你好,欢迎来到博今文化,中国最权威的职称论文投稿平台!

信息安全学 如何落实网络平安等级维护制度

博今文化 / 2020-05-07

  摘要:从1994年2月18日国务院147号令发布, 规则计算信息系统实行平安等级维护, 到2016年11月7日, 第十二届全国人民代表大会常务委员会第二十四次会议经过《中华人民共和国网络平安法》, 并于2017年6月1日起正式施行, 网络平安等级维护制度已然上升为法律请求。如何落实网络平安等级维护制度, 确保信息系统满足《中华人民共和国网络平安法》中的相关请求, 成为广阔网络运营者急需理解和控制的内容。文章从定级备案、整改建立和等级测评3个层面, 分离网络平安法相关请求停止理解读阐明。

  关键词:等级维护; 网络平安法; 信息平安;

  2017年6月1日《中华人民共和国网络平安法》 (以下简称"网络平安法") 正式施行。第二十一条提出"国度实行网络平安等级维护制度", 第三十一条提出"关键信息根底设备, 在网络平安等级维护制度的根底上, 实行重点维护".至此, 网络平安等级维护制度上升为法律请求, 网络运营者必需依照网络平安等级维护制度, 采取相应的管理措施和技术防备措施, 实行相应的网络平安维护义务。本文从网络平安等级维护定级备案、建立整改和等级测评3个方面, 分离网络平安法相关内容论述作为网络运营者需求实行的平安维护义务及工作请求。

  1 定级备案

  系统定级作为网络平安等级维护工作的第一步, 定级结果直接影响到后续工作的顺利展开。作为网络运营者应当根据《信息平安技术信息系统平安等级维护定级指南》 (GB/T22240-2008) (以下简称《定级指南》) 剖析业务信息和系统效劳遭到毁坏后, 所损害的客体, 以及对相应客体的损害水平, 肯定信息系统平安维护级别, 并及时到当地市级以上公安机关办理备案手续。另外, 针对关键信息根底设备, 从网络平安法第三十一条能够看出, 关键信息根底设备一旦遭到毁坏、丧失功用或者数据泄露, 可能会严重危害国度平安、国计民生、公共利益。依据《定级指南》, 可能严重危害到国度平安、国计民生、公共利益的信息系统, 平安维护等级至少在3级及以上。所以, 作为关键信息根底设备, 其平安维护等级不得低于3级。

  网络运营者一定要认真剖析信息系统业务信息和系统效劳遭到毁坏后, 所损害的客体以及对相应客体的损害水平, 精确定级[1].网络运营者在初步肯定网络平安维护等级后, 应当及时组织相关专家对定级结果的合理性停止评审, 防止呈现所定级别过低或过高的现象, 并及时向主管部门报批系统定级结果。

  2 建立整改

  在肯定网络平安维护等级后, 网络运营者在展开建立整改工作时, 首先应当确保已完整实行了网络平安法第二十一条所规则的全部平安维护义务。网络平安法第二十一条详细内容如下。

  第二十一条国度实行网络平安等级维护制度。网络运营者应当依照网络平安等级维护制度的请求, 实行下列平安维护义务:保证网络免受干扰、毁坏或者未经受权的访问, 避免网络数据泄露或者被窃取、窜改。

  (一) 制定内部平安管理制度和操作规程, 肯定网络平安担任人, 落实网络平安维护义务。

  (二) 采取防备计算机病毒和网络攻击、网络侵入等危害网络平安行为的技术措施。

  (三) 采取监测、记载网络运转状态、网络平安事情的技术措施, 并依照规则留存相关的网络日志不少于6个月。

  (四) 采取数据分类、重要数据备份和加密等措施。

  (五) 法律、行政法规规则的其他义务。

  第一条是平安管理方面的请求, 虽说平安技术是信息平安控制的重要手腕, 许多信息系统的平安性保证都要依托技术手腕来完成, 但光有平安技术还不行, 要让平安技术发挥应有的作用, 必然要有恰当的管理程序。否则, 平安技术只能趋于僵化和失败[2].所以强调网络运营者必需要有针对性地树立本人的网络平安管理体系, 且至少包含管理制度和操作标准两个层面。管理制度是网络运营者制定的有关管理组织架构、人员装备、行为标准和管理义务等方面的规则。操作规程是网络运维者制定的相关人员在停止日常操作时应当恪守的程序和步骤。除此以外还需肯定网络平安担任人, 落实网络运营者第一义务人的义务。

  第二条是平安技术防备方面的请求, 强调网络运营者须采取防备计算机病毒和网络攻击、网络侵入等危害网络平安行为的技术措施。防备计算机病毒方面比拟常见的技术措施有防病毒软件和防毒墙, 防病毒软件主要防备效劳器操作系统层面的歹意病毒, 防毒墙普通以硬件方式部署网络边境处, 对来自外部网络的歹意代码在网络层停止检测阻拦, 将歹意代码或病毒程序阻挠在网络边境外。网络攻击防备技术措施, 较为常见的有防火墙设备, 用于完成网络或平安域边境的隔离维护;另外除普通防火墙外, 还有Web应用防火墙, 用于完成对来自应用层的攻击行为停止防备维护。网络侵入防备技术常见的有入侵检测 (IDS) 、入侵防御 (IPS) 等设备, IDS设备主要用于对入侵行为的检测报警不具备阻拦功用, IPS可对入侵行为停止阻拦, 但对业务系统可用性请求较高的单位, 普通都选用IDS, 由于IPS有可能会发作误报对业务系统正常运转形成影响。作为网络运营者应分离此项请求, 至少装备防备计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。

  第三条是平安监测和审计方面的请求, 强调网络运营者必需具备监测、记载网络运转状态、网络平安事情的技术措施。这块比拟常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面停止监测记载, 另外近几年逐步呈现大数据日志剖析平台, 主要将信息系统中各个层面的日志信息停止统一汇总剖析。关于日志留存方面, 还提出依照规则留存相关的网络日志不少于6个月, 即相关的网络日志存储周期要大于6个月。作为网络运营者至少应当具备监测并记载网络运转状态和平安事情的技术措施, 另外还要具备相关日志的备份措施, 保证相关日志存储周期大于6个月。

  第四条是数据维护方面的请求, 网络运营者须依据数据的重要性对数据停止分类施行维护, 重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发作平安事情后数据的有效恢复, 另外关于重要数据的加密要从数据传输和存储两个方面去思索施行。

  第五条是法律、行政法规规则的其他义务。除网络平安法规则范围内的其他义务, 如行业主管部门对行业内的网络平安请求、中央政府部门对网络平安的相关请求等。

  除网络平安法第二十一条规则的内容外, 网络运营者还应当依照网络平安法第二十五条规则的请求, 树立网络平安事情应急预案, 应急预案至少应当掩盖可以及时处置系统破绽、计算机病毒、网络攻击、网络侵入等平安事情。另外, 网络运营者应定期组织应急演练, 确保应急预案制度的有效执行。

  第二十五条网络运营者应当制定网络平安事情应急预案, 及时处置系统破绽、计算机病毒、网络攻击、网络侵入等平安风险;在发作危害网络平安的事情时, 立刻启动应急预案, 采取相应的弥补措施, 并依照规则向有关主管部门报告。

  作为关键信息根底设备的网络运营者除实行好网络平安法第二十一条和第二十五条规则的义务外, 还应当实行网络平安法第三十四条规则网络运营者须实行的平安维护义务。

  第三十四条除本法第二十一条的规则外, 关键信息根底设备的运营者还应当实行下列平安维护义务。

  (一) 设置特地平安管理机构和平安管理担任人, 并对该担任人和关键岗位的人员停止平安背景检查。

  (二) 定期对从业人员停止网络平安教育、技术培训和技艺考核。

  (三) 对重要系统和数据库停止容灾备份。

  (四) 制定网络平安事情应急预案, 并定期停止演练。

  (五) 法律、行政法规规则的其他义务。

  (1) 网络运营者需设立特地的网络平安管理部门以及平安管理担任人, 来担任制定本单位网络平安维护战略, 并落实执行各项网络平安工作;另外对平安管理担任人和关键岗位人员停止背景检查, 以肯定其从事平安管理担任人和关键岗位的牢靠性。 (2) 网络运营者须定期对从业人员停止相关培训和考核, 以进步从业人员的网络平安认识和网络平安技艺, 从而更好地保证网络系统的平安稳定运转。 (3) 网络运营者须提供对重要系统和数据库系统的容灾备份措施, 确保在发作平安事情时, 备份系统可以替代主系统正常运转。 (4) 网络运营者须针对系统内可能发作的平安事情树立应急预案, 并定期组织演练工作, 以进步应急人员处置应急事情的才能, 确保在发作平安事情时可以快速有效地处置. (5) 除以上规则义务外, 法律、行政法规规则的其他义务, 如行业网络平安方面的相关技术请求等。

  普通信息系统网络运营者在满足网络平安第二十一条和第二十五条请求的根底上, 关键信息根底设备网络运营者在满足网络平安法第二十一条、第二十五条和第三十四条规则的根底上分别依照各自所定的平安维护级别, 参照《信息平安技术信息系统平安等级维护根本请求》 (GB/T22239-2008) 和《信息平安技术信息系统等级维护平安设计技术请求》 (GB/T 25070-2010) 等规范, 再进一步展开建立整改工作。

  3 等级测评

  信息系统在完成建立整改上线运转后, 为保证信息系统长期的平安稳定运转, 网络运营者必需要不时地对信息系统展开检测、整改工作。网络平安法第三十八条中提出"关键信息根底设备的运营者应当自行或者拜托网络平安效劳机构对其网络的平安性和可能存在的风险, 每年至少停止一次检测评价, 并将检测评价状况和改良措施报送相关担任关键信息根底设备平安维护工作的部门".另外, 在《信息平安等级维护管理方法》公通字[2007]43号第十四条中同样也提出"信息系统建立完成后, 运营、运用单位或者其主管部门应中选择契合本方法规则条件的测评机构, 根据《信息系统平安等级维护测评请求》等技术规范, 定期对信息系统平安等级情况展开等级测评。第三级信息系统应当每年至少停止一次等级测评, 第四级信息系统应当每半年至少停止一次等级测评, 第五级信息系统应当根据特殊平安需求停止等级测评".

  由于关键信息根底设备的平安维护等级均在3级及以上, 所以网络运营者针对关键信息根底设备, 应当每年均拜托具备公安部门认可的测评机构, 展开等级测评工作 并将测评结果和整改措施报送给担任关键信息根底设备平安维护工作的部门。

  4 结语

  网络平安法正式施行, 等级维护上升为法律请求。网络运营者若拒不实行或实行不当, 可能会招致单位和个人承当相应的法律义务。为防止产生相应的法律结果, 保证信息系统的平安稳定运转, 网络运营者应当积极展开落实网络平安等级维护工作。为顺应当前平安形势, 迎合信息技术的快速开展, 目前局部网络平安等级维护相关规范制度, 国度相关部门正在进一步改编修订中, 网络运营者应当积极主动关注网络平安等级维护制度最新变化, 及时依据相关请求调整平安战略, 确保信息系统的各项平安保证措施满足最新平安形势需求。