張儉

摘要：隨著互聯(lián)網(wǎng)在社會各領(lǐng)域的普及，網(wǎng)絡(luò)發(fā)展給人們工作生活帶來了很大的便利，但同時也帶來了巨大的安全隱患，網(wǎng)絡(luò)安全等保是網(wǎng)絡(luò)安保的有效途徑，隨著網(wǎng)絡(luò)技術(shù)發(fā)展，網(wǎng)絡(luò)安全管理必須優(yōu)化升級，建立網(wǎng)絡(luò)安全等保制度，明確網(wǎng)絡(luò)安全管理的重要性。

關(guān)鍵詞：網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全等保制度

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）05-0041-02

開放科學(xué)（資源服務(wù)）標識碼 （OSID）：

網(wǎng)絡(luò)安全等級保護是網(wǎng)絡(luò)安全主管部門領(lǐng)導(dǎo)下，針對網(wǎng)絡(luò)安全保護制定的工作措施，規(guī)定各安全保護等級的技術(shù)標準的工作，具有一定的科學(xué)性與嚴肅性。2017年，《網(wǎng)絡(luò)安全法》實施，第21條規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度，明確網(wǎng)絡(luò)安全等級保護制度法律地位，2019年，國家標準化管理委員會發(fā)布2.0國家標準，包括《網(wǎng)絡(luò)安全等?；疽蟆返?，等保變更為網(wǎng)絡(luò)安全等保，標志著信息安全等級保護制度跨入2.0新階段。網(wǎng)絡(luò)安全等級保護制度規(guī)范性開展網(wǎng)絡(luò)安全管理工作，可以強化網(wǎng)絡(luò)安全管理實效，通過嚴格的等級劃分，監(jiān)督管理等方面人手，全面貫徹網(wǎng)絡(luò)安全管理，促進網(wǎng)絡(luò)安全工作的全面升級，營造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

1 我國信息網(wǎng)絡(luò)安全現(xiàn)狀

隨著現(xiàn)代科技快速發(fā)展，人們對網(wǎng)絡(luò)使用需求加大，國家對信息網(wǎng)絡(luò)安全管理要求不斷提高。信息網(wǎng)絡(luò)時代對國家信息管理帶來了巨大的威脅?；ヂ?lián)網(wǎng)快速發(fā)展使得犯罪分子利用互聯(lián)網(wǎng)違法犯罪案例日益增多，技術(shù)對利益的誘惑超出了法律的管理能力，法律穩(wěn)定與現(xiàn)代社會快速發(fā)展產(chǎn)生了矛盾，網(wǎng)絡(luò)空間成為繼海陸空后的主權(quán)領(lǐng)域，棱鏡計劃等信息網(wǎng)絡(luò)安全事件，使網(wǎng)絡(luò)安全的重要性日益凸顯。

《中華人民共和國網(wǎng)絡(luò)安全法》是我國涉及信息網(wǎng)絡(luò)安全的基礎(chǔ)法律，對我國信息網(wǎng)絡(luò)健康發(fā)展具有重要指導(dǎo)意義。網(wǎng)絡(luò)安全法涉及信息網(wǎng)絡(luò)發(fā)展中存在的各種問題，確立了如何進行維護國家網(wǎng)絡(luò)空間主權(quán)的基本程序。建設(shè)綠色網(wǎng)絡(luò)環(huán)境中，公民需要自主履行網(wǎng)絡(luò)安全綠色健康發(fā)展義務(wù)。我國自1997年開始對互聯(lián)網(wǎng)犯罪相關(guān)行為進行規(guī)制，我國法律對罪名的確定遵循針對計算機到互聯(lián)網(wǎng)為工具犯罪的邏輯程序，但計算機互聯(lián)網(wǎng)工具犯罪的治理是補救型立法方式，執(zhí)法中有國家強制力為保障，但自上而下的單一治理模式難以應(yīng)對快速發(fā)展的社會中多樣化的互聯(lián)網(wǎng)犯罪問題，通過立法強化公民自我約束意識，使企業(yè)市場積極主動開展自我規(guī)制的活動是立法的關(guān)鍵。

我國信息網(wǎng)絡(luò)安全管理體系逐步完善，但體系中仍存在一些不足。我國網(wǎng)絡(luò)信息安全管理中的問題主要表現(xiàn)為網(wǎng)絡(luò)安全意識薄弱，保障信息網(wǎng)絡(luò)安全基礎(chǔ)較為薄弱。隨著經(jīng)濟全球化發(fā)展，信息網(wǎng)絡(luò)安全在國家安全保護中的地位日漸提高，發(fā)達國家堅持將相關(guān)建設(shè)放在重要戰(zhàn)略位置。目前我國意識到保障信息網(wǎng)絡(luò)安全的重要性，但網(wǎng)絡(luò)安全保護體系相對缺失，導(dǎo)致現(xiàn)有法律難以充分適應(yīng)現(xiàn)代社會的快速發(fā)展要求，最終成為經(jīng)濟科學(xué)發(fā)展的絆腳石。發(fā)達國家依靠較高的法制建設(shè)水平作為維護信息網(wǎng)絡(luò)安全的基礎(chǔ)，我國由于經(jīng)濟建設(shè)起步較晚等原因，導(dǎo)致保障信息網(wǎng)絡(luò)安全經(jīng)濟基礎(chǔ)較為薄弱，使得我國信息網(wǎng)絡(luò)安全發(fā)展存在較大隱患，易受到境內(nèi)外互聯(lián)網(wǎng)供給，如竊取我國隱私等黑客行為[1]。

隨著信息化快速發(fā)展，計算機廣泛應(yīng)用于國民經(jīng)濟各個領(lǐng)域，大多數(shù)公安機關(guān)建立了網(wǎng)絡(luò)安全保衛(wèi)部門，但新時期公安機關(guān)對計算機信息網(wǎng)絡(luò)的管理面臨很多的挑戰(zhàn)，網(wǎng)絡(luò)安全等保2.0標準頒布，要求公安機關(guān)必須重視加強計算機網(wǎng)絡(luò)安全管理。

2 網(wǎng)絡(luò)安全管理與等級保護制度

通常針對信息系統(tǒng)安全等級劃分，依據(jù)信息系統(tǒng)受到破壞帶來后果的嚴重度，如對國家安全損害程度大則級別高，如某一事業(yè)單位計算機網(wǎng)絡(luò)信息系統(tǒng)受破壞對公共利益損壞嚴重定級為三級以上，以往對計算機信息系統(tǒng)安全保護等級劃分標準不能進行量化。

我國針對計算機安全等級保護工作堅持自主定級的原則，但單位計算機信息系統(tǒng)構(gòu)建后根據(jù)系統(tǒng)的安全性及與其他組織的相關(guān)權(quán)益關(guān)聯(lián)，進行自主保護，遵守各等級保護制度要求。我國法律對計算機網(wǎng)絡(luò)安全管理規(guī)定，國家網(wǎng)信部等負責網(wǎng)絡(luò)安全管理工作。我國各單位對網(wǎng)絡(luò)安全管理實行等級保護制度，主要堅持自主保護原則，《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營商未履行等保制度義務(wù)，應(yīng)受到相關(guān)主管部門行政處罰，《刑罰修正案9》規(guī)定，網(wǎng)絡(luò)服務(wù)者未遵守相關(guān)網(wǎng)絡(luò)安全管理義務(wù)，由相關(guān)監(jiān)管部門糾正，拒不改正的，單位和個人被追究刑事責任。

安全計算環(huán)境是對計算機網(wǎng)絡(luò)等級系統(tǒng)進行詳細管理，對信息系統(tǒng)核心情況整理，計算機網(wǎng)絡(luò)在安全計算環(huán)境防護范圍內(nèi)，可以拒絕外界攻擊訪問，安全計算機環(huán)境是對計算機網(wǎng)絡(luò)安全防范工作系統(tǒng)改造，避免網(wǎng)絡(luò)存在安全漏洞等問題被攻擊，針對網(wǎng)絡(luò)安全計算環(huán)境保護，可對系統(tǒng)的供給進行有效控制，避免內(nèi)部人員錯誤數(shù)據(jù)造成破壞行為。

隨著人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)廣泛應(yīng)用，新技術(shù)應(yīng)用帶來新產(chǎn)業(yè)變革，全球性網(wǎng)絡(luò)安全威脅日益猖獗，網(wǎng)絡(luò)安全形勢日益嚴峻，新網(wǎng)絡(luò)安全法頒布后，我國網(wǎng)絡(luò)安全上升到國家層面，公安部門應(yīng)引導(dǎo)各方樹立正確的新時代網(wǎng)絡(luò)安全觀，構(gòu)建網(wǎng)絡(luò)安全新生態(tài)，有效將等保制度落實。

網(wǎng)絡(luò)安全法規(guī)定國家網(wǎng)信部門負責統(tǒng)籌網(wǎng)絡(luò)安全工作，國務(wù)院電信主管部門及有關(guān)機關(guān)依照相關(guān)法律在各自職能范圍內(nèi)負責網(wǎng)絡(luò)安全保護工作，公安機關(guān)在維護網(wǎng)絡(luò)空間治理中賦予安保監(jiān)管職責。網(wǎng)絡(luò)安全法為公安機關(guān)履行網(wǎng)絡(luò)空間治理職責提供了法律支持，但我國依法治網(wǎng)初步建立，相關(guān)條款存在疏漏，為執(zhí)法工作帶來了困難，網(wǎng)絡(luò)空間治理是社會治理的新命題，傳統(tǒng)執(zhí)法理念，執(zhí)法隊伍建設(shè)受到極大的挑戰(zhàn)。

公安部門應(yīng)加大資源投入安全技術(shù)研究，參考引入國外先進網(wǎng)絡(luò)安全治理理念方法，健全技術(shù)標準，提升網(wǎng)絡(luò)安全服務(wù)能力，以滿足新技術(shù)模式的安全保護需求。屬地公安部門應(yīng)加大與科研院校的溝通，成立網(wǎng)絡(luò)安全技術(shù)專家組，在大規(guī)模病毒爆發(fā)時有本地技術(shù)力量支撐。公安部門應(yīng)加強與行業(yè)主管單位溝通，加大網(wǎng)絡(luò)安全等保工作宣傳，召開行業(yè)部門負責人參加的安全等保相關(guān)會議，促使各行業(yè)單位積極轉(zhuǎn)變觀念，認識網(wǎng)絡(luò)安全對單位安全穩(wěn)定的重要性。

3 網(wǎng)絡(luò)安全等級保護制度下的網(wǎng)絡(luò)安全管理

3.1網(wǎng)絡(luò)安全管理規(guī)劃

全面落實網(wǎng)絡(luò)安全等保制度，需要各單位部門用戶的全面協(xié)同，為解決重要行業(yè)部門在新技術(shù)環(huán)境下開展等保工作，公安部組織國內(nèi)科研院所，安全廠商等單位，總結(jié)1.0標準實施情況，研究新技術(shù)安全問題[2]。等保2.0標準發(fā)布為企業(yè)合規(guī)提出了更高的要求，網(wǎng)絡(luò)安全廠商在等保標準推廣中承擔相應(yīng)的責任，所有的網(wǎng)絡(luò)安全廠商都是等保制度推行的受益者，也有責任義務(wù)投入等保制度的落實中[3]。

等級保護安全建設(shè)必須與信息化系統(tǒng)實現(xiàn)融合，網(wǎng)絡(luò)安全思路主要從假設(shè)系統(tǒng)有未被發(fā)現(xiàn)漏洞，系統(tǒng)被黑，有發(fā)現(xiàn)漏洞未打補丁及有內(nèi)鬼情況，通過第三代網(wǎng)絡(luò)安全技術(shù)新戰(zhàn)略，動態(tài)授權(quán)訪問控制新戰(zhàn)術(shù)，數(shù)據(jù)驅(qū)動安全新戰(zhàn)力，實現(xiàn)高中低為三位一體，用戶，安全公司與云服務(wù)商三位一體。

網(wǎng)絡(luò)系統(tǒng)安全定級主要有系統(tǒng)識別與相關(guān)描述，確定網(wǎng)絡(luò)信息安全系統(tǒng)等級，實現(xiàn)對網(wǎng)絡(luò)信息系統(tǒng)的等級劃分。安全建設(shè)規(guī)劃是相關(guān)網(wǎng)絡(luò)信息系統(tǒng)為基礎(chǔ)，確定具體結(jié)構(gòu)，根據(jù)實踐安全風險因素結(jié)合系統(tǒng)安全要求，制定安全管理計劃，可為信息系統(tǒng)安全建設(shè)提供指導(dǎo)，展開信息系統(tǒng)針對需求分析，確定整體情況，有針對性地開展操作。

安全實施工作是基于信息系統(tǒng)安全設(shè)計方案，落實各項安全措施，根據(jù)網(wǎng)絡(luò)信息安全等級要求制定需求方案，確定不同等級保護需求制定等級保護措施。網(wǎng)絡(luò)系統(tǒng)進行中，監(jiān)控系統(tǒng)運行中存在的安全風險情況，整體分析網(wǎng)絡(luò)信息系統(tǒng)安全運行情況，基于評估結(jié)果優(yōu)化系統(tǒng)中存在的安全問題，制定針對安全措施。

3.2 網(wǎng)絡(luò)安全管理措施

當前人們提高了對網(wǎng)絡(luò)內(nèi)容安全的認識，但缺少網(wǎng)絡(luò)安全的認識，部分單位缺少保護網(wǎng)絡(luò)安全能力，隨著信息時代的發(fā)展，信息共享更為廣泛，信息網(wǎng)絡(luò)通暢以黨政機關(guān)為主，包括交通，光電，大型企業(yè)等國家經(jīng)濟建設(shè)重點部門，相關(guān)單位的信息網(wǎng)絡(luò)與國民經(jīng)濟發(fā)展密切相關(guān)，如受到攻擊會帶來嚴重的后果，應(yīng)增強對網(wǎng)絡(luò)安全等保制度的認識[4]。

網(wǎng)絡(luò)安全管理建設(shè)存在一定的盲目性，許多單位不知如何改進網(wǎng)絡(luò)安全性，部分人認為網(wǎng)絡(luò)中設(shè)置入侵檢測，防火墻等程序即可確保網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全管理水平低導(dǎo)致投資失去針對性，無法保障網(wǎng)絡(luò)的安保能力。當前網(wǎng)絡(luò)監(jiān)督管理相對薄弱，國家陸續(xù)頒布了很多網(wǎng)絡(luò)安全技術(shù)標準，給予很多主管部門執(zhí)法監(jiān)督職能，但隨著科技的迅速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全管理方法不再適用，主要體現(xiàn)在無集中執(zhí)法主體，多頭管理等方面，重點進行監(jiān)督網(wǎng)絡(luò)無從下手。很多網(wǎng)絡(luò)安全檢查缺乏全面檢查標準，使得網(wǎng)絡(luò)安全檢查工作不能深入開展，檢測與監(jiān)督職能界限不明，需要不斷加強網(wǎng)絡(luò)安全監(jiān)督管理。

目前國內(nèi)未形成高水平規(guī)范化網(wǎng)絡(luò)安全機構(gòu)，缺少網(wǎng)絡(luò)安全方面風險分析等網(wǎng)絡(luò)安全相關(guān)機構(gòu)，不能為社會網(wǎng)絡(luò)安全提供服務(wù)。國內(nèi)很多單位自建信息網(wǎng)絡(luò)，管理服務(wù)水平較低，需建立網(wǎng)絡(luò)安全機構(gòu)加強網(wǎng)絡(luò)安全管理。通過網(wǎng)絡(luò)安全相關(guān)專家研究，應(yīng)根據(jù)網(wǎng)絡(luò)系統(tǒng)受到破壞后帶來的危害性等綜合因素，根據(jù)國標設(shè)置保護等級，提高網(wǎng)絡(luò)安保實用性科學(xué)性。通過實施網(wǎng)絡(luò)安全等保制度，國家加強監(jiān)管工作，明確企業(yè)責任，探索符合新形勢的網(wǎng)絡(luò)安全發(fā)展路徑。

網(wǎng)絡(luò)安全等保納入信息安全意見中，需按網(wǎng)絡(luò)安全精神，與認可認證等部門進行網(wǎng)絡(luò)等保制度的制定工作，不斷完善檢測機構(gòu)，技術(shù)標準，應(yīng)全面了解保護網(wǎng)絡(luò)安全工作需要，做好網(wǎng)絡(luò)安全等保制度培訓(xùn)工作，對相關(guān)人員進行網(wǎng)絡(luò)安保培訓(xùn)。

4 結(jié)束語

網(wǎng)絡(luò)安全等保制度與網(wǎng)絡(luò)安全管理相輔相成，網(wǎng)絡(luò)安全管理是提高國家網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵。新時期公安機關(guān)建設(shè)使用計算機玩兩個中面臨諸多挑戰(zhàn)，公安機關(guān)必須重視計算機網(wǎng)絡(luò)安全管理工作，提高計算機網(wǎng)絡(luò)安全管理水平。新形勢下網(wǎng)絡(luò)安全等保制度十分重要，相關(guān)部門應(yīng)加強對網(wǎng)絡(luò)安全等保制度的重視，完善網(wǎng)絡(luò)安全法規(guī)，推動信息化發(fā)展，為網(wǎng)絡(luò)強國建設(shè)提供技術(shù)保障。

參考文獻：

[1]李賡曦，姚健，牛晨.基于等級保護制度的校園網(wǎng)絡(luò)安全建設(shè) 實踐[J].信息安全與技術(shù)，2016，7（4）：72-74.

[2]畢馬寧，李明.以等級保護制度為支付電子化管理安全護航[J].中國財政，2013（24）：39-41.

[3]國家/省信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的測評機構(gòu)[C]//第二屆全國信息安全等級保護測評體系建設(shè)會議 論文集.上海，2012：162-216.

[4]王會.基于等級保護的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D]. 廣州：中山大學(xué)，2012.

【通聯(lián)編輯：光文玲】