如何落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度發(fā)布者：本站     時(shí)間：2020-05-02 15:05:56

2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》 （以下簡稱"網(wǎng)絡(luò)安全法"） 正式實(shí)施。第二十一條提出"國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度", 第三十一條提出"關(guān)鍵信息基礎(chǔ)設(shè)施， 在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上， 實(shí)行重點(diǎn)保護(hù)".至此， 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律要求， 網(wǎng)絡(luò)運(yùn)營者必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度， 采取相應(yīng)的管理措施和技術(shù)防范措施， 履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。本文從網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測評(píng)3個(gè)方面， 結(jié)合網(wǎng)絡(luò)安全法相關(guān)內(nèi)容闡述作為網(wǎng)絡(luò)運(yùn)營者需要履行的安全保護(hù)義務(wù)及工作要求。

1 定級(jí)備案

系統(tǒng)定級(jí)作為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的第一步， 定級(jí)結(jié)果直接影響到后續(xù)工作的順利開展。作為網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 （GB/T22240-2008） （以下簡稱《定級(jí)指南》） 分析業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后， 所侵害的客體， 以及對(duì)相應(yīng)客體的侵害程度， 確定信息系統(tǒng)安全保護(hù)級(jí)別， 并及時(shí)到當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)辦理備案手續(xù)。另外， 針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施， 從網(wǎng)絡(luò)安全法第三十一條可以看出， 關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露， 可能會(huì)嚴(yán)重危害國家安全、國計(jì)民生、公共利益。根據(jù)《定級(jí)指南》， 可能嚴(yán)重危害到國家安全、國計(jì)民生、公共利益的信息系統(tǒng)， 安全保護(hù)等級(jí)至少在3級(jí)及以上。所以， 作為關(guān)鍵信息基礎(chǔ)設(shè)施， 其安全保護(hù)等級(jí)不得低于3級(jí)。

網(wǎng)絡(luò)運(yùn)營者一定要仔細(xì)分析信息系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后， 所侵害的客體以及對(duì)相應(yīng)客體的侵害程度， 準(zhǔn)確定級(jí)[1].網(wǎng)絡(luò)運(yùn)營者在初步確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后， 應(yīng)當(dāng)及時(shí)組織相關(guān)專家對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審， 避免出現(xiàn)所定級(jí)別過低或過高的現(xiàn)象， 并及時(shí)向主管部門報(bào)批系統(tǒng)定級(jí)結(jié)果。

2 建設(shè)整改

在確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后， 網(wǎng)絡(luò)運(yùn)營者在開展建設(shè)整改工作時(shí)， 首先應(yīng)當(dāng)確保已完全履行了網(wǎng)絡(luò)安全法第二十一條所規(guī)定的全部安全保護(hù)義務(wù)。網(wǎng)絡(luò)安全法第二十一條具體內(nèi)容如下。

第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求， 履行下列安全保護(hù)義務(wù)：保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問， 防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

（一） 制定內(nèi)部安全管理制度和操作規(guī)程， 確定網(wǎng)絡(luò)安全負(fù)責(zé)人， 落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

（二） 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。

（三） 采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施， 并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。

（四） 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

（五） 法律、行政法規(guī)規(guī)定的其他義務(wù)。

第一條是安全管理方面的要求， 雖說安全技術(shù)是信息安全控制的重要手段， 許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來實(shí)現(xiàn)， 但光有安全技術(shù)還不行， 要讓安全技術(shù)發(fā)揮應(yīng)有的作用， 必然要有適當(dāng)?shù)墓芾沓绦颉７駝t， 安全技術(shù)只能趨于僵化和失敗[2].所以強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營者必須要有針對(duì)性地建立自己的網(wǎng)絡(luò)安全管理體系， 且至少包含管理制度和操作規(guī)范兩個(gè)層面。管理制度是網(wǎng)絡(luò)運(yùn)營者制定的有關(guān)管理組織架構(gòu)、人員配備、行為規(guī)范和管理責(zé)任等方面的規(guī)則。操作規(guī)程是網(wǎng)絡(luò)運(yùn)維者制定的相關(guān)人員在進(jìn)行日常操作時(shí)應(yīng)當(dāng)遵守的程序和步驟。除此以外還需確定網(wǎng)絡(luò)安全負(fù)責(zé)人， 落實(shí)網(wǎng)絡(luò)運(yùn)營者第一責(zé)任人的責(zé)任。

第二條是安全技術(shù)防范方面的要求， 強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營者須采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。防范計(jì)算機(jī)病毒方面比較常見的技術(shù)措施有防病毒軟件和防毒墻， 防病毒軟件主要防范服務(wù)器操作系統(tǒng)層面的惡意病毒， 防毒墻一般以硬件形式部署網(wǎng)絡(luò)邊界處， 對(duì)來自外部網(wǎng)絡(luò)的惡意代碼在網(wǎng)絡(luò)層進(jìn)行檢測阻攔， 將惡意代碼或病毒程序阻擋在網(wǎng)絡(luò)邊界外。網(wǎng)絡(luò)攻擊防范技術(shù)措施， 較為常見的有防火墻設(shè)備， 用于實(shí)現(xiàn)網(wǎng)絡(luò)或安全域邊界的隔離保護(hù)；另外除普通防火墻外， 還有Web應(yīng)用防火墻， 用于實(shí)現(xiàn)對(duì)來自應(yīng)用層的攻擊行為進(jìn)行防范保護(hù)。網(wǎng)絡(luò)侵入防范技術(shù)常見的有入侵檢測 （IDS） 、入侵防御 （IPS） 等設(shè)備， IDS設(shè)備主要用于對(duì)入侵行為的檢測報(bào)警不具備阻攔功能， IPS可對(duì)入侵行為進(jìn)行阻攔， 但對(duì)業(yè)務(wù)系統(tǒng)可用性要求較高的單位， 一般都選用IDS, 因?yàn)镮PS有可能會(huì)發(fā)生誤報(bào)對(duì)業(yè)務(wù)系統(tǒng)正常運(yùn)行造成影響。作為網(wǎng)絡(luò)運(yùn)營者應(yīng)結(jié)合此項(xiàng)要求， 至少配備防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等方面中的一項(xiàng)或多項(xiàng)技術(shù)措施。

第三條是安全監(jiān)測和審計(jì)方面的要求， 強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營者必須具備監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施。這塊比較常見的措施有網(wǎng)絡(luò)審計(jì)系統(tǒng)、主機(jī)審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)和運(yùn)維審計(jì)系統(tǒng)分別對(duì)信息系統(tǒng)各個(gè)層面進(jìn)行監(jiān)測記錄， 另外近幾年逐漸出現(xiàn)大數(shù)據(jù)日志分析平臺(tái)， 主要將信息系統(tǒng)中各個(gè)層面的日志信息進(jìn)行統(tǒng)一匯總分析。對(duì)于日志留存方面， 還提出按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月， 即相關(guān)的網(wǎng)絡(luò)日志存儲(chǔ)周期要大于6個(gè)月。作為網(wǎng)絡(luò)運(yùn)營者至少應(yīng)當(dāng)具備監(jiān)測并記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全事件的技術(shù)措施， 另外還要具備相關(guān)日志的備份措施， 保障相關(guān)日志存儲(chǔ)周期大于6個(gè)月。

第四條是數(shù)據(jù)保護(hù)方面的要求， 網(wǎng)絡(luò)運(yùn)營者須根據(jù)數(shù)據(jù)的重要性對(duì)數(shù)據(jù)進(jìn)行分類實(shí)施保護(hù)， 重要數(shù)據(jù)須具備備份措施和數(shù)據(jù)加密措施。重要數(shù)據(jù)的備份要支持在發(fā)生安全事件后數(shù)據(jù)的有效恢復(fù)， 另外對(duì)于重要數(shù)據(jù)的加密要從數(shù)據(jù)傳輸和存儲(chǔ)兩個(gè)方面去考慮實(shí)施。

第五條是法律、行政法規(guī)規(guī)定的其他義務(wù)。除網(wǎng)絡(luò)安全法規(guī)定范圍內(nèi)的其他義務(wù)， 如行業(yè)主管部門對(duì)行業(yè)內(nèi)的網(wǎng)絡(luò)安全要求、地方政府部門對(duì)網(wǎng)絡(luò)安全的相關(guān)要求等。

除網(wǎng)絡(luò)安全法第二十一條規(guī)定的內(nèi)容外， 網(wǎng)絡(luò)運(yùn)營者還應(yīng)當(dāng)按照網(wǎng)絡(luò)安全法第二十五條規(guī)定的要求， 建立網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案， 應(yīng)急預(yù)案至少應(yīng)當(dāng)覆蓋能夠及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全事件。另外， 網(wǎng)絡(luò)運(yùn)營者應(yīng)定期組織應(yīng)急演練， 確保應(yīng)急預(yù)案制度的有效執(zhí)行。

第二十五條網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案， 及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)， 立即啟動(dòng)應(yīng)急預(yù)案， 采取相應(yīng)的補(bǔ)救措施， 并按照規(guī)定向有關(guān)主管部門報(bào)告。

作為關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營者除履行好網(wǎng)絡(luò)安全法第二十一條和第二十五條規(guī)定的義務(wù)外， 還應(yīng)當(dāng)履行網(wǎng)絡(luò)安全法第三十四條規(guī)定網(wǎng)絡(luò)運(yùn)營者須履行的安全保護(hù)義務(wù)。

第三十四條除本法第二十一條的規(guī)定外， 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)。

（一） 設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人， 并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。

（二） 定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。

（三） 對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。

（四） 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案， 并定期進(jìn)行演練。

（五） 法律、行政法規(guī)規(guī)定的其他義務(wù)。

（1） 網(wǎng)絡(luò)運(yùn)營者需設(shè)立專門的網(wǎng)絡(luò)安全管理部門以及安全管理負(fù)責(zé)人， 來負(fù)責(zé)制定本單位網(wǎng)絡(luò)安全保護(hù)策略， 并落實(shí)執(zhí)行各項(xiàng)網(wǎng)絡(luò)安全工作；另外對(duì)安全管理負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行背景審查， 以確定其從事安全管理負(fù)責(zé)人和關(guān)鍵崗位的可靠性。 （2） 網(wǎng)絡(luò)運(yùn)營者須定期對(duì)從業(yè)人員進(jìn)行相關(guān)培訓(xùn)和考核， 以提高從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技能， 從而更好地保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。 （3） 網(wǎng)絡(luò)運(yùn)營者須提供對(duì)重要系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的容災(zāi)備份措施， 確保在發(fā)生安全事件時(shí)， 備份系統(tǒng)能夠替代主系統(tǒng)正常運(yùn)行。 （4） 網(wǎng)絡(luò)運(yùn)營者須針對(duì)系統(tǒng)內(nèi)可能發(fā)生的安全事件建立應(yīng)急預(yù)案， 并定期組織演練工作， 以提高應(yīng)急人員處理應(yīng)急事件的能力， 確保在發(fā)生安全事件時(shí)能夠快速有效地處理[3]. （5） 除以上規(guī)定義務(wù)外， 法律、行政法規(guī)規(guī)定的其他義務(wù)， 如行業(yè)網(wǎng)絡(luò)安全方面的相關(guān)技術(shù)要求等。

一般信息系統(tǒng)網(wǎng)絡(luò)運(yùn)營者在滿足網(wǎng)絡(luò)安全第二十一條和第二十五條要求的基礎(chǔ)上， 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)運(yùn)營者在滿足網(wǎng)絡(luò)安全法第二十一條、第二十五條和第三十四條規(guī)定的基礎(chǔ)上分別按照各自所定的安全保護(hù)級(jí)別， 參照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 （GB/T22239-2008） 和《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 （GB/T 25070-2010） 等標(biāo)準(zhǔn)， 再進(jìn)一步開展建設(shè)整改工作。

3 等級(jí)測評(píng)

信息系統(tǒng)在完成建設(shè)整改上線運(yùn)行后， 為保障信息系統(tǒng)長期的安全穩(wěn)定運(yùn)行， 網(wǎng)絡(luò)運(yùn)營者必須要不斷地對(duì)信息系統(tǒng)開展檢測、整改工作。網(wǎng)絡(luò)安全法第三十八條中提出"關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)， 每年至少進(jìn)行一次檢測評(píng)估， 并將檢測評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門".另外， 在《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)第十四條中同樣也提出"信息系統(tǒng)建設(shè)完成后， 運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu)， 依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn)， 定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評(píng)， 第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測評(píng)， 第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測評(píng)".

由于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)等級(jí)均在3級(jí)及以上， 所以網(wǎng)絡(luò)運(yùn)營者針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施， 應(yīng)當(dāng)每年均委托具備公安部門認(rèn)可的測評(píng)機(jī)構(gòu)， 開展等級(jí)測評(píng)工作[4], 并將測評(píng)結(jié)果和整改措施報(bào)送給負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。