◆吳蒙

（中國信息通信研究院信息管理中心 北京 100191）

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡已經(jīng)成為群眾發(fā)聲行使自身權益的一種新模式，群眾不但可以通過微博、郵箱等提出家鄉(xiāng)建設發(fā)展的建議，也可以通過不斷建立完善的電子政務或電子政府實現(xiàn)日常事務的辦理。近年來，我國現(xiàn)代科學技術發(fā)展迅速，網(wǎng)絡使用需求和市場規(guī)模不斷擴大，這也促進了網(wǎng)絡安全管理的進一步嚴格發(fā)展。在信息時代，網(wǎng)絡安全在國家安全中的作用更加突出，不容忽視。即使在某些情況下，也會影響國家信息管理。互聯(lián)網(wǎng)的傳播和普及為新的網(wǎng)絡犯罪提供了廣闊的平臺和空間，違法案件層出不窮。在技術利益的驅使下，許多犯罪分子多次越過法律底線，嚴重危害我國的法律管理秩序和社會保障秩序，加劇了思想矛盾和沖突。

1 網(wǎng)絡安全管理與網(wǎng)絡安全等級保護制度概述

（1）網(wǎng)絡安全管理的必要性

近年來，網(wǎng)絡安全事件不斷發(fā)生，F(xiàn)acebook 用戶隱私數(shù)據(jù)泄露、澳大利亞政府雇員個人信息泄露、委內瑞拉大規(guī)模停電等網(wǎng)絡安全事件引起了全球范圍內的廣泛關注，而這一類的安全事件也敲響了網(wǎng)絡安全的警鐘。由于網(wǎng)絡在社會中的廣泛應用，國家也對網(wǎng)絡安全問題給予了高度的重視，從多方面出臺相關政策，旨在加強網(wǎng)絡信息的監(jiān)管，從而推動互聯(lián)網(wǎng)乃至整個社會的和諧發(fā)展。一方面是因為安全技術的缺乏，核心安全技術遠遠落后于國外，另一方面也是因為中國近些年發(fā)展太快，國內用戶對于網(wǎng)絡安全的普遍不重視，沒有意識到網(wǎng)絡安全問題會給大家?guī)矶啻蟮挠绊?，這也就為惡意攻擊者提供了良好的施展環(huán)境，使得網(wǎng)絡安全事件更容易發(fā)生。

網(wǎng)絡安全是一個比較大的課題，涉及諸多如立法、技術、管理、使用等多方面的約束，但同時使得網(wǎng)絡安全的研究地位也在日益提升?？偠灾ヂ?lián)網(wǎng)環(huán)境下的網(wǎng)絡安全問題已經(jīng)成了當下被高度重視的安全問題。社會的發(fā)展無法離開網(wǎng)絡，只有不斷提升安全防護技術，強化安全管理，發(fā)現(xiàn)企業(yè)可能面臨的安全威脅，才能更好使用信息化工具促進企業(yè)的更好發(fā)展。

（2）網(wǎng)絡安全等級保護制度

2016年《網(wǎng)絡安全法》完成制定，自此，我國信息安全等級保護變更名稱為網(wǎng)絡安全等級保護?！毒W(wǎng)絡安全法》對網(wǎng)絡安全等級保護的定義是：網(wǎng)絡安全等級保護是指對于國家秘密信息、法人和其他組織和公民的專有信息以及公開信息的存儲、傳輸和處理，并對這些信息實行信息系統(tǒng)分等級安全保護，針對信息系統(tǒng)發(fā)生的網(wǎng)絡安全問題根據(jù)其劃分等級情況實行響應和處置。簡而言之，網(wǎng)絡安全等級保護就是分等級保護、分等級監(jiān)管。

實際上，網(wǎng)絡安全等級保護制度是指對包括法人、公民和組織在內的專有或公共信息以及國家機密信息的分級安全保護。同時，對處理、傳輸和存儲這些信息的系統(tǒng)也應進行分級安全保護。此外，在所使用的信息系統(tǒng)中，還需要對應用的安全產(chǎn)品進行分級管理，對安全事件進行分級處理和響應。在我國，從廣義上講，網(wǎng)絡安全等級保護制度就是按照對與網(wǎng)絡安全有關的信息、系統(tǒng)、產(chǎn)品和標準進行等級保護的思想，開展網(wǎng)絡安全防護工作。狹義的網(wǎng)絡安全等級保護體系是指信息系統(tǒng)的等級保護。

（3）網(wǎng)絡安全管理的理論基礎

網(wǎng)絡安全管理，可以看作是為了保障安全所采取的管理行為和保護措施，就是對人、財、物等組織進行有效的計劃、組織、領導、控制和激勵，實現(xiàn)個人及組織共同期望的安全目標和安全狀態(tài)。美國學者克弗洛、薩德曼認為，網(wǎng)絡安全管理從廣義上看，是指借助系統(tǒng)化的管理手段，運用科學的方法處理事故。因此，在網(wǎng)絡安全管理的整個過程中，作為網(wǎng)絡安全管理者，第一要有一種安全防范意識，事先能預判事故發(fā)生的可能性，能夠考慮到采取某種措施能夠預防事故的發(fā)生；第二要能夠主動采取避免安全事故發(fā)生的具體措施，通過實際行動確保安全；第三是對于發(fā)生的安全事故能夠及時、有效的處理，避免造成更大的損失和不良影響；第四是及時總結安全事故處理的經(jīng)驗和教訓，為避免類似事故的出現(xiàn)制定防范措施；第五是加強安全警示和教育，調動組織中更多的人統(tǒng)一思想、達成共識，共同維護安全環(huán)境。所以說，網(wǎng)絡安全管理就是為防止安全事故發(fā)生、減輕事故帶來的損失、消除各種意外事故產(chǎn)生的風險與影響采取的管理措施，是一個隨時都可能發(fā)生變化、需要及時作出決策的動態(tài)的過程，也是一套有明確目標、要求和操作流程的、需要大家共同遵守的制度規(guī)定。

2 當前網(wǎng)絡安全管理及等級保護制度面臨的問題

（1）網(wǎng)絡安全等級保護制度執(zhí)行不到位

目前企業(yè)中網(wǎng)絡安全等級保護制度執(zhí)行不到位的情況普遍存在，主要體現(xiàn)在兩個方面，一是系統(tǒng)建設過程中，規(guī)劃設計階段未嚴格按照等保要求進行等保定級，或定級不規(guī)范，為逃避等保測評和等保備案工作故意降低系統(tǒng)等級。二是在系統(tǒng)運行階段，未能按照等保要求定期開展等保測評工作，初次等保測評后出于節(jié)約經(jīng)費、減少管理報備工作等多方面考慮，很多企業(yè)未能按照要求進行復測。為系統(tǒng)安全穩(wěn)定運行留下諸多隱患。

（2）網(wǎng)絡安全管理制度不完善及管理流程運行不順暢

在安全管理制度方面，很多企業(yè)缺少完整的網(wǎng)絡安全制度體系，且建立制度體系時缺乏合理性和實用性的科學論證。另外很多企業(yè)未能持續(xù)更新完善已有的制度體系，很多制度過于陳舊已無法滿足管理需要，又不能及時根據(jù)企業(yè)自身實際情況有針對性進行修改完善；在安全管理機構方面，很多企業(yè)未配備專職的網(wǎng)絡安全團隊。不能對本企業(yè)系統(tǒng)的重要操作、重要活動等進行有效的審計和檢查，對于已建立審批程序和制度的企業(yè)也存在未定期審查審批事項、更新審批項目、部門、權限和審批人，未對審批過程進行有效記錄并存檔等問題。未聘請信息安全專家作為安全顧問指導信息安全建設等問題；在系統(tǒng)建設管理層面，存在缺乏對系統(tǒng)定級結果的科學論證，缺乏對系統(tǒng)驗收、交付等控制方法和人員行為的書面規(guī)定等問題；在系統(tǒng)運維管理層面，存在未按照網(wǎng)絡安全等級保護要求定期進行系統(tǒng)漏洞掃描、安全日志及審計數(shù)據(jù)分析，未有效組織內部應急預案的培訓及演練等問題。

（3）數(shù)據(jù)安全問題越來越嚴峻

國家、社會以及企業(yè)當前對于信息技術應用水平逐漸成熟，數(shù)據(jù)已逐漸成為重要的戰(zhàn)略資源。如今大數(shù)據(jù)時代已經(jīng)到來，信息化的快速發(fā)展離不開數(shù)據(jù)資源的有力支撐。隨著互聯(lián)網(wǎng)的迅速發(fā)展以及人們生活和生產(chǎn)等各種活動與信息技術的迅速融合，全球數(shù)據(jù)信息呈現(xiàn)爆炸式增長，對人們的生產(chǎn)生活、經(jīng)濟發(fā)展和社會進步產(chǎn)生了重大影響?；诋斍靶碌陌l(fā)展形勢，以及網(wǎng)絡安全的嚴峻形勢。國家正式出臺了《數(shù)據(jù)安全法》，并在積極制定《網(wǎng)絡數(shù)據(jù)安全管理條例》等配套文件。由此可見數(shù)據(jù)安全問題越來越重要且給各個企業(yè)網(wǎng)絡安全管理提出了新的挑戰(zhàn)，也提出了更高的要求。除制度和管理問題外，目前企業(yè)數(shù)據(jù)安全方面主要問題還集中體現(xiàn)在數(shù)據(jù)安全級備份恢復層面，存在冗余設備配備不夠、數(shù)據(jù)備份空間不足、數(shù)據(jù)存儲保密措施不全面等問題。

3 網(wǎng)絡安全管理與網(wǎng)絡安全等級保護制度建議

（1）加強網(wǎng)絡安全組織管理

為了更好對企業(yè)的網(wǎng)絡安全環(huán)境進行規(guī)劃和控制，建議增設獨立的網(wǎng)絡安全管理部門，從而更好對企業(yè)進行信息安全管理和戰(zhàn)略部署。在很多企業(yè)中，網(wǎng)絡安全管理部門的存在形同虛設，或者根本沒有設置，而作為企業(yè)中對于網(wǎng)絡安全最為重要的部門，網(wǎng)絡安全管理部門應該獲得足夠的重視以及足夠的管理授權，并在實際的網(wǎng)絡安全管理工作中承擔更多的實際職能。比如推動內部安全互相監(jiān)督、安全績效考核等，同時，鼓勵企業(yè)內部各部門向網(wǎng)絡安全團隊提出網(wǎng)絡安全建議，同時設置部門安全協(xié)調員，促進跨部門的協(xié)作等。

好的團隊需要一個優(yōu)秀的管理者，管理者應該有堅定的信念，執(zhí)著的追求，對目標的堅持，才能在困難中堅持把安全工作做到位。除了這些特點之外，至少還要做到以下幾點。

第一，努力讓團隊成員認可網(wǎng)絡安全工作，使其相信自己的價值的同時認可其在部門內部的價值，這樣才能激發(fā)每個員工的最大潛力和最強的主觀能動性。

第二，通過各種量化措施，表現(xiàn)出安全團隊的價值，比如設置合理的安全考核指標和安全監(jiān)測指標，體現(xiàn)網(wǎng)絡安全團隊主動發(fā)現(xiàn)風險并改善的能力以及團隊績效的持續(xù)改善。

第三，主動匯報。主動與領導溝通，獲取領導的支持，能否獲得管理層領導的支持是建立優(yōu)秀安全團隊的關鍵，也是網(wǎng)絡安全團隊領頭人最需要做的工作之一。確認管理者之后，需要對安全團隊的組織架構進行合理的規(guī)劃。網(wǎng)絡安全團隊的整體組織架構分為三層，首先是網(wǎng)絡安全管理層，其次是各管理部門的負責人，最后是負責相應安全管理工作的工作人員，在部門的劃分上需具有足夠的代表性。另外，網(wǎng)絡安全部門應該定期召開會議，討論企業(yè)的網(wǎng)絡安全總體規(guī)劃方向，并組織和編寫內部網(wǎng)絡安全管理制度。

（2）加強網(wǎng)絡安全防控體系建設

有了專業(yè)性較強的人員隊伍，還要加強信息系統(tǒng)安全技術體系建設，建立完善本部門的網(wǎng)絡安全風險預案。企業(yè)應嚴格按照網(wǎng)絡安全等級保護各項要求，從物理安全設計、網(wǎng)絡安全設計、主機安全設計、應用安全設計及數(shù)據(jù)安全設計等五個方面進行信息系統(tǒng)安全技術體系建設，內容要涵蓋對機房的建設運維、辦公環(huán)境、設備和介質、通信網(wǎng)絡、區(qū)網(wǎng)邊界、服務器、工作站、應用系統(tǒng)、應用平臺、數(shù)據(jù)備份與恢復等方面的要求和根據(jù)企業(yè)實際情況需要規(guī)劃設計的其他方面要求。分析自身存在的信息安全風險點，制定符合自身實際情況、操作性強的網(wǎng)絡安全風險防控預案，并定期開展信息安全風險防控預案的演練。

企業(yè)在網(wǎng)絡安全防控體系建設過程中，需要業(yè)務部門為網(wǎng)絡安全管理過程及內容提供指導。確定需要網(wǎng)絡安全防控的區(qū)域、類別及途徑。此外，要確保企業(yè)對于網(wǎng)絡安全事件的應對能力，一方面需要進行風險預警，對企業(yè)內部所提供的網(wǎng)絡資源進行合理的管理和監(jiān)控，保證網(wǎng)絡安全管理團隊能夠在第一時間收到異常資源使用的提醒。另一方面也需要定期開展網(wǎng)絡安全風險應對及網(wǎng)絡安全事件應急演練，提高臨場應變能力，應急預案和應對措施能真正發(fā)揮應有的作用，在發(fā)生問題的時候能夠減少響應時間，從而真正的減少網(wǎng)絡安全事件發(fā)生時企業(yè)的損失。

（3）持續(xù)開展網(wǎng)絡安全等級保護測評

為保證信息系統(tǒng)安全穩(wěn)定運行，數(shù)據(jù)合法合規(guī)獲取和利用，企業(yè)應持續(xù)開展網(wǎng)絡安全等級保護測評工作，按照全員參與的原則，網(wǎng)絡安全等級保護測評應該針對企業(yè)的所有員工。通過宣傳、培訓和教育達到以下三個目的：提升員工網(wǎng)絡安全意識、確保員工理解自己的安全職責及保證員工掌握必要的網(wǎng)絡安全方面的專業(yè)技能和理論。為此，企業(yè)應持續(xù)開展網(wǎng)絡安全等級保護測評工作，并持續(xù)保障所需的專項資金。

4 結語

面對當今社會如此復雜的網(wǎng)絡安全形勢，在我國迅速實施網(wǎng)絡安全等級保護體系顯得尤為重要。目前，無論是國家、企業(yè)還是個人，都應不斷學習和了解網(wǎng)絡安全等級防護體系的相關知識，提高網(wǎng)絡安全防護意識和能力。同時，中國應建立一些專業(yè)的網(wǎng)絡安全機構，進一步完善與網(wǎng)絡安全相關的政策、法律法規(guī)。各有關部門還應加強對網(wǎng)絡安全的監(jiān)督管理，確保各企業(yè)有效實施網(wǎng)絡安全等級保護制度，加強自身網(wǎng)絡安全管理及相關體系建設，避免出現(xiàn)網(wǎng)絡安全問題。