摘要:《中华人民共和国网络安全法》(以下简称网络安全法)是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。标志着对各类信息系统的网络安全等级保护已经上升到法律层面的要求。在网络安全法基础下如何高效开展网络安全等级保护工作是相关领域工作人员研究的重要内容。本文主要从网络安全法对等网络安全级保护工作带来的历史性变革、信息系统定级备案、网络运行者建设整改以及等级测评等方面对网络安全等级保护工作开展情况进行分析,目的是促使我国网络安全等级保护工作高效开展。
关键词:网络安全法;信息系统;定级备案;建设整改;等级测评;等级保护
网络安全法自2017年6月1日正式实施。网络安全等级保护制度是网络安全法明确提出的内容,强调在网络安全等级保护制度上对关键信息基础设施实施重点保护。如今网络安全等级保护制度已经上升为法律层面的要求,网络运营商需要严格遵守网络安全法等级保护制度,自觉履行网络安全保护法的义务,落实有效的技术防范措施和管理措施,高效开展等级保护工作。
一、网络安全法对等级保护工作带来的历史性变革
(一)提高了等级保护工作的权威性
网络安全法的制定进一步提高了等级保护工作的权威性。传统的等级保护工作相对落后,处在等级保护的1.0时代。公安机关是网络等级保护工作的主要责任部门,负责对网络系统的检查和监督。传统的等级保护工作没有将其列入法律层面上,因此起到的等级保护效果不明显。等级保护2.0时代的到来,中央网络安全和信息化委员会办公室主要负责网络等级保护工作,网络等级保护工作职责部门的转移可进一步提高等级保护效果。网络安全法颁布并实施后,等级保护工作正式列入法律层面,促使等级保护工作得以顺利开展,且取得了不错的成效,进一步提高了等级保护工作的权威性。
(二)增强了等级保护工作的力度
网络安全法进一步增强了等级保护工作力度。等级保护1.0时代主要工作内容体现在两个方面,分别是分级监管和分级保护。传统的等级保护缺少法律支持,因此保护力度普遍较低。而网络安全法颁布实施后,等级保护工作上升到了法律层面,明显增强了等级保护工作力度。此外,网络安全保护法进一步明确了安全法律的法律责任,公安机关对于违反网络安全法的行为要严厉查处。该制度的落实促使我国网络安全法得以有效落实能切实发挥法律的作用,增强网络安全法实质性效果。
(三)加快了等级保护工作的系统更迭
网络安全法加快了等级保护工作的系统更迭。等级保护工作2.0时代的到来,体现了等级保护工作的权威性地位,使得等级保护工作的内涵和力度均发生了较大变化。为了满足等级保护工作的要求就需要网络安全主管部门严格落实网络安全法,相关政府部门要出台一系列的政策,促使等级保护工作更加标准化和技术化,只有这样才能发挥网络安全法在等级保护工作的真正作用。
(四)深化了等级保护工作的内涵
网络安全法进一步深化了等级保护工作的内涵。等级保护1.0时代网络安全保护主要集中在两个方面,分别是信息安全层面上的保护和信息系统安全层面上的保护。但是这两方面的保护内容依然存在较大缺陷,导致网络安全保护难以全面落实。伴随等级保护工作2.0时代的到来,国家明确提出了加强对海陆空领域中的网络安全保护,这标志着我国网络安全保护工作的内涵进一步深化,网络安全延伸到了空间安全层面上。伴随等级保护2.0的不断落实,逐渐构建起了以网络空间为中心的等级防护体系,该体系可以将网络安全保护工作落实到五个环节,包括网络风险评估环节、灾难备份环节、数据防护环节、综合开发环节以及安全保护环节,以上环节全面落实等级保护工作,可促使我国网络安全法下的等级保护工作顺利落实[1]。
二、网络安全法等级保护工作的定级备案
网络安全等级保护工作的最初环节就是系统定级备案。网络安全等级保护工作后续开展情况与定级备案密切相关。网络运营者需要严格按照《定级指南》对业务信息和系统服务展开分析,明确破坏业务信息和系统服务的对象,根据客体被损害的实际情况明确信息系统安全保护级别,并前往当地市级以上的公安机关办理备案手续。对于关键的信息基础设施被损坏导致数据泄露,基础设施丧失功能并危害到国家安全和社会群众公共利益的信息系统需要设置3级或者3级以上的安全保护级别。一旦系统服务和业务信息遭到损害后网络运营者需要对其仔细分析,根据客体被侵害的程度明确相应的安全保护级别。网络运营者需要对网络安全保护等级初步确定,随后并组织专业评审网络安全保护等级设定是否合理,避免网络安全保护等级设定过高或者过低,将评审结果及时汇报给主管部门。
三、网络安全法等级保护工作的建设整改
网络安全法等级保护工作的建设整改需要符合网络安全法第二十一条所规定的内容。该条例中对我国使用的网络安全等级保护制度作出了进一步明确,网络运营者要严格履行网络安全等级保护制度要求,自觉履行网络安全保护义务,避免干扰、破坏网络以及没有授权就访问网络情况的出现,避免泄露、篡改、窃取网络数据。网络运营者要制定科学合理的内部安全管理制度和操作流程,明确负责网络安全的具体人员,强化网络安全负责人的责任意识。制定操作性较强的技术措施,借助先进技术防止病毒入侵信息系统,威胁网络安全。网络运营者要对网络运行状态实时性监测并記录,及时发现威胁网络安全的行为并采取相应的技术措施。对于网络日志的保存要严格按照规定至少保存六个月。及时备份重要数据,做好数据分类并采取相应的数据加密措施。此外,网络运营者要严格按照法律法规要求履行自身的义务。
(一)网络运营者在安全管理方面做出的建设整改
信息安全最重要的控制手段就是安全技术。安全技术是网络信息系统安全性的保障。安全技术要想发挥作用就需要健全管理程序的支持,如果管理程序不完善或者不科学直接妨碍安全技术作用的发挥。各地网络运营者要结合实际运营气你概况构建属于自己的网络安全管理体系,并将管理制度和操作规范两方面的内容纳入网络安全管理体系。网络运营者组织架构的制定、人员配置、工作人员行为规范、职责落实等需要借助管理制度明确下来。网络运维人员要严格按照操作规程开展自身的业务,杜绝违规作业[2-3]。
(二)网络运营者在安全技术防范方面做出的建设整改
安全技术防范方面的建设整改可以有效防止病毒入侵计算机网络系统,能确保网络系统的安全。对于网络运营者来说防毒软件和防毒墙是最常采用的计算机病毒防范技术。其中防毒软件可以有效防范操作系统中的计算机病毒。防毒墙可以在网络边界外部署,能检测并阻拦网络恶意代码,避免病毒程序或者恶意代码进入网络系统内部。防火墙是常见的网络攻击防范技术,可以隔离并保护网络和安全域边界、Web应用防火墙可以保护应用层,能防范来自应用层的攻击行为。其中入侵防御和入侵检测等是常见的网络侵入防范技术。入侵检测可以检测并报警入侵行为,但是该设备不具有阻拦功能。入侵防御可以起到阻拦的作用,但是不适用于对业务高要求的单位,这些单位一般采用入侵检测设备。因为入侵防御设备存在误报警问题,直接影响业务系统的正常运行。网络运营者要根据实际情况,制定多样网络安全技术防范措施,提高网络系统的安全防护能力[4-5]。
(三)网络运营者在安全监测、审计方面做出的建设整改
网络运营者要对网络运行状态进行监测并记录,具备该方面的能力,并严格落实网络安全防护技术措施。网络审计系统、数据库审计系统、主机审计系统以及运维审计系统可以监测并记录信息系统中的各个层面。科学技术高速发展的背景下大数据日志分析平台也应用而生,该平台可以统一汇总并分析信息系统各个层面上的日志信息,对日志的保存问题做出了明确要求,要求相关网络日志的保存时间不能少于六个月。因此网络运营者要具备监测并记录网络运行状态的能力,并严格落实相应的安全防护技术措施,妥善做好对网络日志的管理工作。
(四)网络运营者在数据保护方面做出的建设整改
数据保护方面需要网络运营者做出相应的建设整改。网络运营者要科学分类数据资料,对重要数据做好相应的保护措施,并及时备份重要数据,制定加密措施。及时备份重要数据即便是发生了网络安全问题,所备份的数据也可以在短时间内恢复。而数据加密措施则可以确保数据传输和数据存储环节的安全性[6-7]。
(五)网络安全法下网络运营者应该履行的义务
网络运营者要履行网络安全法规定的义务。此外,行业主管部门需要满足行业内部和地方政府部门的网络安全要求。网络运营者要制定科学合理的网络安全应急预案,确保所制定的应急预案可对网络系统漏洞及时处理,能有效防范计算机病毒、网络入侵和网络攻击事件。网络运营者要按照应急预案的要求定期开展应急演练,确保应急预案可高效落实。此外,网络运营者还需要成立专门的安全管理机构,并安排专业人员在安全管理机构中任职,严格审查从事安全管理机构中关键岗位和总负责人的背景资料;网络运营者要对内部人员定期开展网络安全教育、网络安全技术培训,并制定科学合理的考核管理制度,对考核不合格的人员落实相应的处罚措施;网络运营者要容灾备份关键数据和数据库,做好完善的应急预案;网络运营者要开展网络安全事故的应急演练,提高工作人员灵活应对网络安全事故的能力;网络安全管理部门要制定本单位内部的网络安全保护制度,确保网络安全保护制度可以高效落实。对于关键岗位人员和安全管理主要负责人的背景资料全面审查,确保这些岗位人员背景资料干净;对于从业人员要定期培训,强化工作人员网络安全保护意识,不断提高工作人员网络安全防护技能;为了避免网络安全事故对关键数据和数据库带来的影响,需要对关键数据和数据库进行容灾备份处理,这样即便发生了网络安全事故备份数据和备份数据库也可以发挥作用[8-9]。
四、网络安全法等级保护工作的等级测评
运营者网络安全法等级保护工作建设整改上线运营后,为了确保信息系统安全稳定运行,需要定期监测信息系统,确保建设整改工作的有效性。关键信息基础设施运营者可以自己内部检查网络系统存在的风险因素,也可以委托给网络安全服务机构,由该机构每年对关键信息基础设施运营者网络系统进行安全性检查,确保网络运营者网络系统的安全性。网络运营者要按照《信息安全等级保护管理办法》中制定的条例规范经营,信息系统建设完成后。使用单位、网络运营单位和其他主管部门要选择高资质的信息系统测评机构,该机构按照《信息系统安全等级保护测评要求》对信息系统安全等级情况定期测评。对于第五级信息系统要按照特殊安全需求展开等级测评工作;对于第四级信息系统至少间隔半年展开一次等级测评工作;对于第三级信息系统至少每一年展开一次等级测评工作。关键信息基础设施安全保护等级要求至少为三级,因此网络运营者对于关键信息基础设施需要委托得到公安部门认可的测评机构每年测评一次,确保关键信息基础设施安全保护等级测评工作有效开展。测评技术后向负责关键基础设施安全保护工作的部门及时汇报测评结果和整改措施[10-11]。
五、结语
综上所述,网络安全法是伴随我国时代不断发展而产生的。网络安全法的正式实施标志着我国的信息系统等级保护工作上升到了法律层面。网络运营者在此种背景下需要自觉履行网络安全法规定的义务,要积极承担网络运营者肩负的法律责任,制定相应的网络安全防护技术措施,全面落实网络系统等级保护工作。为了进一步满足当今时代发展的要求,迎合网络信息技术的高速发展,我国的网络安全等级保护制度也不断完善。国家有关部门对网络安全等级保护制度不断修改、完善,作为网络运营者需要积极参与其中,为网络安全等级保护制度的完善和优化出谋划策,切实维护我国网络系统的安全性和稳定性。
参考文献
[1] 谷庆华. 探究网络安全法给等级保护工作带来的历史性变革[J]. 数字化用户,2018,24(6):24.
[2] 李云亚,陈大文,李盛民. 基于网络安全法的等级保护工作开展研究[J]. 无线互联科技,2018,15(19):23-24,43.
[3] 朱岩,张艺,王迪,等. 网络安全等级保护下的区块链评估方法[J]. 工程科学学报,2020,42(10):1267-1285.
[4] 谢蔚. 浅谈网络安全法给等级保护工作带来的历史性变革[C]. //第六届全国网络安全等级保护技术大会 论文集. 2017:9-12.
[5] 李炜玥,冷昊,杨盛明,等. 网络安全等级保护2.0之常见安全要点及应对方法[J]. 电子质量,2021(4):8-11.
[6] 郭乐. 网络安全等级保护2.0体系下的法院网络安全管理及应对[J]. 网络安全技術与应用,2020(5):136-137
[7] 罗立川. 网络安全等级保护法规政策介绍[J]. 数码设计(上),2021,10(5):14-15.
[8] 陈大文. 如何结合网络安全法开展等级保护工作[C]. //第六届全国网络安全等级保护技术大会 论文集. 2017:247-249.
[9] 张昊. 在等级保护工作中有效落实《数据安全法》[J]. 网络空间安全,2021,12(1):19-23.
[10] 戴璐. 基于等级保护要求的网络安全投资估算模型[J]. 电声技术,2021,45(3):77-80.
[11] 范仲伟,王洪鳌,杨丹. 基于攻击链的网络安全等级保护整体测评方法研究[C]. //第八届全国网络安全等级保护技术大会论文集. 2019:5-8.
作者简介:张永楠(1980年9月-)男,汉族,籍贯吉林图们,大学本科学历,高级工程师,研究方向——数字政府,信息安全,政务大数据