赵继刚

摘  要：无论处于什么年代，也无论身处何等处境，信息往往是影响一件事情成功与否的关键，在传统文化中，人们用信件的方式进行信息的交流，效率低下。但随着计算机技术的兴起，信息时代随之而来，信息的交流和传播变得空前的简单，但信息的高度透明以及信息的快速传播速度并不完全是优点，在信息时代中信息的透明性也为有心人提供了侵犯他人信息的机会。基于此，近年来的信息技术发展已经不再逃避安全的问题，反而在各个层级都在考虑如何开展高效率网络安全等级保护的办法，该文以此为主要方向，针对网络安全等级保护实施方案中的细节问题进行分析和探讨，希望该文的观点能够为网络安全研究人员提供借鉴。

关键词：信息安全   网络安全   等级保护   实施方案   设计探讨

中图分类号：TP393.08                     文献标识码：A文章编号：1672-3791（2021）07（a）-0035-03

Abstract： No matter what age or situation， information is often the key to the success of a thing. In traditional culture， people communicate information by letter， which is inefficient. However， with the rise of computer technology and the advent of the information age， the exchange and dissemination of information has become unprecedentedly simple， but the high transparency of information and the rapid dissemination speed of information are not entirely advantages. In the information age， the transparency of information also provides people with the opportunity to invade others' information. Based on this， the development of information technology in recent years no longer evades the problem of security， but considers how to carry out efficient network security level protection at all levels. Taking this as the main direction， this paper analyzes and discusses the detailed problems in the implementation scheme of network security level protection. It is hoped that the views of this paper can provide reference for network security researchers.

Key Words： Information security; Network security; Grade protection; Implementation plan; Design discussion

通过信息安全等级保护的实施能够为各种等级重要信息的信息提供適当的保护，即：不会将不重要的信息与极重要的信息施以同等级保护，否则对不重要的信息是一种资源浪费，而极重要的信息又未能获得足够的保护。通过保护方案的实施，能够高度保证信息的安全，为国计民生提供保障。

1  什么是网络安全等级保护

随着时代的逐渐发展，计算机技术的快速进步，信息的交换已经不再是困扰人类发展的主要问题，但在信息技术高度发达的今天，人们必须认识到，信息技术既是帮助人类发展的工具，又是悬在我们头顶的一柄利剑。面对这种情况，网络安全等级保护便应运而生。网络安全等级保护是指为了保护国家机密、公民的重要信息以及其他组织的重要信息而制定的相关措施，包括对信息的传输、存储等应用方式的管理，针对不同级别的信息实行不同阶级的保护措施，并在重要信息发生安全事件时按照不同级别启动应急响应[1]。

最早的信息保护仅仅是对实物信息的保护，但随着计算机技术的快速发展，网络信息的传播速度已经远超实物的传递速度，为了保护网络信息的安全，在最新的信息等级保护相关规定中已经着重指示了对网络信息的防护。

网路安全等级保护共分为5个级别：（1）自主保护级，当信息系统受到破坏后，会对公民个人权益造成一般损害，不会危害国家安全、社会秩序;（2）指导保护级，当信息系统受到破坏后，会对公民个人权益造成严重损害，对社会秩序以及大众利益造成一般损害，不会损害国家安全;（3）监督保护级，当信息系统受到破坏后，会对公民个人权益造成特别严重的损害，对社会秩序以及大众利益造成严重损害，对国家安全造成损害;（4）强制保护级，当信息系统受到破坏后，会对社会秩序和大众利益造成特别严重的损害，对国家安全造成严重损害;（5）专控保护级，当信息系统受到破坏后，会对国家安全造成特别严重的损害[2]。

网络安全等级保护的5个级别设置从对个人权益的损害直至对国家安全的严重损害都包括在内，是对我国整体信息安全的全面性保护方法，能够有效地保障公民个人信息、社会大众信息、国家信息的高度安全，为国家发展、社会运行、公民工生活提供保障。

2  网络安全等级保护的实施原则

2.1 自主保護原则

在当前的时代背景下，网络已经不再是“奢侈品”，是社会大众都能够使用的基本设施之一。这就导致每天产生的信息量及其庞大，这一特点也就决定了，新产生的信息如果单靠国家部门或者社会中某一单位进行处理，显然是不切实际的。因此，针对新产生的信息，各信息运营单位、信息使用单位需要根据国家相关的法规自行确定信息的保护等级，而后实施相应的信息安全保护[3]。

2.2 重点保护原则

重点保护原则是基于自主保护原则的，重点保护原则是指信息运营单位和信息使用单位需要根据信息的类别、信息的重要程度等，将信息按照保护等级进行划分，而后根据信息的等级实施不同等级的安全保护，将重要的资源使用在最重要的信息保护中。

总而言之，重点保护原则就是集中大部分的资源用于保护核心信息，这也是整个网络安全等级保护在实际实施时需要着重关注的问题。若不遵从重点保护原则，在实际的网络安全等级保护实施中会浪费一定的资源至安全等级较低的信息保护工作中，造成保护工作的疏漏。因此，坚持重点保护原则，是开展网络安全等级保护工作的核心。

2.3 同步建设原则

同步建设原则是指，当信息系统进行改建、更新、扩建等工作时，需要将一部分资源以及管理者的精力投入到信息安全等级保护的建设中。这一原则主要是为了避免信息运营单位和信息使用单位因过度重视对信息系统的建设，而忽视了信息安全等级保护工作的开展，造成整个信息系统“头重脚轻”的问题。同步建设原则是对信息运营单位和信息使用单位在思想层面的指导，着重指正了信息等级安全保护是与信息系统建设同等重要的[4]。

2.4 动态调整原则

在信息等级安全保护工作中，信息本身是不变的，但随着时间的变化，信息对公民个人、社会大众以及国家的重要性也在随之改变。而为了响应重点保护原则，则需要对现有信息进行周期性的安全等级检测，并根据检测结果重新规划信息的安全等级。动态调整原则能够将不再符合其安全等级的信息检测出来，避免因未能及时做出应对而导致的资源浪费，将重点保护原则贯穿信息安全等级保护工作的全过程中。

3  优化网络安全等级保护实施方案的几点思考

3.1 信息的评级

给新收集到的信息进行定级是整个网络信息安全等级保护工作的开始，在这一阶段中，信息运营单位或信息使用单位需要将收集到的信息根据采集到的信息的类型、采集到信息的情况进行分析，将新收集到的信息划分到其应所属的安全等级分组中。但在当前的网络安全等级保护实施中，对于信息的处理过于依靠计算机软件，虽然面对大量需要处理的信息，人工完成是不切实际的，但相对于人工，计算机软件只能将信息进行简单的筛选和分组，在面对较为复杂的信息时处理是相对不准确的。因此，在处理较为重要的信息时，应尽可能人工完成，避免因计算机软件判断错误而造成的工作失误[5]。

3.2 备案阶段

在网络安全等级保护规定中，第二级，即指导保护级的信息开始，需要周期性地到公安部门进行备案。备案是对信息运营单位自身的负责，同时也是对社会大众和国家的负责，信息安全的保护不仅仅关系着运营单位自身的权益，与社会大众和国家都有千丝万缕的联系。因此，在收集到重要信息并划分安全等级后，应第一时间到公安部门进行备案，为信息安全等级保护工作增添一分保障。

3.3 安全建设与整改阶段

安全建设和整改是在信息运营单位和信息使用单位在自查自身问题后，通过对信息系统的提升、对投入资源的规划、对管理人员的择优等工作，提升信息系统的整体质量，保证信息安全等级保护工作的高效开展。安全建设与整改工作不是一时的，整个系统的提升往往需要几个月甚至几年时间才能完成，因此，在安全建设与整改阶段需要管理人员能够与时俱进，若在几年前定下的提升目标已经不再适用，则需要管理人员能够及时地调整整改方案，保证整改的质量。

整改中的工作主要包括3点：安全管理制度的建设、信息保护技术的建设以及安全等级评定，其中，安全等级评定需要专业的评测机构对整个信息系统进行评测，包括：硬件设施、管理人员技术水平、计算机软件等多个部分的综合评定。信息保护技术需要管理人员能够紧跟技术前沿，时刻保持自身的技术水平，同时在计算机软件以及硬件设备等方面进行提升。安全管理制度则是信息系统日常管理的核心，安全管理制度是信息系统安全的底线，需要领导人员能够从整体的角度出发，与基层系统管理人员进行积极沟通，了解管理工作中的细节和难点，从而制定出符合单位实情的制度条例[6]。

3.4 信息安全等级评测阶段

如同二级以上包括二级的信息需要备案一样，为了保证不浪费管理资源，二级以上（包括二级）的信息需要周期性地进行检测，将需要重新进行安全等级划分的信息进行检测，按照检测结果重新划分安全等级，同时对其实施符合当下等级的保护。从安全等级的第二级开始具体的评测周期为：第二级，相关规定建议每两年进行一次评测;第三级，根据相关规定，要求每年进行一次评测;第四级，根据相关规定，要求每半年进行一次评测;第五级，依照特殊安全需求进行评测。

信息安全等级评测是需要专业人员进行的，需要在当下将信息根据类型、重要程度进行重新划分安全等级。因此，对评测人员的要求较高，在进行评测工作前，需要对评测人员的相关工作水平进行考评，防止因人为因素导致的评测结果错误。

3.5 信息安全检查阶段

信息安全检查是针对现有的信息系统人员、制度、硬件设施基础等进行梳理，将其中的安全隐患凸显出来。在当前的信息系统的收集、分析、存储、管理、发布等流程都有其具体的操作规范为操作人员标出“红线”，但仍有因粗心、走神等问题导致的操作失误。因此，梳理检查时，应是整个信息系统的自检，从单位领导做起，一层抓一层，一级查一级，将所有的安全问题都能够暴露出来进行整改。追责秉承的原则是“谁主管谁负责、谁操作谁负责、谁使用谁负责”，避免在日后的信息系统工作中再出现同类型的安全问题，保证重要信息的安全。

4  结语

网络安全等级防护是在专门的单位中进行的，但这项工作是与大众息息相关的。因此，为了保证公民个人、社会各界以及国家的信息安全，相关研究人员应积极研究保护技术和管理方案，让重要信息得到更高质量的保护。

参考文献

[1] 魏帅岭，闫国涛，李星，等.等级保护2.0下医院网络安全体系的建设与探索[J].中国数字医学，2021，16（4）：101-105.

[2] 袁慧.网络安全等级保护2.0制度的研究和探讨[J].信息与电脑：理论版，2020，32（1）：223-224.

[3] 陈旭壮.浅谈渗透测试在网络安全等级保护测评中的应用[J].中国新通信，2020，22（5）：103-104.

[4] 赵文臣.基于信息安全的网络安全等级保护实施方案设计研究[J].网络安全技术与应用，2020（5）：2-3.

[5] 任蕊.我国电子政务信息安全等级保护制度探讨[D].北京：北京邮电大学，2017.

[6] 徐慧姣.网络安全等级保护与其实施策略[J].通讯世界，2019，26（3）：86.