網絡安全管理與網絡安全等級保護制度

導語：網絡安全管理與網絡安全等級保護制度一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：社會的發展和經濟的飛躍都無法離開計算機網絡迅速發展的支持，在現在這個網絡化的企業和社會中，網絡的正常運行和穩定的信息服務是必不可少的。但是隨處可見的網絡中，到處存在著各種各樣的不安全因素，對計算機、個人乃至企業的信息安全造成了很大的威脅，因此，如何保證個人信息安全、企業信息安全已經是全社會面臨的一個共同問題。基于此，本文針對網絡安全管理與網絡安全等級保護制度進行研究，通過闡述網絡安全管理與網絡安全等級保護制度相關理論，提出目前網絡安全管理與網絡安全等級保護制度中存在的問題，并根據問題提出管理建議，旨在提升安全防護技術，強化安全管理，才能更好使用信息化工具促進企業的更好發展。

關鍵詞：網絡安全管理；等級保護制度；管理建議

隨著互聯網的發展，網絡已經成為群眾發聲行使自身權益的一種新模式，群眾不但可以通過微博、郵箱等提出家鄉建設發展的建議，也可以通過不斷建立完善的電子政務或電子政府實現日常事務的辦理。近年來，我國現代科學技術發展迅速，網絡使用需求和市場規模不斷擴大，這也促進了網絡安全管理的進一步嚴格發展。在信息時代，網絡安全在國家安全中的作用更加突出，不容忽視。即使在某些情況下，也會影響國家信息管理。互聯網的傳播和普及為新的網絡犯罪提供了廣闊的平臺和空間，違法案件層出不窮。在技術利益的驅使下，許多犯罪分子多次越過法律底線，嚴重危害我國的法律管理秩序和社會保障秩序，加劇了思想矛盾和沖突。

1網絡安全管理與網絡安全等級保護制度概述

（1）網絡安全管理的必要性近年來，網絡安全事件不斷發生，Facebook用戶隱私數據泄露、澳大利亞政府雇員個人信息泄露、委內瑞拉大規模停電等網絡安全事件引起了全球范圍內的廣泛關注，而這一類的安全事件也敲響了網絡安全的警鐘。由于網絡在社會中的廣泛應用，國家也對網絡安全問題給予了高度的重視，從多方面出臺相關政策，旨在加強網絡信息的監管，從而推動互聯網乃至整個社會的和諧發展。一方面是因為安全技術的缺乏，核心安全技術遠遠落后于國外，另一方面也是因為中國近些年發展太快，國內用戶對于網絡安全的普遍不重視，沒有意識到網絡安全問題會給大家帶來多大的影響，這也就為惡意攻擊者提供了良好的施展環境，使得網絡安全事件更容易發生。網絡安全是一個比較大的課題，涉及諸多如立法、技術、管理、使用等多方面的約束，但同時使得網絡安全的研究地位也在日益提升。總而言之，互聯網環境下的網絡安全問題已經成了當下被高度重視的安全問題。社會的發展無法離開網絡，只有不斷提升安全防護技術，強化安全管理，發現企業可能面臨的安全威脅，才能更好使用信息化工具促進企業的更好發展。（2）網絡安全等級保護制度2016年《網絡安全法》完成制定，自此，我國信息安全等級保護變更名稱為網絡安全等級保護。《網絡安全法》對網絡安全等級保護的定義是：網絡安全等級保護是指對于國家秘密信息、法人和其他組織和公民的專有信息以及公開信息的存儲、傳輸和處理，并對這些信息實行信息系統分等級安全保護，針對信息系統發生的網絡安全問題根據其劃分等級情況實行響應和處置。簡而言之，網絡安全等級保護就是分等級保護、分等級監管。實際上，網絡安全等級保護制度是指對包括法人、公民和組織在內的專有或公共信息以及國家機密信息的分級安全保護。同時，對處理、傳輸和存儲這些信息的系統也應進行分級安全保護。此外，在所使用的信息系統中，還需要對應用的安全產品進行分級管理，對安全事件進行分級處理和響應。在我國，從廣義上講，網絡安全等級保護制度就是按照對與網絡安全有關的信息、系統、產品和標準進行等級保護的思想，開展網絡安全防護工作。狹義的網絡安全等級保護體系是指信息系統的等級保護。（3）網絡安全管理的理論基礎網絡安全管理，可以看作是為了保障安全所采取的管理行為和保護措施，就是對人、財、物等組織進行有效的計劃、組織、領導、控制和激勵，實現個人及組織共同期望的安全目標和安全狀態。美國學者克弗洛、薩德曼認為，網絡安全管理從廣義上看，是指借助系統化的管理手段，運用科學的方法處理事故。因此，在網絡安全管理的整個過程中，作為網絡安全管理者，第一要有一種安全防范意識，事先能預判事故發生的可能性，能夠考慮到采取某種措施能夠預防事故的發生；第二要能夠主動采取避免安全事故發生的具體措施，通過實際行動確保安全；第三是對于發生的安全事故能夠及時、有效的處理，避免造成更大的損失和不良影響；第四是及時總結安全事故處理的經驗和教訓，為避免類似事故的出現制定防范措施；第五是加強安全警示和教育，調動組織中更多的人統一思想、達成共識，共同維護安全環境。所以說，網絡安全管理就是為防止安全事故發生、減輕事故帶來的損失、消除各種意外事故產生的風險與影響采取的管理措施，是一個隨時都可能發生變化、需要及時作出決策的動態的過程，也是一套有明確目標、要求和操作流程的、需要大家共同遵守的制度規定。

2當前網絡安全管理及等級保護制度面臨的問題

（1）網絡安全等級保護制度執行不到位目前企業中網絡安全等級保護制度執行不到位的情況普遍存在，主要體現在兩個方面，一是系統建設過程中，規劃設計階段未嚴格按照等保要求進行等保定級，或定級不規范，為逃避等保測評和等保備案工作故意降低系統等級。二是在系統運行階段，未能按照等保要求定期開展等保測評工作，初次等保測評后出于節約經費、減少管理報備工作等多方面考慮，很多企業未能按照要求進行復測。為系統安全穩定運行留下諸多隱患。（2）網絡安全管理制度不完善及管理流程運行不順暢在安全管理制度方面，很多企業缺少完整的網絡安全制度體系，且建立制度體系時缺乏合理性和實用性的科學論證。另外很多企業未能持續更新完善已有的制度體系，很多制度過于陳舊已無法滿足管理需要，又不能及時根據企業自身實際情況有針對性進行修改完善；在安全管理機構方面，很多企業未配備專職的網絡安全團隊。不能對本企業系統的重要操作、重要活動等進行有效的審計和檢查，對于已建立審批程序和制度的企業也存在未定期審查審批事項、更新審批項目、部門、權限和審批人，未對審批過程進行有效記錄并存檔等問題。未聘請信息安全專家作為安全顧問指導信息安全建設等問題；在系統建設管理層面，存在缺乏對系統定級結果的科學論證，缺乏對系統驗收、交付等控制方法和人員行為的書面規定等問題；在系統運維管理層面，存在未按照網絡安全等級保護要求定期進行系統漏洞掃描、安全日志及審計數據分析，未有效組織內部應急預案的培訓及演練等問題。（3）數據安全問題越來越嚴峻國家、社會以及企業當前對于信息技術應用水平逐漸成熟，數據已逐漸成為重要的戰略資源。如今大數據時代已經到來，信息化的快速發展離不開數據資源的有力支撐。隨著互聯網的迅速發展以及人們生活和生產等各種活動與信息技術的迅速融合，全球數據信息呈現爆炸式增長，對人們的生產生活、經濟發展和社會進步產生了重大影響。基于當前新的發展形勢，以及網絡安全的嚴峻形勢。國家正式出臺了《數據安全法》，并在積極制定《網絡數據安全管理條例》等配套文件。由此可見數據安全問題越來越重要且給各個企業網絡安全管理提出了新的挑戰，也提出了更高的要求。除制度和管理問題外，目前企業數據安全方面主要問題還集中體現在數據安全級備份恢復層面，存在冗余設備配備不夠、數據備份空間不足、數據存儲保密措施不全面等問題。

3網絡安全管理與網絡安全等級保護制度建議

（1）加強網絡安全組織管理為了更好對企業的網絡安全環境進行規劃和控制，建議增設獨立的網絡安全管理部門，從而更好對企業進行信息安全管理和戰略部署。在很多企業中，網絡安全管理部門的存在形同虛設，或者根本沒有設置，而作為企業中對于網絡安全最為重要的部門，網絡安全管理部門應該獲得足夠的重視以及足夠的管理授權，并在實際的網絡安全管理工作中承擔更多的實際職能。比如推動內部安全互相監督、安全績效考核等，同時，鼓勵企業內部各部門向網絡安全團隊提出網絡安全建議，同時設置部門安全協調員，促進跨部門的協作等。好的團隊需要一個優秀的管理者，管理者應該有堅定的信念，執著的追求，對目標的堅持，才能在困難中堅持把安全工作做到位。除了這些特點之外，至少還要做到以下幾點。第一，努力讓團隊成員認可網絡安全工作，使其相信自己的價值的同時認可其在部門內部的價值，這樣才能激發每個員工的最大潛力和最強的主觀能動性。第二，通過各種量化措施，表現出安全團隊的價值，比如設置合理的安全考核指標和安全監測指標，體現網絡安全團隊主動發現風險并改善的能力以及團隊績效的持續改善。第三，主動匯報。主動與領導溝通，獲取領導的支持，能否獲得管理層領導的支持是建立優秀安全團隊的關鍵，也是網絡安全團隊領頭人最需要做的工作之一。確認管理者之后，需要對安全團隊的組織架構進行合理的規劃。網絡安全團隊的整體組織架構分為三層，首先是網絡安全管理層，其次是各管理部門的負責人，最后是負責相應安全管理工作的工作人員，在部門的劃分上需具有足夠的代表性。另外，網絡安全部門應該定期召開會議，討論企業的網絡安全總體規劃方向，并組織和編寫內部網絡安全管理制度。（2）加強網絡安全防控體系建設有了專業性較強的人員隊伍，還要加強信息系統安全技術體系建設，建立完善本部門的網絡安全風險預案。企業應嚴格按照網絡安全等級保護各項要求，從物理安全設計、網絡安全設計、主機安全設計、應用安全設計及數據安全設計等五個方面進行信息系統安全技術體系建設，內容要涵蓋對機房的建設運維、辦公環境、設備和介質、通信網絡、區網邊界、服務器、工作站、應用系統、應用平臺、數據備份與恢復等方面的要求和根據企業實際情況需要規劃設計的其他方面要求。分析自身存在的信息安全風險點，制定符合自身實際情況、操作性強的網絡安全風險防控預案，并定期開展信息安全風險防控預案的演練。企業在網絡安全防控體系建設過程中，需要業務部門為網絡安全管理過程及內容提供指導。確定需要網絡安全防控的區域、類別及途徑。此外，要確保企業對于網絡安全事件的應對能力，一方面需要進行風險預警，對企業內部所提供的網絡資源進行合理的管理和監控，保證網絡安全管理團隊能夠在第一時間收到異常資源使用的提醒。另一方面也需要定期開展網絡安全風險應對及網絡安全事件應急演練，提高臨場應變能力，應急預案和應對措施能真正發揮應有的作用，在發生問題的時候能夠減少響應時間，從而真正的減少網絡安全事件發生時企業的損失。（3）持續開展網絡安全等級保護測評為保證信息系統安全穩定運行，數據合法合規獲取和利用，企業應持續開展網絡安全等級保護測評工作，按照全員參與的原則，網絡安全等級保護測評應該針對企業的所有員工。通過宣傳、培訓和教育達到以下三個目的：提升員工網絡安全意識、確保員工理解自己的安全職責及保證員工掌握必要的網絡安全方面的專業技能和理論。為此，企業應持續開展網絡安全等級保護測評工作，并持續保障所需的專項資金。

4結語

面對當今社會如此復雜的網絡安全形勢，在我國迅速實施網絡安全等級保護體系顯得尤為重要。目前，無論是國家、企業還是個人，都應不斷學習和了解網絡安全等級防護體系的相關知識，提高網絡安全防護意識和能力。同時，中國應建立一些專業的網絡安全機構，進一步完善與網絡安全相關的政策、法律法規。各有關部門還應加強對網絡安全的監督管理，確保各企業有效實施網絡安全等級保護制度，加強自身網絡安全管理及相關體系建設，避免出現網絡安全問題。

參考文獻：

[1]張儉.網絡安全管理與網絡安全等級保護制度探討[J].電腦知識與技術，2020，16（05）：41-42.

[2]李新發，楊立凡.網絡安全等級保護制度實施效果研究——以湖北省宜昌市為視角[J].三峽論壇（三峽文學·理論版），2020（04）：100-104.

[3]劉惠穎，李井泉.網絡安全等級保護2.0標準體系研究[J].河北電力技術，2020，39（04）：47-49.

[4]任蕊.我國電子政務信息安全等級保護制度探討[D].北京郵電大學，2017.

[5]敖翔.基于等保標準的網絡安全保障體系模型研究[J].數字與縮微影像，2018（01）：43-46.

作者：吳蒙 單位：中國信息通信研究院信息管理中心