基于網絡安全法的等級保護工作開展研究

摘要：《中華人民共和國網絡安全法》（以下簡稱網絡安全法）是為保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展而制定的法律。標志著對各類信息系統的網絡安全等級保護已經上升到法律層面的要求。在網絡安全法基礎下如何高效開展網絡安全等級保護工作是相關領域工作人員研究的重要內容。本文主要從網絡安全法對等網絡安全級保護工作帶來的歷史性變革、信息系統定級備案、網絡運行者建設整改以及等級測評等方面對網絡安全等級保護工作開展情況進行分析，目的是促使我國網絡安全等級保護工作高效開展。

關鍵詞：網絡安全法;信息系統;定級備案;建設整改;等級測評;等級保護

網絡安全法自2017年6月1日正式實施。網絡安全等級保護制度是網絡安全法明確提出的內容，強調在網絡安全等級保護制度上對關鍵信息基礎設施實施重點保護。如今網絡安全等級保護制度已經上升為法律層面的要求，網絡運營商需要嚴格遵守網絡安全法等級保護制度，自覺履行網絡安全保護法的義務，落實有效的技術防范措施和管理措施，高效開展等級保護工作。

一、網絡安全法對等級保護工作帶來的歷史性變革

（一）提高了等級保護工作的權威性

網絡安全法的制定進一步提高了等級保護工作的權威性。傳統的等級保護工作相對落后，處在等級保護的1.0時代。公安機關是網絡等級保護工作的主要責任部門，負責對網絡系統的檢查和監督。傳統的等級保護工作沒有將其列入法律層面上，因此起到的等級保護效果不明顯。等級保護2.0時代的到來，中央網絡安全和信息化委員會辦公室主要負責網絡等級保護工作，網絡等級保護工作職責部門的轉移可進一步提高等級保護效果。網絡安全法頒布并實施后，等級保護工作正式列入法律層面，促使等級保護工作得以順利開展，且取得了不錯的成效，進一步提高了等級保護工作的權威性。

（二）增強了等級保護工作的力度

網絡安全法進一步增強了等級保護工作力度。等級保護1.0時代主要工作內容體現在兩個方面，分別是分級監管和分級保護。傳統的等級保護缺少法律支持，因此保護力度普遍較低。而網絡安全法頒布實施后，等級保護工作上升到了法律層面，明顯增強了等級保護工作力度。此外，網絡安全保護法進一步明確了安全法律的法律責任，公安機關對于違反網絡安全法的行為要嚴厲查處。該制度的落實促使我國網絡安全法得以有效落實能切實發揮法律的作用，增強網絡安全法實質性效果。

（三）加快了等級保護工作的系統更迭

網絡安全法加快了等級保護工作的系統更迭。等級保護工作2.0時代的到來，體現了等級保護工作的權威性地位，使得等級保護工作的內涵和力度均發生了較大變化。為了滿足等級保護工作的要求就需要網絡安全主管部門嚴格落實網絡安全法，相關政府部門要出臺一系列的政策，促使等級保護工作更加標準化和技術化，只有這樣才能發揮網絡安全法在等級保護工作的真正作用。

（四）深化了等級保護工作的內涵

網絡安全法進一步深化了等級保護工作的內涵。等級保護1.0時代網絡安全保護主要集中在兩個方面，分別是信息安全層面上的保護和信息系統安全層面上的保護。但是這兩方面的保護內容依然存在較大缺陷，導致網絡安全保護難以全面落實。伴隨等級保護工作2.0時代的到來，國家明確提出了加強對海陸空領域中的網絡安全保護，這標志著我國網絡安全保護工作的內涵進一步深化，網絡安全延伸到了空間安全層面上。伴隨等級保護2.0的不斷落實，逐漸構建起了以網絡空間為中心的等級防護體系，該體系可以將網絡安全保護工作落實到五個環節，包括網絡風險評估環節、災難備份環節、數據防護環節、綜合開發環節以及安全保護環節，以上環節全面落實等級保護工作，可促使我國網絡安全法下的等級保護工作順利落實[1]。

二、網絡安全法等級保護工作的定級備案

網絡安全等級保護工作的最初環節就是系統定級備案。網絡安全等級保護工作后續開展情況與定級備案密切相關。網絡運營者需要嚴格按照《定級指南》對業務信息和系統服務展開分析，明確破壞業務信息和系統服務的對象，根據客體被損害的實際情況明確信息系統安全保護級別，并前往當地市級以上的公安機關辦理備案手續。對于關鍵的信息基礎設施被損壞導致數據泄露，基礎設施喪失功能并危害到國家安全和社會群眾公共利益的信息系統需要設置3級或者3級以上的安全保護級別。一旦系統服務和業務信息遭到損害后網絡運營者需要對其仔細分析，根據客體被侵害的程度明確相應的安全保護級別。網絡運營者需要對網絡安全保護等級初步確定，隨后并組織專業評審網絡安全保護等級設定是否合理，避免網絡安全保護等級設定過高或者過低，將評審結果及時匯報給主管部門。

三、網絡安全法等級保護工作的建設整改

網絡安全法等級保護工作的建設整改需要符合網絡安全法第二十一條所規定的內容。該條例中對我國使用的網絡安全等級保護制度作出了進一步明確，網絡運營者要嚴格履行網絡安全等級保護制度要求，自覺履行網絡安全保護義務，避免干擾、破壞網絡以及沒有授權就訪問網絡情況的出現，避免泄露、篡改、竊取網絡數據。網絡運營者要制定科學合理的內部安全管理制度和操作流程，明確負責網絡安全的具體人員，強化網絡安全負責人的責任意識。制定操作性較強的技術措施，借助先進技術防止病毒入侵信息系統，威脅網絡安全。網絡運營者要對網絡運行狀態實時性監測并記錄，及時發現威脅網絡安全的行為并采取相應的技術措施。對于網絡日志的保存要嚴格按照規定至少保存六個月。及時備份重要數據，做好數據分類并采取相應的數據加密措施。此外，網絡運營者要嚴格按照法律法規要求履行自身的義務。

（一）網絡運營者在安全管理方面做出的建設整改

信息安全最重要的控制手段就是安全技術。安全技術是網絡信息系統安全性的保障。安全技術要想發揮作用就需要健全管理程序的支持，如果管理程序不完善或者不科學直接妨礙安全技術作用的發揮。各地網絡運營者要結合實際運營氣你概況構建屬于自己的網絡安全管理體系，并將管理制度和操作規范兩方面的內容納入網絡安全管理體系。網絡運營者組織架構的制定、人員配置、工作人員行為規范、職責落實等需要借助管理制度明確下來。網絡運維人員要嚴格按照操作規程開展自身的業務，杜絕違規作業[2-3]。

（二）網絡運營者在安全技術防范方面做出的建設整改

安全技術防范方面的建設整改可以有效防止病毒入侵計算機網絡系統，能確保網絡系統的安全。對于網絡運營者來說防毒軟件和防毒墻是最常采用的計算機病毒防范技術。其中防毒軟件可以有效防范操作系統中的計算機病毒。防毒墻可以在網絡邊界外部署，能檢測并阻攔網絡惡意代碼，避免病毒程序或者惡意代碼進入網絡系統內部。防火墻是常見的網絡攻擊防范技術，可以隔離并保護網絡和安全域邊界、Web應用防火墻可以保護應用層，能防范來自應用層的攻擊行為。其中入侵防御和入侵檢測等是常見的網絡侵入防范技術。入侵檢測可以檢測并報警入侵行為，但是該設備不具有阻攔功能。入侵防御可以起到阻攔的作用，但是不適用于對業務高要求的單位，這些單位一般采用入侵檢測設備。因為入侵防御設備存在誤報警問題，直接影響業務系統的正常運行。網絡運營者要根據實際情況，制定多樣網絡安全技術防范措施，提高網絡系統的安全防護能力[4-5]。

（三）網絡運營者在安全監測、審計方面做出的建設整改

網絡運營者要對網絡運行狀態進行監測并記錄，具備該方面的能力，并嚴格落實網絡安全防護技術措施。網絡審計系統、數據庫審計系統、主機審計系統以及運維審計系統可以監測并記錄信息系統中的各個層面?？茖W技術高速發展的背景下大數據日志分析平臺也應用而生，該平臺可以統一匯總并分析信息系統各個層面上的日志信息，對日志的保存問題做出了明確要求，要求相關網絡日志的保存時間不能少于六個月。因此網絡運營者要具備監測并記錄網絡運行狀態的能力，并嚴格落實相應的安全防護技術措施，妥善做好對網絡日志的管理工作。

（四）網絡運營者在數據保護方面做出的建設整改

數據保護方面需要網絡運營者做出相應的建設整改。網絡運營者要科學分類數據資料，對重要數據做好相應的保護措施，并及時備份重要數據，制定加密措施。及時備份重要數據即便是發生了網絡安全問題，所備份的數據也可以在短時間內恢復。而數據加密措施則可以確保數據傳輸和數據存儲環節的安全性[6-7]。

（五）網絡安全法下網絡運營者應該履行的義務

網絡運營者要履行網絡安全法規定的義務。此外，行業主管部門需要滿足行業內部和地方政府部門的網絡安全要求。網絡運營者要制定科學合理的網絡安全應急預案，確保所制定的應急預案可對網絡系統漏洞及時處理，能有效防范計算機病毒、網絡入侵和網絡攻擊事件。網絡運營者要按照應急預案的要求定期開展應急演練，確保應急預案可高效落實。此外，網絡運營者還需要成立專門的安全管理機構，并安排專業人員在安全管理機構中任職，嚴格審查從事安全管理機構中關鍵崗位和總負責人的背景資料;網絡運營者要對內部人員定期開展網絡安全教育、網絡安全技術培訓，并制定科學合理的考核管理制度，對考核不合格的人員落實相應的處罰措施;網絡運營者要容災備份關鍵數據和數據庫，做好完善的應急預案;網絡運營者要開展網絡安全事故的應急演練，提高工作人員靈活應對網絡安全事故的能力;網絡安全管理部門要制定本單位內部的網絡安全保護制度，確保網絡安全保護制度可以高效落實。對于關鍵崗位人員和安全管理主要負責人的背景資料全面審查，確保這些崗位人員背景資料干凈;對于從業人員要定期培訓，強化工作人員網絡安全保護意識，不斷提高工作人員網絡安全防護技能;為了避免網絡安全事故對關鍵數據和數據庫帶來的影響，需要對關鍵數據和數據庫進行容災備份處理，這樣即便發生了網絡安全事故備份數據和備份數據庫也可以發揮作用[8-9]。

四、網絡安全法等級保護工作的等級測評

運營者網絡安全法等級保護工作建設整改上線運營后，為了確保信息系統安全穩定運行，需要定期監測信息系統，確保建設整改工作的有效性。關鍵信息基礎設施運營者可以自己內部檢查網絡系統存在的風險因素，也可以委托給網絡安全服務機構，由該機構每年對關鍵信息基礎設施運營者網絡系統進行安全性檢查，確保網絡運營者網絡系統的安全性。網絡運營者要按照《信息安全等級保護管理辦法》中制定的條例規范經營，信息系統建設完成后。使用單位、網絡運營單位和其他主管部門要選擇高資質的信息系統測評機構，該機構按照《信息系統安全等級保護測評要求》對信息系統安全等級情況定期測評。對于第五級信息系統要按照特殊安全需求展開等級測評工作;對于第四級信息系統至少間隔半年展開一次等級測評工作;對于第三級信息系統至少每一年展開一次等級測評工作。關鍵信息基礎設施安全保護等級要求至少為三級，因此網絡運營者對于關鍵信息基礎設施需要委托得到公安部門認可的測評機構每年測評一次，確保關鍵信息基礎設施安全保護等級測評工作有效開展。測評技術后向負責關鍵基礎設施安全保護工作的部門及時匯報測評結果和整改措施[10-11]。

五、結語

綜上所述，網絡安全法是伴隨我國時代不斷發展而產生的。網絡安全法的正式實施標志著我國的信息系統等級保護工作上升到了法律層面。網絡運營者在此種背景下需要自覺履行網絡安全法規定的義務，要積極承擔網絡運營者肩負的法律責任，制定相應的網絡安全防護技術措施，全面落實網絡系統等級保護工作。為了進一步滿足當今時代發展的要求，迎合網絡信息技術的高速發展，我國的網絡安全等級保護制度也不斷完善。國家有關部門對網絡安全等級保護制度不斷修改、完善，作為網絡運營者需要積極參與其中，為網絡安全等級保護制度的完善和優化出謀劃策，切實維護我國網絡系統的安全性和穩定性。

參考文獻

[1] 谷慶華. 探究網絡安全法給等級保護工作帶來的歷史性變革[J]. 數字化用戶，2018，24（6）：24.

[2] 李云亞，陳大文，李盛民. 基于網絡安全法的等級保護工作開展研究[J]. 無線互聯科技，2018，15（19）：23-24，43.

[3] 朱巖，張藝，王迪，等. 網絡安全等級保護下的區塊鏈評估方法[J]. 工程科學學報，2020，42（10）：1267-1285.

[4] 謝蔚. 淺談網絡安全法給等級保護工作帶來的歷史性變革[C]. //第六屆全國網絡安全等級保護技術大會 論文集. 2017：9-12.

[5] 李煒玥，冷昊，楊盛明，等. 網絡安全等級保護2.0之常見安全要點及應對方法[J]. 電子質量，2021（4）：8-11.

[6] 郭樂. 網絡安全等級保護2.0體系下的法院網絡安全管理及應對[J]. 網絡安全技術與應用，2020（5）：136-137

[7] 羅立川. 網絡安全等級保護法規政策介紹[J]. 數碼設計（上），2021，10（5）：14-15.

[8] 陳大文. 如何結合網絡安全法開展等級保護工作[C]. //第六屆全國網絡安全等級保護技術大會 論文集. 2017：247-249.

[9] 張昊. 在等級保護工作中有效落實《數據安全法》[J]. 網絡空間安全，2021，12（1）：19-23.

[10] 戴璐. 基于等級保護要求的網絡安全投資估算模型[J]. 電聲技術，2021，45（3）：77-80.

[11] 范仲偉，王洪鰲，楊丹. 基于攻擊鏈的網絡安全等級保護整體測評方法研究[C]. //第八屆全國網絡安全等級保護技術大會論文集. 2019：5-8.

作者簡介：張永楠（1980年9月-）男，漢族，籍貫吉林圖們，大學本科學歷，高級工程師，研究方向——數字政府，信息安全，政務大數據