如何落实网络安全等级保护制度,计算机信息安全论文

如何落实网络安全等级保护制度,计算机信息安全论文内容摘要：从1994年2月18日147号令发布，规定计算信息系统实行安全等级保卫，到2021年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过(中国网络安全法〕，并于2021年6月1日起正式施行，网络安全等级保卫制度已然上升为法律要求。怎样落实网络安全等级保卫制度，确保信息系统知足(中国网络安全法〕中的相关要求，成为广大网络运营者急需了解和把握的内容。文章从定级备案、整改建设和等级测评3个层面，结合网络安全法相关要求进行了解读讲明。本文关键词语：等级保卫；网络安全法；信息安全；Abstract:FromFebruary18,1994,theStateCouncilissued147orders,stipulatingthatcalculationinformationsystemshallbeprotectedbythesecuritylevel,totheNovember7,2021,TwelfthNationalPeoplesCongressStandingCommitteeofthetwenty-fourthmeetingofthePeoplesRepublicofChinaNetworkSecurityLaw,andsinceJune1,2021formallyimplemented,networksecurityprotectionsystemisuptothelegalrequirements.Howtoimplementnetworksecurityprotectionsystem,toensuretheinformationsystemtomeettherelevantrequirementsofnetworksecuritylawhasbeenthecontentforamajorityofnetworkoperatorsneedtounderstandinthispaper,fromthreeaspectsoftherectification,gradingsystemconstructionandevaluation,combinedwiththenetworksecurityrequirementsdescriptioninterpretationmethod.Keyword:classifiedprotection;networksecuritylaw;informationsecurity;2021年6月1日(中国网络安全法〕〔下面简称网络安全法〕正式施行。第二十一条提出国家实行网络安全等级保卫制度,第三十一条提出关键信息基础设施，在网络安全等级保卫制度的基础上，实行重点保卫.至此，网络安全等级保卫制度上升为法律要求，网络运营者必须根据网络安全等级保卫制度，采取相应的管理措施和技术防备措施，履行相应的网络安全保卫义务。本文从网络安全等级保卫定级备案、建设整改和等级测评3个方面，结合网络安全法相关内容阐述作为网络运营者需要履行的安全保卫义务及工作要求。1定级备案系统定级作为网络安全等级保卫工作的第一步，定级结果直接影响到后续工作的顺利开展。作为网络运营者应当根据(信息安全技术信息系统安全等级保卫定级指南〕〔GB/T22240-2008〕〔下面简称(定级指南〕〕分析业务信息和系统服务遭到毁坏后，所损害的客体，以及对相应客体的损害程度，确定信息系统安全保卫级别，并及时到当地市级以上公安机关办理备案手续。另外，针对关键信息基础设施，从网络安全法第三十一条能够看出，关键信息基础设施一旦遭到毁坏、丧失功能或者数据泄露，可能会严重危害国家安全、国计民生、公共利益。根据(定级指南〕，可能严重危害到国家安全、国计民生、公共利益的信息系统，安全保卫等级至少在3级及以上。所以，作为关键信息基础设施，其安全保卫等级不得低于3级。网络运营者一定要仔细分析信息系统业务信息和系统服务遭到毁坏后，所损害的客体以及对相应客体的损害程度，准确定级[1].网络运营者在初步确定网络安全保卫等级后，应当及时组织相关专家对定级结果的合理性进行评审，避免出现所定级别过低或过高的现象，并及时向主管部门报批系统定级结果。2建设整改在确定网络安全保卫等级后，网络运营者在开展建设整改工作时，首先应当确保已完全履行了网络安全法第二十一条所规定的全部安全保卫义务。网络安全法第二十一条详细内容如下。第二十一条国家实行网络安全等级保卫制度。网络运营者应当根据网络安全等级保卫制度的要求，履行以下安全保卫义务：保障网络免受干扰、毁坏或者未经受权的访问，防止网络数据泄露或者被窃取、篡改。〔一〕制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保卫责任。〔二〕采取防备计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。〔三〕采取监测、记录网络运行状态、网络安全事件的技术措施，并根据规定留存相关的网络日志不少于6个月。〔四〕采取数据分类、重要数据备份和加密等措施。〔五〕法律、行政法规规定的其他义务。第一条是安全管理方面的要求，虽讲安全技术是信息安全控制的重要手段，很多信息系统的安全性保障都要依靠技术手段来实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序。否则，安全技术只能趋于僵化和失败[2].所以强调网络运营者必需要有针对性地建立自个的网络安全管理体系，且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人，落实网络运营者第一责任人的责任。第二条是安全技术防备方面的要求，强调网络运营者须采取防备计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防备计算机病毒方面比拟常见的技术措施有防病毒软件和防毒墙，防病毒软件主要防备服务器操作系统层面的恶意病毒，防毒墙一般以硬件形式部署网络边界处，对来自外部网络的恶意代码在网络层进行检测阻拦，将恶意代码或病毒程序阻挡在网络边界外。网络攻击防备技术措施，较为常见的有防火墙设备，用于实现网络或安全域边界的隔离保卫；另外除普通防火墙外，还有Web应用防火墙，用于实现对来自应用层的攻击行为进行防备保卫。网络侵入防备技术常见的有入侵检测〔IDS〕、入侵防御〔IPS〕等设备，IDS设备主要用于对入侵行为的检测报警不具备阻拦功能，IPS可对入侵行为进行阻拦，但对业务系统可用性要求较高的单位，一般都选用IDS,由于IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求，至少配备防备计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。第三条是安全监测和审计方面的要求，强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比拟常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录，另外最近几年逐步出现大数据日志分析平台，主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面，还提出根据规定留存相关的网络日志不少于6个月，即相关的网络日志存储周期要大于6个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施，另外还要具备相关日志的备份措施，保障相关日志存储周期大于6个月。第四条是数据保卫方面的要求，网络运营者须根据数据的重要性对数据进行分类施行保卫，重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复，另外对于重要数据的加密要从数据传输和存储两个方面去考虑施行。第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务，如行业主管部门对行业内的网络安全要求、地方部门对网络安全的相关要求等。除网络安全法第二十一条规定的内容外，网络运营者还应当根据网络安全法第二十五条规定的要求，建立网络安全事件应急预案，应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外，网络运营者应定期组织应急演练，确保应急预案制度的有效执行。第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的弥补措施，并根据规定向有关主管部门报告。作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外，还应当履行网络安全法第三十四条规定网络运营者须履行的安全保卫义务。第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行以下安全保卫义务。〔一〕设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。〔二〕定期对从业人员进行网络安全教育、技术培训和技能考核。〔三〕对重要系统和数据库进行容灾备份。〔四〕制定网络安全事件应急预案，并定期进行演练。〔五〕法律、行政法规规定的其他义务。〔1〕网络运营者需设立专门的网络安全管理部门以及安全管理负责人，来负责制定本单位网络安全保卫策略，并落实执行各项网络安全工作；另外对安全管理负责人和关键岗位人员进行背景审查，以确定其从事安全管理负责人和关键岗位的可靠性。〔2〕网络运营者须定期对从业人员进行相关培训和考核，以提高从业人员的网络安全意识和网络安全技能，进而更好地保障网络系统的安全稳定运行。〔3〕网络运营者须提供对重要系统和数据库系统的容灾备份措施，确保在发生安全事件时，备份系统能够替代主系统正常运行。〔4〕网络运营者须针对系统内可能发生的安全事件建立应急预案，并定期组织演练工作，以提高应急人员处理应急事件的能力，确保在发生安全事件时能够快速有效地处理[3].〔5〕除以上规定义务外，法律、行政法规规定的其他义务，如行业网络安全方面的相关技术要求等。一般信息系统网络运营者在知足网络安全第二十一条和第二十五条要求的基础上，关键信息基础设施网络运营者在知足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别根据各自所定的安全保卫级别，参照(信息安全技术信息系统安全等级保卫基本要求〕〔GB/T22239-2008〕和(信息安全技术信息系统等级保卫安全设计技术要求〕〔GB/T25070-2018〕等标准，再进一步开展建设整改工作。3等级测评信息系统在完成建设整改上线运行后，为保障信息系统长期的安全稳定运行，网络运营者必需要不断地对信息系统开展检测、整改工作。网络安全法第三十八条中提出关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险，每年至少进行一次检测评估，并将检测评估情况和改良措施报送相关负责关键信息基础设施安全保卫工作的部门.另外，在(信息安全等级保卫管理办法〕公通字[2007]43号第十四条中同样也提出信息系统建设完成后，运营、使用单位或者其主管部门应中选择符合本办法规定条件的测评机构，根据(信息系统安全等级保卫测评要求〕等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当根据特殊安全需求进行等级测评.由于关键信息基础设施的安全保卫等级均在3级及以上，所以网络运营者针对关键信息基础设施，应当每年均委托具备公安部门认可的测评机构，开展等级测评工作[4],并将测评结果和整改措施报送给负责关键信息基础设施安全保卫工作的部门。4结束语网络安全法正式施行，等级保卫上升为法律要求。网络运营者若拒不履行或履行不当，可能会导致单位和个人承当相应的法律责任。为避免产生相应的法律后果，保障信息系统的安全稳定运行，网络运营者应当积极开展落实网络安全等级保卫工作。为适应当下安全形势，迎合信息技术的快速发展，当前部分网络安全等级保卫相关标准制度，国家相关部门正在进一步改编修订中，网络运营者应当积极主动关注网络安全等级保卫制度最新变化，及时根据相关要求调整安全策略，确保信息系统