劃分，而后根據(jù)信息的等級實(shí)施不同等級的安全保護(hù)，將重要的資源使用在最重要的信息保護(hù)中。

總而言之，重點(diǎn)保護(hù)原則就是集中大部分的資源用于保護(hù)核心信息，這也是整個(gè)網(wǎng)絡(luò)安全等級保護(hù)在實(shí)際實(shí)施時(shí)需要著重關(guān)注的問題。若不遵從重點(diǎn)保護(hù)原則，在實(shí)際的網(wǎng)絡(luò)安全等級保護(hù)實(shí)施中會(huì)浪費(fèi)一定的資源至安全等級較低的信息保護(hù)工作中，造成保護(hù)工作的疏漏。因此，堅(jiān)持重點(diǎn)保護(hù)原則，是開展網(wǎng)絡(luò)安全等級保護(hù)工作的核心。

2.3 同步建設(shè)原則

同步建設(shè)原則是指，當(dāng)信息系統(tǒng)進(jìn)行改建、更新、擴(kuò)建等工作時(shí)，需要將一部分資源以及管理者的精力投入到信息安全等級保護(hù)的建設(shè)中。這一原則主要是為了避免信息運(yùn)營單位和信息使用單位因過度重視對信息系統(tǒng)的建設(shè)，而忽視了信息安全等級保護(hù)工作的開展，造成整個(gè)信息系統(tǒng)“頭重腳輕”的問題。同步建設(shè)原則是對信息運(yùn)營單位和信息使用單位在思想層面的指導(dǎo)，著重指正了信息等級安全保護(hù)是與信息系統(tǒng)建設(shè)同等重要的[4]。

2.4 動(dòng)態(tài)調(diào)整原則

在信息等級安全保護(hù)工作中，信息本身是不變的，但隨著時(shí)間的變化，信息對公民個(gè)人、社會(huì)大眾以及國家的重要性也在隨之改變。而為了響應(yīng)重點(diǎn)保護(hù)原則，則需要對現(xiàn)有信息進(jìn)行周期性的安全等級檢測，并根據(jù)檢測結(jié)果重新規(guī)劃信息的安全等級。動(dòng)態(tài)調(diào)整原則能夠?qū)⒉辉俜掀浒踩燃壍男畔z測出來，避免因未能及時(shí)做出應(yīng)對而導(dǎo)致的資源浪費(fèi)，將重點(diǎn)保護(hù)原則貫穿信息安全等級保護(hù)工作的全過程中。

3? 優(yōu)化網(wǎng)絡(luò)安全等級保護(hù)實(shí)施方案的幾點(diǎn)思考

3.1 信息的評級

給新收集到的信息進(jìn)行定級是整個(gè)網(wǎng)絡(luò)信息安全等級保護(hù)工作的開始，在這一階段中，信息運(yùn)營單位或信息使用單位需要將收集到的信息根據(jù)采集到的信息的類型、采集到信息的情況進(jìn)行分析，將新收集到的信息劃分到其應(yīng)所屬的安全等級分組中。但在當(dāng)前的網(wǎng)絡(luò)安全等級保護(hù)實(shí)施中，對于信息的處理過于依靠計(jì)算機(jī)軟件，雖然面對大量需要處理的信息，人工完成是不切實(shí)際的，但相對于人工，計(jì)算機(jī)軟件只能將信息進(jìn)行簡單的篩選和分組，在面對較為復(fù)雜的信息時(shí)處理是相對不準(zhǔn)確的。因此，在處理較為重要的信息時(shí)，應(yīng)盡可能人工完成，避免因計(jì)算機(jī)軟件判斷錯(cuò)誤而造成的工作失誤[5]。

3.2 備案階段

在網(wǎng)絡(luò)安全等級保護(hù)規(guī)定中，第二級，即指導(dǎo)保護(hù)級的信息開始，需要周期性地到公安部門進(jìn)行備案。備案是對信息運(yùn)營單位自身的負(fù)責(zé)，同時(shí)也是對社會(huì)大眾和國家的負(fù)責(zé)，信息安全的保護(hù)不僅僅關(guān)系著運(yùn)營單位自身的權(quán)益，與社會(huì)大眾和國家都有千絲萬縷的聯(lián)系。因此，在收集到重要信息并劃分安全等級后，應(yīng)第一時(shí)間到公安部門進(jìn)行備案，為信息安全等級保護(hù)工作增添一分保障。

3.3 安全建設(shè)與整改階段

安全建設(shè)和整改是在信息運(yùn)營單位和信息使用單位在自查自身問題后，通過對信息系統(tǒng)的提升、對投入資源的規(guī)劃、對管理人員的擇優(yōu)等工作，提升信息系統(tǒng)的整體質(zhì)量，保證信息安全等級保護(hù)工作的高效開展。安全建設(shè)與整改工作不是一時(shí)的，整個(gè)系統(tǒng)的提升往往需要幾個(gè)月甚至幾年時(shí)間才能完成，因此，在安全建設(shè)與整改階段需要管理人員能夠與時(shí)俱進(jìn)，若在幾年前定下的提升目標(biāo)已經(jīng)不再適用，則需要管理人員能夠及時(shí)地調(diào)整整改方案，保證整改的質(zhì)量。

整改中的工作主要包括3點(diǎn)：安全管理制度的建設(shè)、信息保護(hù)技術(shù)的建設(shè)以及安全等級評定，其中，安全等級評定需要專業(yè)的評測機(jī)構(gòu)對整個(gè)信息系統(tǒng)進(jìn)行評測，包括：硬件設(shè)施、管理人員技術(shù)水平、計(jì)算機(jī)軟件等多個(gè)部分的綜合評定。信息保護(hù)技術(shù)需要管理人員能夠緊跟技術(shù)前沿，時(shí)刻保持自身的技術(shù)水平，同時(shí)在計(jì)算機(jī)軟件以及硬件設(shè)備等方面進(jìn)行提升。安全管理制度則是信息系統(tǒng)日常管理的核心，安全管理制度是信息系統(tǒng)安全的底線，需要領(lǐng)導(dǎo)人員能夠從整體的角度出發(fā)，與基層系統(tǒng)管理人員進(jìn)行積極溝通，了解管理工作中的細(xì)節(jié)和難點(diǎn)，從而制定出符合單位實(shí)情的制度條例[6]。

3.4 信息安全等級評測階段

如同二級以上包括二級的信息需要備案一樣，為了保證不浪費(fèi)管理資源，二級以上（包括二級）的信息需要周期性地進(jìn)行檢測，將需要重新進(jìn)行安全等級劃分的信息進(jìn)行檢測，按照檢測結(jié)果重新劃分安全等級，同時(shí)對其實(shí)施符合當(dāng)下等級的保護(hù)。從安全等級的第二級開始具體的評測周期為：第二級，相關(guān)規(guī)定建議每兩年進(jìn)行一次評測;第三級，根據(jù)相關(guān)規(guī)定，要求每年進(jìn)行一次評測;第四級，根據(jù)相關(guān)規(guī)定，要求每半年進(jìn)行一次評測;第五級，依照特殊安全需求進(jìn)行評測。

信息安全等級評測是需要專業(yè)人員進(jìn)行的，需要在當(dāng)下將信息根據(jù)類型、重要程度進(jìn)行重新劃分安全等級。因此，對評測人員的要求較高，在進(jìn)行評測工作前，需要對評測人員的相關(guān)工作水平進(jìn)行考評，防止因人為因素導(dǎo)致的評測結(jié)果錯(cuò)誤。

3.5 信息安全檢查階段

信息安全檢查是針對現(xiàn)有的信息系統(tǒng)人員、制度、硬件設(shè)施基礎(chǔ)等進(jìn)行梳理，將其中的安全隱患凸顯出來。在當(dāng)前的信息系統(tǒng)的收集、分析、存儲(chǔ)、管理、發(fā)布等流程都有其具體的操作規(guī)范為操作人員標(biāo)出“紅線”，但仍有因粗心、走神等問題導(dǎo)致的操作失誤。因此，梳理檢查時(shí)，應(yīng)是整個(gè)信息系統(tǒng)的自檢，從單位領(lǐng)導(dǎo)做起，一層抓一層，一級查一級，將所有的安全問題都能夠暴露出來進(jìn)行整改。追責(zé)秉承的原則是“誰主管誰負(fù)責(zé)、誰操作誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”，避免在日后的信息系統(tǒng)工作中再出現(xiàn)同類型的安全問題，保證重要信息的安全。

4? 結(jié)語

網(wǎng)絡(luò)安全等級防護(hù)是在專門的單位中進(jìn)行的，但這項(xiàng)工作是與大眾息息相關(guān)的。因此，為了保證公民個(gè)人、社會(huì)各界以及國家的信息安全，相關(guān)研究人員應(yīng)積極研究保護(hù)技術(shù)和管理方案，讓重要信息得到更高質(zhì)量的保護(hù)。

參考文獻(xiàn)

[1] 魏帥嶺，閆國濤，李星，等.等級保護(hù)2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J].中國數(shù)字醫(yī)學(xué)，2021，16（4）：101-105.

[2] 袁慧.網(wǎng)絡(luò)安全等級保護(hù)2.0制度的研究和探討[J].信息與電腦：理論版，2020，32（1）：223-224.

[3] 陳旭壯.淺談滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用[J].中國新通信，2020，22（5）：103-104.

[4] 趙文臣.基于信息安全的網(wǎng)絡(luò)安全等級保護(hù)實(shí)施方案設(shè)計(jì)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：2-3.

[5] 任蕊.我國電子政務(wù)信息安全等級保護(hù)制度探討[D].北京：北京郵電大學(xué)，2017.

[6] 徐慧姣.網(wǎng)絡(luò)安全等級保護(hù)與其實(shí)施策略[J].通訊世界，2019，26（3）：86.