网络安全管理与网络安全等级保护制度探讨

魏旭

摘   要：隨着信息科技的飞速发展，网络走进千家万户，其应用领域越来越广泛，对社会经济发展以及人们日常生活的影响也越来越重要。网络在提供便利生活的同时，也有着巨大的安全隐患。因此，如何创新网络技术，建立健全网络安全等级制度以及加强网络安全管理是我国网络管理的核心所在。文章主要简述了网络安全等级保护制度，提出网络安全管理的对策，以期为防控网络安全风险、营造绿色网络环境提供参考。

关键词：网络安全管理;网络安全等级保护制度;信息安全

1    网络安全管理与网络安全等级保护制度概述

我国的网络安全等级保护制度的法律形式可分为4个阶段。1994年2月《中华人民共和国计算机信息系统安全保护条例》出台，这是我国首次提出网络安全等级保护制度。由于网络信息技术滞后，当时的具体配套措施并未真正实施。2007年7月《信息安全等级保护管理办法》出台，并在重点联网单位开始执行。此后，我国网络安全等级保护制度进入推行阶段。2017年6月《中华人民共和国网络安全法》正式实施，网络安全等级制度第一次以法律形式出现，成为社会强制性义务，这也是在法律层面防止网络数据免受干扰、破坏、窃取、泄露、篡改等的一项强制性保护措施。2019年5月网络安全等级保护制度2.0标准正式发布，对“威胁情报检测系统”和“威胁情报库”做出了具体要求。

2     网络安全等级保护制度概述

2.1  工作原则

我国网络安全等级保护制度的贯彻原则为“自主定级、自主保护”。各企事业单位在建立计算机系统后，应参照系统信息安全性、重要性以及与公共利益、其他合法组织等的权益相关情况，自主定级、自主保护，以满足国家相关网络安全等级保护制度的具体要求。

2.2  法律责任

我国的网络安全等级保护制度坚持的是“自主定级、自主保护”的原则，但是并不意味着可以忽视其法律责任。《中华人民共和国网络安全法》中规定：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处1万元以上10万元以下罚款，对直接负责的主管人员处5 000元以上5万元以下罚款[1]。《中华人民共和国计算机信息系统安全保护条例》中规定：有违反计算机信息系统安全等级保护制度，危害计算机系统安全等行为的，由公安机关处以警告或者整顿。《中华人民共和国刑法修正案九》第二十八条，对刑法第二百八十六条的补充：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播的;致使用户信息泄露，造成严重后果的;致使刑事案件证据灭失，情节严重的;有其他严重情节的，处3年以下有期徒刑、拘役或者管制，并处或者单处罚金[2]。

2.3  等级划分

按照信息系统遭受破坏后，对国家安全、公共利益带来的影响，计算机信息系统安全保护可分为五级，危害程度越大，级别越高。举例来说，假如A单位的网络信息系统遭到破坏后，严重扰乱社会公共秩序，使公共利益遭受严重损失，则可将其定级为三级或者三级以上。需要注意的是，该等级划分标准是无法量化的。

2.4  监管部门

根据相关法律规定，我国网络安全监督与管理主要由国务院电信主管部门、国家网信部门以及各级公安部门负责。与此同时，上述3个部门也是我国网络安全等级保护制度的主要监管部门。

3    网络安全管理对策

3.1  定级实现

在计算机信息系统构建完成以后，相关网络运营者应根据其系统识别以及相关描述，全面评估网络信息安全风险，明确网络信息安全等级，起草、上交定级报告，开展定级备案。根据相关规定，二级及二级以上的计算机系统运营者或者主管部门，应在确定安全保护等级后30日内，到相关公安机关网监部门进行网络安全保护等级备案工作;而对于新建的二级及二级以上的网络信息系统，则应在正式运营后，到相关公安机关网监部门进行备案工作，备案时间仍以30日为限。

3.2  总体规划

网络安全建设的总体规划，应基于计算机信息系统，结合业务范围、数据敏感度以及安全风险评估分析等，合理设计具体结构、制定安全管理策略，以满足信息系统的安全需求，进而为网络系统的安全管理打下良好基础。对于该系统，还应分析其整体特征以及特有需求，以明确差距，开展有针对性的操作。

3.3  安全实施与维护

根据网络信息安全保护等级制度要求，基于自身安全设计规划，开展安全实施工作，完善安全管理体系。基于此，制定网络安全管理方案，执行逐级安全保护责任制，细化网络使用部门、运行部门以及安全管理部门的权责，做到“有法可依、有章可循、违法必究”;加强网络安全知识的推广与宣传，对关键岗位人员进行定期培训，并将培训纳入绩效考核范畴;引入先进的安全保护技术，制定科学的应急方案;记录、保全安全保护日志以及档案，及时排查网络安全风险，对突出的安全隐患及时进行整改整顿。并注重提高专项整治效率，实现抓实、抓紧、抓出成效。此外，还应开展动态维护，对系统运行情况进行实时监控跟踪，以分析变化趋势与规律，不断改造安全隐患，提高网络信息系统运行的安全性与稳定性。

4    结语

网络安全等级保护制度是网络信息安全体系建设的基本方针、基本制度以及基本策略，同时也是衡量网络安全管理质量的重要依据。不管用于办公、生产的网络信息系统，还是各类服务、贸易平台，都应基于网络安全等级保护制度，加强网络安全管理，维护网络空间主权以及发展利益。特别是对安全等级保护在三级及以上的网络信息系统或者关键基础设施单位，更应对其实施重点保护，并根据业务属性以及数据敏感程度，制定行之有效的针对性安全管理策略，以防止出现重要信息泄露、资产遭受违法访问等，对国家及其他组织的合法权益造成严重损失。

[参考文献]

[1]全国人民代表大会常务委员会.中华人民共和国网络安全法[M].北京：法律出版社，2016.

[2]李欣，厚佳琪.网络安全等级保护工作的创新发展[J].中国信息安全，2019（8）：33-34.