如何落實(shí)網(wǎng)絡(luò )安全等級保護制度發(fā)布者：本站     時(shí)間：2020-05-02 15:05:56

2017年6月1日《中華人民共和國網(wǎng)絡(luò )安全法》 （以下簡(jiǎn)稱(chēng)"網(wǎng)絡(luò )安全法"） 正式實(shí)施。第二十一條提出"國家實(shí)行網(wǎng)絡(luò )安全等級保護制度", 第三十一條提出"關(guān)鍵信息基礎設施， 在網(wǎng)絡(luò )安全等級保護制度的基礎上， 實(shí)行重點(diǎn)保護".至此， 網(wǎng)絡(luò )安全等級保護制度上升為法律要求， 網(wǎng)絡(luò )運營(yíng)者必須按照網(wǎng)絡(luò )安全等級保護制度， 采取相應的管理措施和技術(shù)防范措施， 履行相應的網(wǎng)絡(luò )安全保護義務(wù)。本文從網(wǎng)絡(luò )安全等級保護定級備案、建設整改和等級測評3個(gè)方面， 結合網(wǎng)絡(luò )安全法相關(guān)內容闡述作為網(wǎng)絡(luò )運營(yíng)者需要履行的安全保護義務(wù)及工作要求。

1 定級備案

系統定級作為網(wǎng)絡(luò )安全等級保護工作的第一步， 定級結果直接影響到后續工作的順利開(kāi)展。作為網(wǎng)絡(luò )運營(yíng)者應當依據《信息安全技術(shù)信息系統安全等級保護定級指南》 （GB/T22240-2008） （以下簡(jiǎn)稱(chēng)《定級指南》） 分析業(yè)務(wù)信息和系統服務(wù)遭到破壞后， 所侵害的客體， 以及對相應客體的侵害程度， 確定信息系統安全保護級別， 并及時(shí)到當地市級以上公安機關(guān)辦理備案手續。另外， 針對關(guān)鍵信息基礎設施， 從網(wǎng)絡(luò )安全法第三十一條可以看出， 關(guān)鍵信息基礎設施一旦遭到破壞、喪失功能或者數據泄露， 可能會(huì )嚴重危害國家安全、國計民生、公共利益。根據《定級指南》， 可能?chē)乐匚：Φ絿野踩?、國計民生、公共利益的信息系統， 安全保護等級至少在3級及以上。所以， 作為關(guān)鍵信息基礎設施， 其安全保護等級不得低于3級。

網(wǎng)絡(luò )運營(yíng)者一定要仔細分析信息系統業(yè)務(wù)信息和系統服務(wù)遭到破壞后， 所侵害的客體以及對相應客體的侵害程度， 準確定級[1].網(wǎng)絡(luò )運營(yíng)者在初步確定網(wǎng)絡(luò )安全保護等級后， 應當及時(shí)組織相關(guān)專(zhuān)家對定級結果的合理性進(jìn)行評審， 避免出現所定級別過(guò)低或過(guò)高的現象， 并及時(shí)向主管部門(mén)報批系統定級結果。

2 建設整改

在確定網(wǎng)絡(luò )安全保護等級后， 網(wǎng)絡(luò )運營(yíng)者在開(kāi)展建設整改工作時(shí)， 首先應當確保已完全履行了網(wǎng)絡(luò )安全法第二十一條所規定的全部安全保護義務(wù)。網(wǎng)絡(luò )安全法第二十一條具體內容如下。

第二十一條國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求， 履行下列安全保護義務(wù)：保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)， 防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

（一） 制定內部安全管理制度和操作規程， 確定網(wǎng)絡(luò )安全負責人， 落實(shí)網(wǎng)絡(luò )安全保護責任。

（二） 采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施。

（三） 采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施， 并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于6個(gè)月。

（四） 采取數據分類(lèi)、重要數據備份和加密等措施。

（五） 法律、行政法規規定的其他義務(wù)。

第一條是安全管理方面的要求， 雖說(shuō)安全技術(shù)是信息安全控制的重要手段， 許多信息系統的安全性保障都要依靠技術(shù)手段來(lái)實(shí)現， 但光有安全技術(shù)還不行， 要讓安全技術(shù)發(fā)揮應有的作用， 必然要有適當的管理程序。否則， 安全技術(shù)只能趨于僵化和失敗[2].所以強調網(wǎng)絡(luò )運營(yíng)者必須要有針對性地建立自己的網(wǎng)絡(luò )安全管理體系， 且至少包含管理制度和操作規范兩個(gè)層面。管理制度是網(wǎng)絡(luò )運營(yíng)者制定的有關(guān)管理組織架構、人員配備、行為規范和管理責任等方面的規則。操作規程是網(wǎng)絡(luò )運維者制定的相關(guān)人員在進(jìn)行日常操作時(shí)應當遵守的程序和步驟。除此以外還需確定網(wǎng)絡(luò )安全負責人， 落實(shí)網(wǎng)絡(luò )運營(yíng)者第一責任人的責任。

第二條是安全技術(shù)防范方面的要求， 強調網(wǎng)絡(luò )運營(yíng)者須采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施。防范計算機病毒方面比較常見(jiàn)的技術(shù)措施有防病毒軟件和防毒墻， 防病毒軟件主要防范服務(wù)器操作系統層面的惡意病毒， 防毒墻一般以硬件形式部署網(wǎng)絡(luò )邊界處， 對來(lái)自外部網(wǎng)絡(luò )的惡意代碼在網(wǎng)絡(luò )層進(jìn)行檢測阻攔， 將惡意代碼或病毒程序阻擋在網(wǎng)絡(luò )邊界外。網(wǎng)絡(luò )攻擊防范技術(shù)措施， 較為常見(jiàn)的有防火墻設備， 用于實(shí)現網(wǎng)絡(luò )或安全域邊界的隔離保護；另外除普通防火墻外， 還有Web應用防火墻， 用于實(shí)現對來(lái)自應用層的攻擊行為進(jìn)行防范保護。網(wǎng)絡(luò )侵入防范技術(shù)常見(jiàn)的有入侵檢測 （IDS） 、入侵防御 （IPS） 等設備， IDS設備主要用于對入侵行為的檢測報警不具備阻攔功能， IPS可對入侵行為進(jìn)行阻攔， 但對業(yè)務(wù)系統可用性要求較高的單位， 一般都選用IDS, 因為IPS有可能會(huì )發(fā)生誤報對業(yè)務(wù)系統正常運行造成影響。作為網(wǎng)絡(luò )運營(yíng)者應結合此項要求， 至少配備防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等方面中的一項或多項技術(shù)措施。

第三條是安全監測和審計方面的要求， 強調網(wǎng)絡(luò )運營(yíng)者必須具備監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施。這塊比較常見(jiàn)的措施有網(wǎng)絡(luò )審計系統、主機審計系統、數據庫審計系統和運維審計系統分別對信息系統各個(gè)層面進(jìn)行監測記錄， 另外近幾年逐漸出現大數據日志分析平臺， 主要將信息系統中各個(gè)層面的日志信息進(jìn)行統一匯總分析。對于日志留存方面， 還提出按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于6個(gè)月， 即相關(guān)的網(wǎng)絡(luò )日志存儲周期要大于6個(gè)月。作為網(wǎng)絡(luò )運營(yíng)者至少應當具備監測并記錄網(wǎng)絡(luò )運行狀態(tài)和安全事件的技術(shù)措施， 另外還要具備相關(guān)日志的備份措施， 保障相關(guān)日志存儲周期大于6個(gè)月。

第四條是數據保護方面的要求， 網(wǎng)絡(luò )運營(yíng)者須根據數據的重要性對數據進(jìn)行分類(lèi)實(shí)施保護， 重要數據須具備備份措施和數據加密措施。重要數據的備份要支持在發(fā)生安全事件后數據的有效恢復， 另外對于重要數據的加密要從數據傳輸和存儲兩個(gè)方面去考慮實(shí)施。

第五條是法律、行政法規規定的其他義務(wù)。除網(wǎng)絡(luò )安全法規定范圍內的其他義務(wù)， 如行業(yè)主管部門(mén)對行業(yè)內的網(wǎng)絡(luò )安全要求、地方政府部門(mén)對網(wǎng)絡(luò )安全的相關(guān)要求等。

除網(wǎng)絡(luò )安全法第二十一條規定的內容外， 網(wǎng)絡(luò )運營(yíng)者還應當按照網(wǎng)絡(luò )安全法第二十五條規定的要求， 建立網(wǎng)絡(luò )安全事件應急預案， 應急預案至少應當覆蓋能夠及時(shí)處置系統漏洞、計算機病毒、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等安全事件。另外， 網(wǎng)絡(luò )運營(yíng)者應定期組織應急演練， 確保應急預案制度的有效執行。

第二十五條網(wǎng)絡(luò )運營(yíng)者應當制定網(wǎng)絡(luò )安全事件應急預案， 及時(shí)處置系統漏洞、計算機病毒、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò )安全的事件時(shí)， 立即啟動(dòng)應急預案， 采取相應的補救措施， 并按照規定向有關(guān)主管部門(mén)報告。

作為關(guān)鍵信息基礎設施的網(wǎng)絡(luò )運營(yíng)者除履行好網(wǎng)絡(luò )安全法第二十一條和第二十五條規定的義務(wù)外， 還應當履行網(wǎng)絡(luò )安全法第三十四條規定網(wǎng)絡(luò )運營(yíng)者須履行的安全保護義務(wù)。

第三十四條除本法第二十一條的規定外， 關(guān)鍵信息基礎設施的運營(yíng)者還應當履行下列安全保護義務(wù)。

（一） 設置專(zhuān)門(mén)安全管理機構和安全管理負責人， 并對該負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。

（二） 定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核。

（三） 對重要系統和數據庫進(jìn)行容災備份。

（四） 制定網(wǎng)絡(luò )安全事件應急預案， 并定期進(jìn)行演練。

（五） 法律、行政法規規定的其他義務(wù)。

（1） 網(wǎng)絡(luò )運營(yíng)者需設立專(zhuān)門(mén)的網(wǎng)絡(luò )安全管理部門(mén)以及安全管理負責人， 來(lái)負責制定本單位網(wǎng)絡(luò )安全保護策略， 并落實(shí)執行各項網(wǎng)絡(luò )安全工作；另外對安全管理負責人和關(guān)鍵崗位人員進(jìn)行背景審查， 以確定其從事安全管理負責人和關(guān)鍵崗位的可靠性。 （2） 網(wǎng)絡(luò )運營(yíng)者須定期對從業(yè)人員進(jìn)行相關(guān)培訓和考核， 以提高從業(yè)人員的網(wǎng)絡(luò )安全意識和網(wǎng)絡(luò )安全技能， 從而更好地保障網(wǎng)絡(luò )系統的安全穩定運行。 （3） 網(wǎng)絡(luò )運營(yíng)者須提供對重要系統和數據庫系統的容災備份措施， 確保在發(fā)生安全事件時(shí)， 備份系統能夠替代主系統正常運行。 （4） 網(wǎng)絡(luò )運營(yíng)者須針對系統內可能發(fā)生的安全事件建立應急預案， 并定期組織演練工作， 以提高應急人員處理應急事件的能力， 確保在發(fā)生安全事件時(shí)能夠快速有效地處理[3]. （5） 除以上規定義務(wù)外， 法律、行政法規規定的其他義務(wù)， 如行業(yè)網(wǎng)絡(luò )安全方面的相關(guān)技術(shù)要求等。

一般信息系統網(wǎng)絡(luò )運營(yíng)者在滿(mǎn)足網(wǎng)絡(luò )安全第二十一條和第二十五條要求的基礎上， 關(guān)鍵信息基礎設施網(wǎng)絡(luò )運營(yíng)者在滿(mǎn)足網(wǎng)絡(luò )安全法第二十一條、第二十五條和第三十四條規定的基礎上分別按照各自所定的安全保護級別， 參照《信息安全技術(shù)信息系統安全等級保護基本要求》 （GB/T22239-2008） 和《信息安全技術(shù)信息系統等級保護安全設計技術(shù)要求》 （GB/T 25070-2010） 等標準， 再進(jìn)一步開(kāi)展建設整改工作。

3 等級測評

信息系統在完成建設整改上線(xiàn)運行后， 為保障信息系統長(cháng)期的安全穩定運行， 網(wǎng)絡(luò )運營(yíng)者必須要不斷地對信息系統開(kāi)展檢測、整改工作。網(wǎng)絡(luò )安全法第三十八條中提出"關(guān)鍵信息基礎設施的運營(yíng)者應當自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對其網(wǎng)絡(luò )的安全性和可能存在的風(fēng)險， 每年至少進(jìn)行一次檢測評估， 并將檢測評估情況和改進(jìn)措施報送相關(guān)負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)".另外， 在《信息安全等級保護管理辦法》公通字[2007]43號第十四條中同樣也提出"信息系統建設完成后， 運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合本辦法規定條件的測評機構， 依據《信息系統安全等級保護測評要求》等技術(shù)標準， 定期對信息系統安全等級狀況開(kāi)展等級測評。第三級信息系統應當每年至少進(jìn)行一次等級測評， 第四級信息系統應當每半年至少進(jìn)行一次等級測評， 第五級信息系統應當依據特殊安全需求進(jìn)行等級測評".

由于關(guān)鍵信息基礎設施的安全保護等級均在3級及以上， 所以網(wǎng)絡(luò )運營(yíng)者針對關(guān)鍵信息基礎設施， 應當每年均委托具備公安部門(mén)認可的測評機構， 開(kāi)展等級測評工作[4], 并將測評結果和整改措施報送給負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)。