网络安全法论文名师推荐范文10篇之第九篇:如何落实网络安全等级保护制度
摘要:从1994年2月18日国务院147号令发布, 规定计算信息系统实行安全等级保护, 到2016年11月7日, 第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》, 并于2017年6月1日起正式实施, 网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度, 确保信息系统满足《中华人民共和国网络安全法》中的相关要求, 成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面, 结合网络安全法相关要求进行了解读说明。
关键词:等级保护; 网络安全法; 信息安全;
Abstract:
From February 18, 1994, the State Council issued 147 orders, stipulating that calculation information system shall be protected by the security level, to the November 7, 2016, Twelfth National People's Congress Standing Committee of the twenty-fourth meeting of the "People's Republic of China Network Security Law", and since June 1, 2017 formally implemented, network security protection system is up to the legal requirements. How to implement network security protection system, to ensure the information system to meet the relevant requirements of network security law has been the content for a majority of network operators need to understand in this paper, from three aspects of the rectification, grading system construction and evaluation, combined with the network security requirements description interpretation method.
Keyword:
classified protection; network security law; information security;
2017年6月1日《中华人民共和国网络安全法》 (以下简称"网络安全法") 正式实施。第二十一条提出"国家实行网络安全等级保护制度", 第三十一条提出"关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护".至此, 网络安全等级保护制度上升为法律要求, 网络运营者必须按照网络安全等级保护制度, 采取相应的管理措施和技术防范措施, 履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面, 结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。
1 定级备案
系统定级作为网络安全等级保护工作的第一步, 定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》 (GB/T22240-2008) (以下简称《定级指南》) 分析业务信息和系统服务遭到破坏后, 所侵害的客体, 以及对相应客体的侵害程度, 确定信息系统安全保护级别, 并及时到当地市级以上公安机关办理备案手续。另外, 针对关键信息基础设施, 从网络安全法第三十一条可以看出, 关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露, 可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》, 可能严重危害到国家安全、国计民生、公共利益的信息系统, 安全保护等级至少在3级及以上。所以, 作为关键信息基础设施, 其安全保护等级不得低于3级。
网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后, 所侵害的客体以及对相应客体的侵害程度, 准确定级[1].网络运营者在初步确定网络安全保护等级后, 应当及时组织相关专家对定级结果的合理性进行评审, 避免出现所定级别过低或过高的现象, 并及时向主管部门报批系统定级结果。
2 建设整改
在确定网络安全保护等级后, 网络运营者在开展建设整改工作时, 首先应当确保已完全履行了网络安全法第二十一条所规定的全部安全保护义务。网络安全法第二十一条具体内容如下。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求, 履行下列安全保护义务:保障网络免受干扰、破坏或者未经授权的访问, 防止网络数据泄露或者被窃取、篡改。
(一) 制定内部安全管理制度和操作规程, 确定网络安全负责人, 落实网络安全保护责任。
(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
(三) 采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于6个月。
(四) 采取数据分类、重要数据备份和加密等措施。
(五) 法律、行政法规规定的其他义务。
第一条是安全管理方面的要求, 虽说安全技术是信息安全控制的重要手段, 许多信息系统的安全性保障都要依靠技术手段来实现, 但光有安全技术还不行, 要让安全技术发挥应有的作用, 必然要有适当的管理程序。否则, 安全技术只能趋于僵化和失败[2].所以强调网络运营者必须要有针对性地建立自己的网络安全管理体系, 且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人, 落实网络运营者第一责任人的责任。
第二条是安全技术防范方面的要求, 强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病毒软件和防毒墙, 防病毒软件主要防范服务器操作系统层面的恶意病毒, 防毒墙一般以硬件形式部署网络边界处, 对来自外部网络的恶意代码在网络层进行检测阻拦, 将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施, 较为常见的有防火墙设备, 用于实现网络或安全域边界的隔离保护;另外除普通防火墙外, 还有Web应用防火墙, 用于实现对来自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测 (IDS) 、入侵防御 (IPS) 等设备, IDS设备主要用于对入侵行为的检测报警不具备阻拦功能, IPS可对入侵行为进行阻拦, 但对业务系统可用性要求较高的单位, 一般都选用IDS, 因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求, 至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。
第三条是安全监测和审计方面的要求, 强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录, 另外近几年逐渐出现大数据日志分析平台, 主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面, 还提出按照规定留存相关的网络日志不少于6个月, 即相关的网络日志存储周期要大于6个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施, 另外还要具备相关日志的备份措施, 保障相关日志存储周期大于6个月。
第四条是数据保护方面的要求, 网络运营者须根据数据的重要性对数据进行分类实施保护, 重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复, 另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。
第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务, 如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。
除网络安全法第二十一条规定的内容外, 网络运营者还应当按照网络安全法第二十五条规定的要求, 建立网络安全事件应急预案, 应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外, 网络运营者应定期组织应急演练, 确保应急预案制度的有效执行。
第二十五条网络运营者应当制定网络安全事件应急预案, 及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时, 立即启动应急预案, 采取相应的补救措施, 并按照规定向有关主管部门报告。
作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外, 还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。
第三十四条除本法第二十一条的规定外, 关键信息基础设施的运营者还应当履行下列安全保护义务。
(一) 设置专门安全管理机构和安全管理负责人, 并对该负责人和关键岗位的人员进行安全背景审查。
(二) 定期对从业人员进行网络安全教育、技术培训和技能考核。
(三) 对重要系统和数据库进行容灾备份。
(四) 制定网络安全事件应急预案, 并定期进行演练。
(五) 法律、行政法规规定的其他义务。
(1) 网络运营者需设立专门的网络安全管理部门以及安全管理负责人, 来负责制定本单位网络安全保护策略, 并落实执行各项网络安全工作;另外对安全管理负责人和关键岗位人员进行背景审查, 以确定其从事安全管理负责人和关键岗位的可靠性。 (2) 网络运营者须定期对从业人员进行相关培训和考核, 以提高从业人员的网络安全意识和网络安全技能, 从而更好地保障网络系统的安全稳定运行。 (3) 网络运营者须提供对重要系统和数据库系统的容灾备份措施, 确保在发生安全事件时, 备份系统能够替代主系统正常运行。 (4) 网络运营者须针对系统内可能发生的安全事件建立应急预案, 并定期组织演练工作, 以提高应急人员处理应急事件的能力, 确保在发生安全事件时能够快速有效地处理[3]. (5) 除以上规定义务外, 法律、行政法规规定的其他义务, 如行业网络安全方面的相关技术要求等。
一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上, 关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别, 参照《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008) 和《信息安全技术信息系统等级保护安全设计技术要求》 (GB/T 25070-2010) 等标准, 再进一步开展建设整改工作。
3 等级测评
信息系统在完成建设整改上线运行后, 为保障信息系统长期的安全稳定运行, 网络运营者必须要不断地对信息系统开展检测、整改工作。网络安全法第三十八条中提出"关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险, 每年至少进行一次检测评估, 并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门".另外, 在《信息安全等级保护管理办法》公通字[2007]43号第十四条中同样也提出"信息系统建设完成后, 运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构, 依据《信息系统安全等级保护测评要求》等技术标准, 定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次等级测评, 第五级信息系统应当依据特殊安全需求进行等级测评".
由于关键信息基础设施的安全保护等级均在3级及以上, 所以网络运营者针对关键信息基础设施, 应当每年均委托具备公安部门认可的测评机构, 开展等级测评工作[4], 并将测评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。
4 结语
网络安全法正式实施, 等级保护上升为法律要求。网络运营者若拒不履行或履行不当, 可能会导致单位和个人承担相应的法律责任。为避免产生相应的法律后果, 保障信息系统的安全稳定运行, 网络运营者应当积极开展落实网络安全等级保护工作。为适应当前安全形势, 迎合信息技术的快速发展, 目前部分网络安全等级保护相关标准制度, 国家相关部门正在进一步改编修订中, 网络运营者应当积极主动关注网络安全等级保护制度最新变化, 及时根据相关要求调整安全策略, 确保信息系统的各项安全保障措施满足最新安全形势需要。
参考文献
[1]朱继锋, 赵英杰, 杨贺, 等。等级保护思想的演化[J].信息安全与通信保密, 2011 (4) :31-33.
[2]宁家骏。依法强化关键信息基础设施安全保护[J].中国信息安全, 2016 (11) :11-14.
[3]顾伟。关键信息基础设施保护制度的国际接轨与中国特色-《网络安全法》亮点解读[J].信息安全与通信保密, 2016 (11) :8-10.
[4]王春晖。《网络安全法》严惩通讯信息诈骗等网络违法犯罪之我见[J].通信世界, 2016 (30) :23-26.
在2013年6月公布的《第十二届全国人大常委会立法规划》中, 网络安全立法被认定为立法条件尚不完全具备、需要继续进行研究论证的立法项目。...
在科技迅猛发展的当今背景下,石油企业想要提升自己核心竞争力的重要一点就是提高自己企业的信息化水平。然而在提升信息化水平的同时,网络信息方面的安全问题也在日益增多。...
《中华人民共和国网络安全法》在2017年6月正式实施, 这项法律规定在明确网络安全等级保护制度的基础上突出强调了对重要基础信息的保护。...
网络安全法的基本原则是指导和规范网络安全法的立法、执法、规范网络安全法律关系主体的行为以及相关争议处理的基础性规范, 是体现网络安全法根本价值的法律原则, 构成网络安全法体系的神经中枢。...
近年来,互联网已经成为人们日常生活中不可缺少的一部分,网络信息安全正面临严峻的挑战,互联网的攻击方式越来越丰富隐蔽,攻击技术也逐渐升级,导致国家信息受到了严重威胁。在信息化时代,网络安全技术更是呈现普及局面。...
文章从网络安全法和互联网创新发展相互促进的不同维度进行分析, 并对促进互联网创新和网络安全法的更好的平衡和交融, 更好地保障和促进互联网创新企业的成果和发展空间提出建议。...
互联网科技的迅猛发展推动了我国网络的普及率和普及面迅速提高, 基于网络的创新蓬勃发展, 越拉越多的业务正在互联网化, 网络已经深度融入到经济社会生活的方方面面。...
在我国互联网、信息技术迅速发展的背景下, 我国社会各个层面都积极的开展了信息建设和网络建设。针对电力企业部门来说, 在《网络安全法》的积极响应之下, 也日渐完善了《电力安全信息管理制度》。...
分析网络安全法的基本原则, 提出网络安全法在石油网络安全管理中的深化应用, 发挥网络安全法的作用和价值, 提高石油网络安全管理水平, 并为相关研究人员提供一定的借鉴和帮助。...
在信息网络为人们的生活提供便利的同时, 人们的信息隐私也受到极大的威胁。如何做好医院信息网络安全的防范, 是目前工作的重中之重。...