网络安全管理与网络安全等级保护制度探讨
来源:用户上传
作者:张俭
摘要:随着互联网在社会各领域的普及,网络发展给人们工作生活带来了很大的便利,但同时也带来了巨大的安全隐患,网络安全等保是网络安保的有效途径,随着网络技术发展,网络安全管理必须优化升级,建立网络安全等保制度,明确网络安全管理的重要性。
关键词:网络安全管理;网络安全等保制度
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2020)05-0041-02
开放科学(资源服务)标识码 (OSID):
网络安全等级保护是网络安全主管部门领导下,针对网络安全保护制定的工作措施,规定各安全保护等级的技术标准的工作,具有一定的科学性与严肃性。2017年,《网络安全法》实施,第21条规定国家实行网络安全等级保护制度,明确网络安全等级保护制度法律地位,2019年,国家标准化管理委员会发布2.0国家标准,包括《网络安全等保基本要求》等,等保变更为网络安全等保,标志着信息安全等级保护制度跨入2.0新阶段。网络安全等级保护制度规范性开展网络安全管理工作,可以强化网络安全管理实效,通过严格的等级划分,监督管理等方面人手,全面贯彻网络安全管理,促进网络安全工作的全面升级,营造安全稳定的网络环境。
1 我国信息网络安全现状
随着现代科技快速发展,人们对网络使用需求加大,国家对信息网络安全管理要求不断提高。信息网络时代对国家信息管理带来了巨大的威胁。互联网快速发展使得犯罪分子利用互联网违法犯罪案例日益增多,技术对利益的诱惑超出了法律的管理能力,法律稳定与现代社会快速发展产生了矛盾,网络空间成为继海陆空后的主权领域,棱镜计划等信息网络安全事件,使网络安全的重要性日益凸显。
《中华人民共和国网络安全法》是我国涉及信息网络安全的基础法律,对我国信息网络健康发展具有重要指导意义。网络安全法涉及信息网络发展中存在的各种问题,确立了如何进行维护国家网络空间主权的基本程序。建设绿色网络环境中,公民需要自主履行网络安全绿色健康发展义务。我国自1997年开始对互联网犯罪相关行为进行规制,我国法律对罪名的确定遵循针对计算机到互联网为工具犯罪的逻辑程序,但计算机互联网工具犯罪的治理是补救型立法方式,执法中有国家强制力为保障,但自上而下的单一治理模式难以应对快速发展的社会中多样化的互联网犯罪问题,通过立法强化公民自我约束意识,使企业市场积极主动开展自我规制的活动是立法的关键。
我国信息网络安全管理体系逐步完善,但体系中仍存在一些不足。我国网络信息安全管理中的问题主要表现为网络安全意识薄弱,保障信息网络安全基础较为薄弱。随着经济全球化发展,信息网络安全在国家安全保护中的地位日渐提高,发达国家坚持将相关建设放在重要战略位置。目前我国意识到保障信息网络安全的重要性,但网络安全保护体系相对缺失,导致现有法律难以充分适应现代社会的快速发展要求,最终成为经济科学发展的绊脚石。发达国家依靠较高的法制建设水平作为维护信息网络安全的基础,我国由于经济建设起步较晚等原因,导致保障信息网络安全经济基础较为薄弱,使得我国信息网络安全发展存在较大隐患,易受到境内外互联网供给,如窃取我国隐私等黑客行为[1]。
随着信息化快速发展,计算机广泛应用于国民经济各个领域,大多数公安机关建立了网络安全保卫部门,但新时期公安机关对计算机信息网络的管理面临很多的挑战,网络安全等保2.0标准颁布,要求公安机关必须重视加强计算机网络安全管理。
2 网络安全管理与等级保护制度
通常针对信息系统安全等级划分,依据信息系统受到破坏带来后果的严重度,如对国家安全损害程度大则级别高,如某一事业单位计算机网络信息系统受破坏对公共利益损坏严重定级为三级以上,以往对计算机信息系统安全保護等级划分标准不能进行量化。
我国针对计算机安全等级保护工作坚持自主定级的原则,但单位计算机信息系统构建后根据系统的安全性及与其他组织的相关权益关联,进行自主保护,遵守各等级保护制度要求。我国法律对计算机网络安全管理规定,国家网信部等负责网络安全管理工作。我国各单位对网络安全管理实行等级保护制度,主要坚持自主保护原则,《网络安全法》规定,网络运营商未履行等保制度义务,应受到相关主管部门行政处罚,《刑罚修正案9》规定,网络服务者未遵守相关网络安全管理义务,由相关监管部门纠正,拒不改正的,单位和个人被追究刑事责任。
安全计算环境是对计算机网络等级系统进行详细管理,对信息系统核心情况整理,计算机网络在安全计算环境防护范围内,可以拒绝外界攻击访问,安全计算机环境是对计算机网络安全防范工作系统改造,避免网络存在安全漏洞等问题被攻击,针对网络安全计算环境保护,可对系统的供给进行有效控制,避免内部人员错误数据造成破坏行为。
随着人工智能、物联网、区块链等技术广泛应用,新技术应用带来新产业变革,全球性网络安全威胁日益猖獗,网络安全形势日益严峻,新网络安全法颁布后,我国网络安全上升到国家层面,公安部门应引导各方树立正确的新时代网络安全观,构建网络安全新生态,有效将等保制度落实。
网络安全法规定国家网信部门负责统筹网络安全工作,国务院电信主管部门及有关机关依照相关法律在各自职能范围内负责网络安全保护工作,公安机关在维护网络空间治理中赋予安保监管职责。网络安全法为公安机关履行网络空间治理职责提供了法律支持,但我国依法治网初步建立,相关条款存在疏漏,为执法工作带来了困难,网络空间治理是社会治理的新命题,传统执法理念,执法队伍建设受到极大的挑战。
公安部门应加大资源投入安全技术研究,参考引入国外先进网络安全治理理念方法,健全技术标准,提升网络安全服务能力,以满足新技术模式的安全保护需求。属地公安部门应加大与科研院校的沟通,成立网络安全技术专家组,在大规模病毒爆发时有本地技术力量支撑。公安部门应加强与行业主管单位沟通,加大网络安全等保工作宣传,召开行业部门负责人参加的安全等保相关会议,促使各行业单位积极转变观念,认识网络安全对单位安全稳定的重要性。 3 网络安全等级保护制度下的网络安全管理
3.1网络安全管理规划
全面落实网络安全等保制度,需要各单位部门用户的全面协同,为解决重要行业部门在新技术环境下开展等保工作,公安部组织国内科研院所,安全厂商等单位,总结1.0标准实施情况,研究新技术安全问题[2]。等保2.0标准发布为企业合规提出了更高的要求,网络安全厂商在等保标准推广中承担相应的责任,所有的网络安全厂商都是等保制度推行的受益者,也有责任义务投入等保制度的落实中[3]。
等级保护安全建设必须与信息化系统实现融合,网络安全思路主要从假设系统有未被发现漏洞,系统被黑,有发现漏洞未打补丁及有内鬼情况,通过第三代网络安全技术新战略,动态授权访问控制新战术,数据驱动安全新战力,实现高中低为三位一体,用户,安全公司与云服务商三位一体。
网络系统安全定级主要有系统识别与相关描述,确定网络信息安全系统等级,实现对网络信息系统的等级划分。安全建设规划是相关网络信息系统为基础,确定具体结构,根据实践安全风险因素结合系统安全要求,制定安全管理计划,可为信息系统安全建设提供指导,展开信息系统针对需求分析,确定整体情况,有针对性地开展操作。
安全实施工作是基于信息系统安全设计方案,落实各项安全措施,根据网络信息安全等级要求制定需求方案,确定不同等级保护需求制定等级保护措施。网络系统进行中,监控系统运行中存在的安全风险情况,整体分析网络信息系统安全运行情况,基于评估结果优化系统中存在的安全问题,制定针对安全措施。
3.2 网络安全管理措施
当前人们提高了对网络内容安全的认识,但缺少网络安全的认识,部分单位缺少保护网络安全能力,随着信息时代的发展,信息共享更为广泛,信息网络通畅以党政机关为主,包括交通,光电,大型企业等国家经济建设重点部门,相关单位的信息网络与国民经济发展密切相关,如受到攻击会带来严重的后果,应增强对网络安全等保制度的认识[4]。
网络安全管理建设存在一定的盲目性,许多单位不知如何改进网络安全性,部分人认为网络中设置入侵检测,防火墙等程序即可确保网络安全,网络安全管理水平低导致投资失去针对性,无法保障网络的安保能力。当前网络监督管理相对薄弱,国家陆续颁布了很多网络安全技术标准,给予很多主管部门执法监督职能,但随着科技的迅速发展,传统网络安全管理方法不再适用,主要体现在无集中执法主体,多头管理等方面,重点进行监督网络无从下手。很多网络安全检查缺乏全面检查标准,使得网络安全检查工作不能深入开展,检测与监督职能界限不明,需要不断加强网络安全监督管理。
目前国内未形成高水平规范化网络安全机构,缺少网络安全方面风险分析等网络安全相关机构,不能为社会网络安全提供服务。国内很多单位自建信息网络,管理服务水平较低,需建立网络安全機构加强网络安全管理。通过网络安全相关专家研究,应根据网络系统受到破坏后带来的危害性等综合因素,根据国标设置保护等级,提高网络安保实用性科学性。通过实施网络安全等保制度,国家加强监管工作,明确企业责任,探索符合新形势的网络安全发展路径。
网络安全等保纳入信息安全意见中,需按网络安全精神,与认可认证等部门进行网络等保制度的制定工作,不断完善检测机构,技术标准,应全面了解保护网络安全工作需要,做好网络安全等保制度培训工作,对相关人员进行网络安保培训。
4 结束语
网络安全等保制度与网络安全管理相辅相成,网络安全管理是提高国家网络安全环境的关键。新时期公安机关建设使用计算机玩两个中面临诸多挑战,公安机关必须重视计算机网络安全管理工作,提高计算机网络安全管理水平。新形势下网络安全等保制度十分重要,相关部门应加强对网络安全等保制度的重视,完善网络安全法规,推动信息化发展,为网络强国建设提供技术保障。
参考文献:
[1]李赓曦,姚健,牛晨.基于等级保护制度的校园网络安全建设 实践[J].信息安全与技术,2016,7(4):72-74.
[2]毕马宁,李明.以等级保护制度为支付电子化管理安全护航[J].中国财政,2013(24):39-41.
[3]国家/省信息安全等级保护工作协调小组办公室推荐的测评机构[C]//第二届全国信息安全等级保护测评体系建设会议 论文集.上海,2012:162-216.
[4]王会.基于等级保护的党校网络安全体系的研究与应用[D]. 广州:中山大学,2012.
【通联编辑:光文玲】
转载注明来源:https://www.xzbu.com/8/view-15180536.htm