网络安全管理与网络安全等级保护制度

摘要：社会的发展和经济的飞跃都无法离开计算机网络迅速发展的支持，在现在这个网络化的企业和社会中，网络的正常运行和稳定的信息服务是必不可少的。但是随处可见的网络中，到处存在着各种各样的不安全因素，对计算机、个人乃至企业的信息安全造成了很大的威胁，因此，如何保证个人信息安全、企业信息安全已经是全社会面临的一个共同问题。基于此，本文针对网络安全管理与网络安全等级保护制度进行研究，通过阐述网络安全管理与网络安全等级保护制度相关理论，提出目前网络安全管理与网络安全等级保护制度中存在的问题，并根据问题提出管理建议，旨在提升安全防护技术，强化安全管理，才能更好使用信息化工具促进企业的更好发展。

关键词：网络安全管理；等级保护制度；管理建议

随着互联网的发展，网络已经成为群众发声行使自身权益的一种新模式，群众不但可以通过微博、邮箱等提出家乡建设发展的建议，也可以通过不断建立完善的电子政务或电子政府实现日常事务的办理。近年来，我国现代科学技术发展迅速，网络使用需求和市场规模不断扩大，这也促进了网络安全管理的进一步严格发展。在信息时代，网络安全在国家安全中的作用更加突出，不容忽视。即使在某些情况下，也会影响国家信息管理。互联网的传播和普及为新的网络犯罪提供了广阔的平台和空间，违法案件层出不穷。在技术利益的驱使下，许多犯罪分子多次越过法律底线，严重危害我国的法律管理秩序和社会保障秩序，加剧了思想矛盾和冲突。

1网络安全管理与网络安全等级保护制度概述

（1）网络安全管理的必要性近年来，网络安全事件不断发生，Facebook用户隐私数据泄露、澳大利亚政府雇员个人信息泄露、委内瑞拉大规模停电等网络安全事件引起了全球范围内的广泛关注，而这一类的安全事件也敲响了网络安全的警钟。由于网络在社会中的广泛应用，国家也对网络安全问题给予了高度的重视，从多方面出台相关政策，旨在加强网络信息的监管，从而推动互联网乃至整个社会的和谐发展。一方面是因为安全技术的缺乏，核心安全技术远远落后于国外，另一方面也是因为中国近些年发展太快，国内用户对于网络安全的普遍不重视，没有意识到网络安全问题会给大家带来多大的影响，这也就为恶意攻击者提供了良好的施展环境，使得网络安全事件更容易发生。网络安全是一个比较大的课题，涉及诸多如立法、技术、管理、使用等多方面的约束，但同时使得网络安全的研究地位也在日益提升。总而言之，互联网环境下的网络安全问题已经成了当下被高度重视的安全问题。社会的发展无法离开网络，只有不断提升安全防护技术，强化安全管理，发现企业可能面临的安全威胁，才能更好使用信息化工具促进企业的更好发展。（2）网络安全等级保护制度2016年《网络安全法》完成制定，自此，我国信息安全等级保护变更名称为网络安全等级保护。《网络安全法》对网络安全等级保护的定义是：网络安全等级保护是指对于国家秘密信息、法人和其他组织和公民的专有信息以及公开信息的存储、传输和处理，并对这些信息实行信息系统分等级安全保护，针对信息系统发生的网络安全问题根据其划分等级情况实行响应和处置。简而言之，网络安全等级保护就是分等级保护、分等级监管。实际上，网络安全等级保护制度是指对包括法人、公民和组织在内的专有或公共信息以及国家机密信息的分级安全保护。同时，对处理、传输和存储这些信息的系统也应进行分级安全保护。此外，在所使用的信息系统中，还需要对应用的安全产品进行分级管理，对安全事件进行分级处理和响应。在我国，从广义上讲，网络安全等级保护制度就是按照对与网络安全有关的信息、系统、产品和标准进行等级保护的思想，开展网络安全防护工作。狭义的网络安全等级保护体系是指信息系统的等级保护。（3）网络安全管理的理论基础网络安全管理，可以看作是为了保障安全所采取的管理行为和保护措施，就是对人、财、物等组织进行有效的计划、组织、领导、控制和激励，实现个人及组织共同期望的安全目标和安全状态。美国学者克弗洛、萨德曼认为，网络安全管理从广义上看，是指借助系统化的管理手段，运用科学的方法处理事故。因此，在网络安全管理的整个过程中，作为网络安全管理者，第一要有一种安全防范意识，事先能预判事故发生的可能性，能够考虑到采取某种措施能够预防事故的发生；第二要能够主动采取避免安全事故发生的具体措施，通过实际行动确保安全；第三是对于发生的安全事故能够及时、有效的处理，避免造成更大的损失和不良影响；第四是及时总结安全事故处理的经验和教训，为避免类似事故的出现制定防范措施；第五是加强安全警示和教育，调动组织中更多的人统一思想、达成共识，共同维护安全环境。所以说，网络安全管理就是为防止安全事故发生、减轻事故带来的损失、消除各种意外事故产生的风险与影响采取的管理措施，是一个随时都可能发生变化、需要及时作出决策的动态的过程，也是一套有明确目标、要求和操作流程的、需要大家共同遵守的制度规定。

2当前网络安全管理及等级保护制度面临的问题

（1）网络安全等级保护制度执行不到位目前企业中网络安全等级保护制度执行不到位的情况普遍存在，主要体现在两个方面，一是系统建设过程中，规划设计阶段未严格按照等保要求进行等保定级，或定级不规范，为逃避等保测评和等保备案工作故意降低系统等级。二是在系统运行阶段，未能按照等保要求定期开展等保测评工作，初次等保测评后出于节约经费、减少管理报备工作等多方面考虑，很多企业未能按照要求进行复测。为系统安全稳定运行留下诸多隐患。（2）网络安全管理制度不完善及管理流程运行不顺畅在安全管理制度方面，很多企业缺少完整的网络安全制度体系，且建立制度体系时缺乏合理性和实用性的科学论证。另外很多企业未能持续更新完善已有的制度体系，很多制度过于陈旧已无法满足管理需要，又不能及时根据企业自身实际情况有针对性进行修改完善；在安全管理机构方面，很多企业未配备专职的网络安全团队。不能对本企业系统的重要操作、重要活动等进行有效的审计和检查，对于已建立审批程序和制度的企业也存在未定期审查审批事项、更新审批项目、部门、权限和审批人，未对审批过程进行有效记录并存档等问题。未聘请信息安全专家作为安全顾问指导信息安全建设等问题；在系统建设管理层面，存在缺乏对系统定级结果的科学论证，缺乏对系统验收、交付等控制方法和人员行为的书面规定等问题；在系统运维管理层面，存在未按照网络安全等级保护要求定期进行系统漏洞扫描、安全日志及审计数据分析，未有效组织内部应急预案的培训及演练等问题。（3）数据安全问题越来越严峻国家、社会以及企业当前对于信息技术应用水平逐渐成熟，数据已逐渐成为重要的战略资源。如今大数据时代已经到来，信息化的快速发展离不开数据资源的有力支撑。随着互联网的迅速发展以及人们生活和生产等各种活动与信息技术的迅速融合，全球数据信息呈现爆炸式增长，对人们的生产生活、经济发展和社会进步产生了重大影响。基于当前新的发展形势，以及网络安全的严峻形势。国家正式出台了《数据安全法》，并在积极制定《网络数据安全管理条例》等配套文件。由此可见数据安全问题越来越重要且给各个企业网络安全管理提出了新的挑战，也提出了更高的要求。除制度和管理问题外，目前企业数据安全方面主要问题还集中体现在数据安全级备份恢复层面，存在冗余设备配备不够、数据备份空间不足、数据存储保密措施不全面等问题。

3网络安全管理与网络安全等级保护制度建议

（1）加强网络安全组织管理为了更好对企业的网络安全环境进行规划和控制，建议增设独立的网络安全管理部门，从而更好对企业进行信息安全管理和战略部署。在很多企业中，网络安全管理部门的存在形同虚设，或者根本没有设置，而作为企业中对于网络安全最为重要的部门，网络安全管理部门应该获得足够的重视以及足够的管理授权，并在实际的网络安全管理工作中承担更多的实际职能。比如推动内部安全互相监督、安全绩效考核等，同时，鼓励企业内部各部门向网络安全团队提出网络安全建议，同时设置部门安全协调员，促进跨部门的协作等。好的团队需要一个优秀的管理者，管理者应该有坚定的信念，执着的追求，对目标的坚持，才能在困难中坚持把安全工作做到位。除了这些特点之外，至少还要做到以下几点。第一，努力让团队成员认可网络安全工作，使其相信自己的价值的同时认可其在部门内部的价值，这样才能激发每个员工的最大潜力和最强的主观能动性。第二，通过各种量化措施，表现出安全团队的价值，比如设置合理的安全考核指标和安全监测指标，体现网络安全团队主动发现风险并改善的能力以及团队绩效的持续改善。第三，主动汇报。主动与领导沟通，获取领导的支持，能否获得管理层领导的支持是建立优秀安全团队的关键，也是网络安全团队领头人最需要做的工作之一。确认管理者之后，需要对安全团队的组织架构进行合理的规划。网络安全团队的整体组织架构分为三层，首先是网络安全管理层，其次是各管理部门的负责人，最后是负责相应安全管理工作的工作人员，在部门的划分上需具有足够的代表性。另外，网络安全部门应该定期召开会议，讨论企业的网络安全总体规划方向，并组织和编写内部网络安全管理制度。（2）加强网络安全防控体系建设有了专业性较强的人员队伍，还要加强信息系统安全技术体系建设，建立完善本部门的网络安全风险预案。企业应严格按照网络安全等级保护各项要求，从物理安全设计、网络安全设计、主机安全设计、应用安全设计及数据安全设计等五个方面进行信息系统安全技术体系建设，内容要涵盖对机房的建设运维、办公环境、设备和介质、通信网络、区网边界、服务器、工作站、应用系统、应用平台、数据备份与恢复等方面的要求和根据企业实际情况需要规划设计的其他方面要求。分析自身存在的信息安全风险点，制定符合自身实际情况、操作性强的网络安全风险防控预案，并定期开展信息安全风险防控预案的演练。企业在网络安全防控体系建设过程中，需要业务部门为网络安全管理过程及内容提供指导。确定需要网络安全防控的区域、类别及途径。此外，要确保企业对于网络安全事件的应对能力，一方面需要进行风险预警，对企业内部所提供的网络资源进行合理的管理和监控，保证网络安全管理团队能够在第一时间收到异常资源使用的提醒。另一方面也需要定期开展网络安全风险应对及网络安全事件应急演练，提高临场应变能力，应急预案和应对措施能真正发挥应有的作用，在发生问题的时候能够减少响应时间，从而真正的减少网络安全事件发生时企业的损失。（3）持续开展网络安全等级保护测评为保证信息系统安全稳定运行，数据合法合规获取和利用，企业应持续开展网络安全等级保护测评工作，按照全员参与的原则，网络安全等级保护测评应该针对企业的所有员工。通过宣传、培训和教育达到以下三个目的：提升员工网络安全意识、确保员工理解自己的安全职责及保证员工掌握必要的网络安全方面的专业技能和理论。为此，企业应持续开展网络安全等级保护测评工作，并持续保障所需的专项资金。

4结语

面对当今社会如此复杂的网络安全形势，在我国迅速实施网络安全等级保护体系显得尤为重要。目前，无论是国家、企业还是个人，都应不断学习和了解网络安全等级防护体系的相关知识，提高网络安全防护意识和能力。同时，中国应建立一些专业的网络安全机构，进一步完善与网络安全相关的政策、法律法规。各有关部门还应加强对网络安全的监督管理，确保各企业有效实施网络安全等级保护制度，加强自身网络安全管理及相关体系建设，避免出现网络安全问题。

参考文献：

[1]张俭.网络安全管理与网络安全等级保护制度探讨[J].电脑知识与技术，2020，16（05）：41-42.

[2]李新发，杨立凡.网络安全等级保护制度实施效果研究——以湖北省宜昌市为视角[J].三峡论坛（三峡文学·理论版），2020（04）：100-104.

[3]刘惠颖，李井泉.网络安全等级保护2.0标准体系研究[J].河北电力技术，2020，39（04）：47-49.

[4]任蕊.我国电子政务信息安全等级保护制度探讨[D].北京邮电大学，2017.

[5]敖翔.基于等保标准的网络安全保障体系模型研究[J].数字与缩微影像，2018（01）：43-46.

作者：吴蒙 单位：中国信息通信研究院信息管理中心