网络安全管理与网络安全等级保护制度

网络安全管理与网络安全等级保护制度

王瑞奎 张子卿

大港油田数智技术公司 天津市 300280

摘要：随着信息科技的飞速发展，网络走进千家万户，其应用领域越来越广泛，对社会经济发展以及人们日常生活的影响也越来越重要。网络在提供便利生活的同时，也有着巨大的安全隐患。因此，如何创新网络技术，建立健全网络安全等级制度以及加强网络安全管理是我国网络管理的核心所在。文章主要简述了网络安全等级保护制度，提出网络安全管理的对策，以期为防控网络安全风险、营造绿色网络环境提供参考。

关键词：网络安全管理；安全等级；保护制度

1、当前网络安全管理及等级保护制度面临的问题

    1.1网络安全等级保护制度执行不到位

目前企业中网络安全等级保护制度执行不到位的情况普遍存在，主要体现在两个方面，一是系统建设过程中，规划设计阶段未严格按照等保要求进行等保定级，或定级不规范，为逃避等保测评和等保备案工作故意降低系统等级。二是在系统运行阶段，未能按照等保要求定期开展等保测评工作，初次等保测评后出于节约经费、减少管理报备工作等多方面考虑，很多企业未能按照要求进行复测。为系统安全稳定运行留下诸多隐患。

    1.2网络安全管理制度不完善及管理流程运行不顺畅

在安全管理制度方面，很多企业缺少完整的网络安全制度体系，且建立制度体系时缺乏合理性和实用性的科学论证。另外很多企业未能持续更新完善已有的制度体系，很多制度过于陈旧已无法满足管理需要，又不能及时根据企业自身实际情况有针对性进行修改完善；在安全管理机构方面，很多企业未配备专职的网络安全团队。不能对本企业系统的重要操作、重要活动等进行有效的审计和检查，对于已建立审批程序和制度的企业也存在未定期审查审批事项、更新审批项目、部门、权限和审批人，未对审批过程进行有效记录并存档等问题。未聘请信息安全专家作为安全顾问指导信息安全建设等问题；在系统建设管理层面，存在缺乏对系统定级结果的科学论证，缺乏对系统验收、交付等控制方法和人员行为的书面规定等问题；在系统运维管理层面，存在未按照网络安全等级保护要求定期进行系统漏洞扫描、安全日志及审计数据分析，未有效组织内部应急预案的培训及演练等问题。

    1.3数据安全问题越来越严峻

国家、社会以及企业当前对于信息技术应用水平逐渐成熟，数据已逐渐成为重要的战略资源。如今大数据时代已经到来，信息化的快速发展离不开数据资源的有力支撑。随着互联网的迅速发展以及人们生活和生产等各种活动与信息技术的迅速融合，全球数据信息呈现爆炸式增长，对人们的生产生活、经济发展和社会进步产生了重大影响。基于当前新的发展形势，以及网络安全的严峻形势。国家正式出台了《数据安全法》，并在积极制定《网络数据安全管理条例》等配套文件。由此可见数据安全问题越来越重要且给各个企业网络安全管理提出了新的挑战，也提出了更高的要求。除制度和管理问题外，目前企业数据安全方面主要问题还集中体现在数据安全级备份恢复层面，存在冗余设备配备不够、数据备份空间不足、数据存储保密措施不全面等问题。

2、网络安全管理与网络安全等级保护制度建议

    2.1加强网络安全组织管理

为了更好对企业的网络安全环境进行规划和控制，建议增设独立的网络安全管理部门，从而更好的对企业进行信息安全管理和战略部署。在很多企业中，网络安全管理部门的存在形同虚设，或者根本没有设置，而作为企业中对于网络安全最为重要的部门，网络安全管理部门应该获得足够的重视以及足够的管理授权，并在实际的网络安全管理工作中承担更多的实际职能。比如推动内部安全互相监督、安全绩效考核等，同时，鼓励企业内部各部门向网络安全团队提出网络安全建议，同时设置部门安全协调员，促进跨部门的协作等。好的团队需要一个优秀的管理者，管理者应该有坚定的信念，执着的追求，对目标的坚持，才能在困难中坚持把安全工作做到位。除了这些特点之外，至少还要做到以下几点。第一，努力让团队成员认可网络安全工作，使其相信自己的价值的同时认可其在部门内部的价值，这样才能激发每个员工的最大潜力和最强的主观能动性。第二，通过各种量化措施，表现出安全团队的价值，比如设置合理的安全考核指标和安全监测指标，体现网络安全团队主动发现风险并改善的能力以及团队绩效的持续改善。第三，主动汇报。主动与领导沟通，获取领导的支持，能否获得管理层领导的支持是建立优秀安全团队的关键，也是网络安全团队领头人最需要做的工作之一。确认管理者之后，需要对安全团队的组织架构进行合理的规划。网络安全团队的整体组织架构分为三层，首先是网络安全管理层，其次是各管理部门的负责人，最后是负责相应安全管理工作的工作人员，在部门的划分上需具有足够的代表性。另外，网络安全部门应该定期召开会议，讨论企业的网络安全总体规划方向，并组织和编写内部网络安全管理制度。

    2.2加强网络安全防控体系建设

有了专业性较强的人员队伍，还要加强信息系统安全技术体系建设，建立完善本部门的网络安全风险预案。企业应严格按照网络安全等级保护各项要求，从物理安全设计、网络安全设计、主机安全设计、应用安全设计及数据安全设计等五个方面进行信息系统安全技术体系建设，内容要涵盖对机房的建设运维、办公环境、设备和介质、通信网络、区网边界、服务器、工作站、应用系统、应用平台、数据备份与恢复等方面的要求和根据企业实际情况需要规划设计的其他方面要求。分析自身存在的信息安全风险点，制定符合自身实际情况、操作性强的网络安全风险防控预案，并定期开展信息安全风险防控预案的演练。企业在网络安全防控体系建设过程中，需要业务部门为网络安全管理过程及内容提供指导。确定需要网络安全防控的区域、类别及途径。此外，要确保企业对于网络安全事件的应对能力，一方面需要进行风险预警，对企业内部所提供的网络资源进行合理的管理和监控，保证网络安全管理团队能够在第一时间收到异常资源使用的提醒。另一方面也需要定期开展网络安全风险应对及网络安全事件应急演练，提高临场应变能力，应急预案和应对措施能真正发挥应有的作用，在发生问题的时候能够减少响应时间，从而真正的减少网络安全事件发生时企业的损失。

    2.3持续开展网络安全等级保护测评

为保证信息系统安全稳定运行，数据合法合规获取和利用，企业应持续开展网络安全等级保护测评工作，按照全员参与的原则，网络安全等级保护测评应该针对企业的所有员工。通过宣传、培训和教育达到以下三个目的：提升员工网络安全意识、确保员工理解自己的安全职责及保证员工掌握必要的网络安全方面的专业技能和理论。为此，企业应持续开展网络安全等级保护测评工作，并持续保障所需的专项资金。

结语：面对当今社会如此复杂的网络安全形势，在我国迅速实施网络安全等级保护体系显得尤为重要。目前，无论是国家、企业还是个人，都应不断学习和了解网络安全等级防护体系的相关知识，提高网络安全防护意识和能力。同时，中国应建立一些专业的网络安全机构，进一步完善与网络安全相关的政策、法律法规。各有关部门还应加强对网络安全的监督管理，确保各企业有效实施网络安全等级保护制度，加强自身网络安全管理及相关体系建设，避免出现网络安全问题。

参考文献：

[1]刘宁.网络安全管理与网络安全等级保护制度探讨[J].中国宽带,2021,000(008):P.28-28.

[2]张俭.网络安全管理与网络安全等级保护制度探讨[J].电脑知识与技术：学术版, 2020,16(5):2.

[3]顾珊菁.网络安全管理与网络安全等级保护制度研析[J].中国科技期刊数据库 工业A,2023(4):4.

[4]吴蒙.网络安全管理与网络安全等级保护制度研究[J].网络安全技术与应用,2022(6):3.