浅谈网络安全等级保护制度在《网络安全法》作用下的发展

2019-12-23郭巍关兴卓

网络安全技术与应用 2019年5期

◆郭巍　关兴卓

◆郭巍关兴卓

（吉林市公安局网络安全保卫支队吉林 132000）

目前，伴随着信息化和网络化的迅猛发展，各行各业的主要业务均已实现信息化和网络化，但是伴随着新技术的不断出现，也带来了更大的安全威胁，网络安全问题日益严重，在此背景下，网络空间安全也成了国家安全的重要组成部分。网络安全等级保护制度是根据我国国情，针对传统信息系统、云计算、物联网、移动互联、工业控制和大数据等网络系统实行的一套较为成熟的网络安全防护机制。在《网络安全法》实行后，网络安全等级保护制度成为落实《网络安全法》的重要手段，公安部门必须设法提高网络等级保护标准的时效性，完善监督管理职能，以保证网络空间的安全性。

网络安全等级保护；制度；网络安全法；发展

0 前言

现代社会，全球范围的信息技术有了突飞猛进的发展，促使国民经济不断提高，信息化水平不断提升，也促使网络安全成为社会的重要组成部分。要想更好地提高网络安全防护能力，公安部门作为等级保护工作的牵头部门，应该组织技术力量制定出相应的网络安全等级保护标准，并完善等级保护监督管理办法，使其在《网络安全法》的作用下能够更加全面的提高网络安全防护水平。

1 网络安全等级保护的概念及主要内容

1.1 网络安全等级保护的概念

所谓网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

网络安全等级保护是对信息及信息载体按照重要性等级分等级进行保护的一项工作，是国际上很多国家都实施的一项网络安全防范工作。在中国，网络安全等级保护广义上是为涉及网络安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作；狭义上一般指信息系统安全等级保护。

1.2 网络安全等级保护的主要内容

等级保护以国家强制标准《计算机信息系统安全保护等级划分准则》（GB 17859—1999）为基础，划分为五个等级，分别为第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级，并以此标准扩展出一系列信息安全技术国家推荐性标准。

等级保护制度规定了等级保护的5个基本动作，分别为定级、备案、等级测评、建设整改和监督检查。信息系统的安全保护等级是信息系统本身的客观自然属性，不是以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。确定为第二级及以上信息系统时，系统运营使用单位应到属地公安机关网络安全部门进行备案工作。第三级系统应每年进行一次等级测评，第四级系统应每半年进行一次等级测评。系统运营、使用单位在测评后，应根据安全整改建议进行安全建设整改。公安部门和行业主管部门作为监督管理部门每年对系统运营、使用单位进行安全检查。

2017年6月1日《网络安全法》正式实行，其中第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

至此，等级保护完成了从国家强制技术标准、制度到法律法规的逐步完善，形成了一整套行之有效的安全防护机制。

2 网络安全等级保护的现状

2.1 数据安全问题日益突出

随着互联网和信息技术应用的高速发展，数据正在成为各方争相抢夺的一种战略型资源，成为当今数字时代的石油。在中共中央政治局实施国家大数据战略进行第二次集体学习中，习近平总书记指出：“大数据是信息化发展的新阶段。随着信息技术和人类生产生活交汇融合，互联网快速普及，全球数据呈现爆发增长、海量集聚的特点，对经济发展、社会治理、国家管理、人民生活都产生了重大影响。”同时特别强调：“要切实保障国家数据安全。”

鉴于当前网络安全的严峻形势，公安部在召开的“2018年全国公安机关网络安全执法检查工作电视电话会议”中首次开展针对大数据安全的整治工作，尤其是针对公民个人信息的保护将是执法的重中之重。

2.2 网络安全相关标准的体系化发展

自2017年6月1日《网络安全法》作为我国网络空间安全管理的基本法以来，国家有关部门及行业监管机构正在加快围绕着以《网络安全法》为核心法律框架制定和发布各项有关配套的网络安全条例与标准规范，例如：《关键信息基础设施安全保护条例(征求意见稿)》、《网络产品和服务安全审查办法(试行)》和《个人信息和重要数据出境安全评估办法(征求意见稿)》等等。

2018年6月27日，公安部颁布《网络安全等级保护条例(征求意见稿)》，并向社会公开征求意见。仍然有大量相关的法规正在研究和制定中，尚未出台。但可以预见，未来网络空间的安全将更加有法可依，有规可循。

2.3 网络安全等级保护制度逐渐成为企业网络安全防护能力的展示平台

随着网络安全事件的持续高发，信息安全意识的宣传普及，等级保护制度的全面落实，各个行业及广大民众在获得互联网信息服务便利性的同时也越来越关注服务提供商的信息安全的保障能力，网络安全等级保护制度逐渐成为企业网络安全防护能力的展示平台，尤其在金融行业，各个金融服务平台通过开展网络安全等级保护、安全体系认证等对外打出网络安全牌，一方面满足监管安全合规要求，另一方面向广大投资人和用户宣传平台安全性，增强客户信心，促进企业业务的发展。

3 网络安全等级保护在网络安全法作用下的发展

随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术越来越广泛的应用和融合发展，新技术应用在带来新一轮的产业变革的同时，全球性的网络安全威胁和新型网络犯罪也变得日益猖獗，重大网络安全事故频发，网络安全形势越发严峻。在《网络安全法》颁布施行后，我国的网络安全进入了新的时代，网络安全上升到国家层面，同时关乎每个人的核心利益。在新的背景下，公安部门应引导各方树立正确的新时代网络安全观，依托网络安全共建共治共享的理念，构建网络安全生态，携手各方加强协同配合，更加有效地将等级保护制度落到实处。

3.1 网络安全技术支撑

公安部门应加大资源投入安全技术研究，持续自主创新，参考和引入国外先进网络安全治理理念和方法，进一步健全技术标准，全面提升网络安全服务能力，以满足新技术、新应用、新模式的安全保障需求。

属地公安部门应加大与属地科研院校和高技术企业的沟通与交流，成立属地网络安全技术专家组，以便在大规模病毒爆发或网络攻击时有本地的技术力量支撑。

3.2 发挥好行业主管单位的监管作用

公安部门应加强和行业主管单位的沟通与交流。以行业为单位加大网络安全等级保护工作的宣传力度，定期召开有关行业部门负责人参加的网络安全等级保护相关会议，宣传网络安全等级保护工作的重要性和意义，促使各个行业单位积极转变观念，充分认识网络安全对于各个单位安全和稳定的重要性以及由此产生的积极作用。

属地公安部门应与行业主管单位联合发文，指导、监督本行业的等级保护工作落实到位。

3.3 监督检查企业网络安全合规建设

自《网络安全法》及其系列配套制度陆续发布并施行以来，公安部门组织开展了各项网络安全专项执法活动，处罚案例频现报端。随着网络安全等级保护2.0的推出和试行，公安部门应在标准出台前加大对企业网络安全的监督检查力度，引导企业以等级保护2.0标准加强网络安全的合法合规建设，落实网络安全责任，深入开展宣传教育，增强网络安全意识，提升安全防范能力，着力保障网络运行安全。