如何结合网络安全法开展等级保护工作

如何结合网络安全法开展等级保护工作

摘要：从1994年2月18日国务院147号令发布，规定计算信息系统实行安全等级保护，到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》，并于2017年6月1日起正式实施，网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度，确保信息系统满足《中华人民共和国网络安全法》中的相关要求，成为广大网络运营者急需了解掌握的内容，本文从定级备案、整改建设和等级测评三个层面，结合网络安全法相关要求进行解读说明。

2017年6月1日《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施。第二十一条提出“国家实行网络安全等级保护制度”，第三十一条提出“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。至此，网络安全等级保护制度上升为法律要求，网络运营者必须按照网络安全等级保护制度，采取相应的管理措施和技术防范措施，履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面，结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。

1. 定级备案

系统定级作为网络安全等级保护工作的第一步，定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》

（GB/T22240-2008）（以下简称“定级指南”）分析业务信息和系统服务遭到破坏后，所侵害的客体，以及对相应客体的侵害程度，确定信息系统安全保护级别，并及时到当地市级以上公安机关办理备案手续。另外，针对关键信息基础设施，从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能会严重危害国家安全、国计民生、公共利益，通过查看定级指南，可能严重危害到国家安全、国计民生、公共利益的信息系统，安全保护等级至少在三级及以上，所以作为关键信息基础设施，其安全保护等级不得低于三级。

作为网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后，所侵害的客体，以及对相应客体的侵害程度，准确定级。网络运营者在初步确定网络安全保护等级后，应当及时组织相关专家对定级结果的合理性进行评审，避免出现所定级别过低或过高的现象，并及时向主管部门报批系统定级结果。

2. 建设整改

在确定网络安全保护等级后，网络运营者在开展建设整改工作时，首先应当确保已完全履行了网络安全法第二十一条，所规定的全部安全保护义务。网络安全法第二十一条具体内容如下：

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护

制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第一条是安全管理方面的要求，虽说安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败。所以强调网络运营者必须要有针对性的建立自己的网络安全管理体系，且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人，落实网络运营者第一责任人的责任。

第二条是安全技术防范方面的要求，强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病

毒软件和防毒墙，防病毒软件主要防范服务器操作系统层面的恶意病毒，防毒墙一般以硬件形式部署网络边界处，对来自外部网络的恶意代码在网络层进行检测阻拦，将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施，较为常见的有防火墙设备，用于实现网络或安全域边界的隔离保护；另外除普通防火墙外，还有web应用防火墙，用于实现对来

自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测（IDS）、入侵防御（IPS）等设备，IDS设备主要用于对入侵行为的检测报警不具备阻拦功能，IPS可对入侵行为进行阻拦，但对业务系统可用性要求较高的单位，一般都选用IDS，因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求，至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。

第三条是安全监测和审计方面的要求，强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录，另外近几年逐渐出现大数据日志分析平台，主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面，还提出按照规定留存相关的网络日志不少于六个月，即相关的网络日志存储周期要大于六个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施，另外还要具备相关日志的备份措施，保障相关日志存储周期大于六个月。

第四条是数据保护方面的要求，网络运营者须根据数据的重要性对数据进行分类实施保护，重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复，另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。

第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务，如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。

除网络安全法第二十一条规定的内容外，网络运营者还应当按照网络安全法第二十五条规定的要求，建立网络安全事件应急预案，应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外，网络运营者应定期组织应急演练，确保应急预案制度的有效执行。