趙繼剛

摘? 要：無論處于什么年代，也無論身處何等處境，信息往往是影響一件事情成功與否的關(guān)鍵，在傳統(tǒng)文化中，人們用信件的方式進行信息的交流，效率低下。但隨著計算機技術(shù)的興起，信息時代隨之而來，信息的交流和傳播變得空前的簡單，但信息的高度透明以及信息的快速傳播速度并不完全是優(yōu)點，在信息時代中信息的透明性也為有心人提供了侵犯他人信息的機會?；诖?，近年來的信息技術(shù)發(fā)展已經(jīng)不再逃避安全的問題，反而在各個層級都在考慮如何開展高效率網(wǎng)絡(luò)安全等級保護的辦法，該文以此為主要方向，針對網(wǎng)絡(luò)安全等級保護實施方案中的細節(jié)問題進行分析和探討，希望該文的觀點能夠為網(wǎng)絡(luò)安全研究人員提供借鑒。

關(guān)鍵詞：信息安全? ?網(wǎng)絡(luò)安全? ?等級保護? ?實施方案? ?設(shè)計探討

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）07（a）-0035-03

Abstract： No matter what age or situation， information is often the key to the success of a thing. In traditional culture， people communicate information by letter， which is inefficient. However， with the rise of computer technology and the advent of the information age， the exchange and dissemination of information has become unprecedentedly simple， but the high transparency of information and the rapid dissemination speed of information are not entirely advantages. In the information age， the transparency of information also provides people with the opportunity to invade others' information. Based on this， the development of information technology in recent years no longer evades the problem of security， but considers how to carry out efficient network security level protection at all levels. Taking this as the main direction， this paper analyzes and discusses the detailed problems in the implementation scheme of network security level protection. It is hoped that the views of this paper can provide reference for network security researchers.

Key Words： Information security; Network security; Grade protection; Implementation plan; Design discussion

通過信息安全等級保護的實施能夠為各種等級重要信息的信息提供適當?shù)谋Ｗo，即：不會將不重要的信息與極重要的信息施以同等級保護，否則對不重要的信息是一種資源浪費，而極重要的信息又未能獲得足夠的保護。通過保護方案的實施，能夠高度保證信息的安全，為國計民生提供保障。

1? 什么是網(wǎng)絡(luò)安全等級保護

隨著時代的逐漸發(fā)展，計算機技術(shù)的快速進步，信息的交換已經(jīng)不再是困擾人類發(fā)展的主要問題，但在信息技術(shù)高度發(fā)達的今天，人們必須認識到，信息技術(shù)既是幫助人類發(fā)展的工具，又是懸在我們頭頂?shù)囊槐麆?。面對這種情況，網(wǎng)絡(luò)安全等級保護便應(yīng)運而生。網(wǎng)絡(luò)安全等級保護是指為了保護國家機密、公民的重要信息以及其他組織的重要信息而制定的相關(guān)措施，包括對信息的傳輸、存儲等應(yīng)用方式的管理，針對不同級別的信息實行不同階級的保護措施，并在重要信息發(fā)生安全事件時按照不同級別啟動應(yīng)急響應(yīng)[1]。

最早的信息保護僅僅是對實物信息的保護，但隨著計算機技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息的傳播速度已經(jīng)遠超實物的傳遞速度，為了保護網(wǎng)絡(luò)信息的安全，在最新的信息等級保護相關(guān)規(guī)定中已經(jīng)著重指示了對網(wǎng)絡(luò)信息的防護。

網(wǎng)路安全等級保護共分為5個級別：（1）自主保護級，當信息系統(tǒng)受到破壞后，會對公民個人權(quán)益造成一般損害，不會危害國家安全、社會秩序;（2）指導(dǎo)保護級，當信息系統(tǒng)受到破壞后，會對公民個人權(quán)益造成嚴重損害，對社會秩序以及大眾利益造成一般損害，不會損害國家安全;（3）監(jiān)督保護級，當信息系統(tǒng)受到破壞后，會對公民個人權(quán)益造成特別嚴重的損害，對社會秩序以及大眾利益造成嚴重損害，對國家安全造成損害;（4）強制保護級，當信息系統(tǒng)受到破壞后，會對社會秩序和大眾利益造成特別嚴重的損害，對國家安全造成嚴重損害;（5）專控保護級，當信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重的損害[2]。

網(wǎng)絡(luò)安全等級保護的5個級別設(shè)置從對個人權(quán)益的損害直至對國家安全的嚴重損害都包括在內(nèi)，是對我國整體信息安全的全面性保護方法，能夠有效地保障公民個人信息、社會大眾信息、國家信息的高度安全，為國家發(fā)展、社會運行、公民工生活提供保障。

2? 網(wǎng)絡(luò)安全等級保護的實施原則

2.1 自主保護原則

在當前的時代背景下，網(wǎng)絡(luò)已經(jīng)不再是“奢侈品”，是社會大眾都能夠使用的基本設(shè)施之一。這就導(dǎo)致每天產(chǎn)生的信息量及其龐大，這一特點也就決定了，新產(chǎn)生的信息如果單靠國家部門或者社會中某一單位進行處理，顯然是不切實際的。因此，針對新產(chǎn)生的信息，各信息運營單位、信息使用單位需要根據(jù)國家相關(guān)的法規(guī)自行確定信息的保護等級，而后實施相應(yīng)的信息安全保護[3]。

2.2 重點保護原則

重點保護原則是基于自主保護原則的，重點保護原則是指信息運營單位和信息使用單位需要根據(jù)信息的類別、信息的重要程度等，將信息按照保護等級進行劃分，而后根據(jù)信息的等級實施不同等級的安全保護，將重要的資源使用在最重要的信息保護中。

總而言之，重點保護原則就是集中大部分的資源用于保護核心信息，這也是整個網(wǎng)絡(luò)安全等級保護在實際實施時需要著重關(guān)注的問題。若不遵從重點保護原則，在實際的網(wǎng)絡(luò)安全等級保護實施中會浪費一定的資源至安全等級較低的信息保護工作中，造成保護工作的疏漏。因此，堅持重點保護原則，是開展網(wǎng)絡(luò)安全等級保護工作的核心。

2.3 同步建設(shè)原則

同步建設(shè)原則是指，當信息系統(tǒng)進行改建、更新、擴建等工作時，需要將一部分資源以及管理者的精力投入到信息安全等級保護的建設(shè)中。這一原則主要是為了避免信息運營單位和信息使用單位因過度重視對信息系統(tǒng)的建設(shè)，而忽視了信息安全等級保護工作的開展，造成整個信息系統(tǒng)“頭重腳輕”的問題。同步建設(shè)原則是對信息運營單位和信息使用單位在思想層面的指導(dǎo)，著重指正了信息等級安全保護是與信息系統(tǒng)建設(shè)同等重要的[4]。

2.4 動態(tài)調(diào)整原則

在信息等級安全保護工作中，信息本身是不變的，但隨著時間的變化，信息對公民個人、社會大眾以及國家的重要性也在隨之改變。而為了響應(yīng)重點保護原則，則需要對現(xiàn)有信息進行周期性的安全等級檢測，并根據(jù)檢測結(jié)果重新規(guī)劃信息的安全等級。動態(tài)調(diào)整原則能夠?qū)⒉辉俜掀浒踩燃壍男畔z測出來，避免因未能及時做出應(yīng)對而導(dǎo)致的資源浪費，將重點保護原則貫穿信息安全等級保護工作的全過程中。

3? 優(yōu)化網(wǎng)絡(luò)安全等級保護實施方案的幾點思考

3.1 信息的評級

給新收集到的信息進行定級是整個網(wǎng)絡(luò)信息安全等級保護工作的開始，在這一階段中，信息運營單位或信息使用單位需要將收集到的信息根據(jù)采集到的信息的類型、采集到信息的情況進行分析，將新收集到的信息劃分到其應(yīng)所屬的安全等級分組中。但在當前的網(wǎng)絡(luò)安全等級保護實施中，對于信息的處理過于依靠計算機軟件，雖然面對大量需要處理的信息，人工完成是不切實際的，但相對于人工，計算機軟件只能將信息進行簡單的篩選和分組，在面對較為復(fù)雜的信息時處理是相對不準確的。因此，在處理較為重要的信息時，應(yīng)盡可能人工完成，避免因計算機軟件判斷錯誤而造成的工作失誤[5]。

3.2 備案階段

在網(wǎng)絡(luò)安全等級保護規(guī)定中，第二級，即指導(dǎo)保護級的信息開始，需要周期性地到公安部門進行備案。備案是對信息運營單位自身的負責，同時也是對社會大眾和國家的負責，信息安全的保護不僅僅關(guān)系著運營單位自身的權(quán)益，與社會大眾和國家都有千絲萬縷的聯(lián)系。因此，在收集到重要信息并劃分安全等級后，應(yīng)第一時間到公安部門進行備案，為信息安全等級保護工作增添一分保障。

3.3 安全建設(shè)與整改階段

安全建設(shè)和整改是在信息運營單位和信息使用單位在自查自身問題后，通過對信息系統(tǒng)的提升、對投入資源的規(guī)劃、對管理人員的擇優(yōu)等工作，提升信息系統(tǒng)的整體質(zhì)量，保證信息安全等級保護工作的高效開展。安全建設(shè)與整改工作不是一時的，整個系統(tǒng)的提升往往需要幾個月甚至幾年時間才能完成，因此，在安全建設(shè)與整改階段需要管理人員能夠與時俱進，若在幾年前定下的提升目標已經(jīng)不再適用，則需要管理人員能夠及時地調(diào)整整改方案，保證整改的質(zhì)量。

整改中的工作主要包括3點：安全管理制度的建設(shè)、信息保護技術(shù)的建設(shè)以及安全等級評定，其中，安全等級評定需要專業(yè)的評測機構(gòu)對整個信息系統(tǒng)進行評測，包括：硬件設(shè)施、管理人員技術(shù)水平、計算機軟件等多個部分的綜合評定。信息保護技術(shù)需要管理人員能夠緊跟技術(shù)前沿，時刻保持自身的技術(shù)水平，同時在計算機軟件以及硬件設(shè)備等方面進行提升。安全管理制度則是信息系統(tǒng)日常管理的核心，安全管理制度是信息系統(tǒng)安全的底線，需要領(lǐng)導(dǎo)人員能夠從整體的角度出發(fā)，與基層系統(tǒng)管理人員進行積極溝通，了解管理工作中的細節(jié)和難點，從而制定出符合單位實情的制度條例[6]。

3.4 信息安全等級評測階段

如同二級以上包括二級的信息需要備案一樣，為了保證不浪費管理資源，二級以上（包括二級）的信息需要周期性地進行檢測，將需要重新進行安全等級劃分的信息進行檢測，按照檢測結(jié)果重新劃分安全等級，同時對其實施符合當下等級的保護。從安全等級的第二級開始具體的評測周期為：第二級，相關(guān)規(guī)定建議每兩年進行一次評測;第三級，根據(jù)相關(guān)規(guī)定，要求每年進行一次評測;第四級，根據(jù)相關(guān)規(guī)定，要求每半年進行一次評測;第五級，依照特殊安全需求進行評測。

信息安全等級評測是需要專業(yè)人員進行的，需要在當下將信息根據(jù)類型、重要程度進行重新劃分安全等級。因此，對評測人員的要求較高，在進行評測工作前，需要對評測人員的相關(guān)工作水平進行考評，防止因人為因素導(dǎo)致的評測結(jié)果錯誤。

3.5 信息安全檢查階段

信息安全檢查是針對現(xiàn)有的信息系統(tǒng)人員、制度、硬件設(shè)施基礎(chǔ)等進行梳理，將其中的安全隱患凸顯出來。在當前的信息系統(tǒng)的收集、分析、存儲、管理、發(fā)布等流程都有其具體的操作規(guī)范為操作人員標出“紅線”，但仍有因粗心、走神等問題導(dǎo)致的操作失誤。因此，梳理檢查時，應(yīng)是整個信息系統(tǒng)的自檢，從單位領(lǐng)導(dǎo)做起，一層抓一層，一級查一級，將所有的安全問題都能夠暴露出來進行整改。追責秉承的原則是“誰主管誰負責、誰操作誰負責、誰使用誰負責”，避免在日后的信息系統(tǒng)工作中再出現(xiàn)同類型的安全問題，保證重要信息的安全。

4? 結(jié)語

網(wǎng)絡(luò)安全等級防護是在專門的單位中進行的，但這項工作是與大眾息息相關(guān)的。因此，為了保證公民個人、社會各界以及國家的信息安全，相關(guān)研究人員應(yīng)積極研究保護技術(shù)和管理方案，讓重要信息得到更高質(zhì)量的保護。

參考文獻

[1] 魏帥嶺，閆國濤，李星，等.等級保護2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J].中國數(shù)字醫(yī)學(xué)，2021，16（4）：101-105.

[2] 袁慧.網(wǎng)絡(luò)安全等級保護2.0制度的研究和探討[J].信息與電腦：理論版，2020，32（1）：223-224.

[3] 陳旭壯.淺談滲透測試在網(wǎng)絡(luò)安全等級保護測評中的應(yīng)用[J].中國新通信，2020，22（5）：103-104.

[4] 趙文臣.基于信息安全的網(wǎng)絡(luò)安全等級保護實施方案設(shè)計研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：2-3.

[5] 任蕊.我國電子政務(wù)信息安全等級保護制度探討[D].北京：北京郵電大學(xué)，2017.

[6] 徐慧姣.網(wǎng)絡(luò)安全等級保護與其實施策略[J].通訊世界，2019，26（3）：86.