论文部分内容阅读
【摘要】 网络安全是国家信息安全的基础,同时也是国家现代化建设的前提。构建网络安全等级保护体系,并确保网络安全标准具有一定的适用性和可操作性,能够有效的避免网络安全漏洞,提升国家信息安全保护质量。本文在阐述网络安全等级保护必要性的同时,就当前国家网络安全等级保护中的问题进行分析,并指出网络安全等级保护2.0安全体系的构建策略。期望能提升网络安全保护质量,进而充分满足国家网络化、信息化发展的需要。
【关键词】 网络安全 等级保护 2.0安全體系 构建策略
互联网时代下,依托计算机网络系统进行信息化建设与管理已经成为企业生产经营的重要趋势,其有效的改变了企业业务开展模式,实现了生产、经营、决策、管理等环节的信息协调,对于企业生产效率、管理效率和服务水平具有较大影响。然而在网络业务开展中,受互联网自带风险性的影响,企业信息容易受到非法访问和恶意攻击,增加了企业经营的风险性。构建网络安全等级保护体系,进行等级保护已经成为网络信息安全保护的有效途径。
一、网络安全等级保护的必要性
1.1网络信息系统风险性较高
网络协议和硬件设备是信息系统安全保护的两个重要环节,然而从当前网络信息系统安全管理状况来看,较多企业的网络安全措施不够严密,一方面,企业在网络安全硬件配置上不够全面;另一方面,网络安全系统的软件代码存在缺陷。这些因素使得网络信息系统存在一定的安全漏洞,容易被攻击者研究和利用。譬如,美国东海岸DDoS攻击、2017年全球WannaCry勒索病毒等都严重损害了社会其他群体的利益。新时期,网络信息系系统在多个领域获得了广泛应用,但是与之而来的是信息泄露问题不断增加。现代企业亟需一套行之有效的安全保护方法,由此可见,进行网络安全等级保护很有必要。
1.2安全等级保护是国家信息安全的必然要求
信息安全等级保护是一套完整的安全保护体系,其不仅影响着现代企业的信息安全,更对我国现代化建设具有较大作用。我国从2017年开始实施《中华人民共和国网络安全法》,同时通过《国家网络空间安全战略》多国家信息安全进行宏观规划,在这些制度条款的支撑下,我国信息安全核心技术取得了较大发展。
等级保护制度2.0标准的内容更全,安全等级更高,信息管理效果更加凸显。其实现了网络信息系统基础设施安全的有效保护,并且顺应了国家信息化建设和安全管理的发展趋势,具有较大的现实意义。
二、国家网络安全等级保护中问题分析
2.1技术定级应用缺乏标准
智慧城市是我国城市化建设的重要趋势,在其发展中,现代信息技术得到了广泛应用。在一定程度上,其使得网络信息系统安全保护的范围有所扩大,需要进行安全保护新技术平台的开发和定级应用。然而在实践中,当前较多的网络信息系统沿用传统安全定级保护标准,这使得安全保护的范围仅仅局限于系统环境控制,影响了信息系统安全保护的系统性和全面性。现阶段,进行网络信息系统平台安全定级,并进行安全等级测评和保护势在必行。
2.2等级保护内容不够全面
传统网络安全等级保护中,人们将安全保护的过程分为定级、备案、安全建设与整改、等级测评监督检查五个环节。[2]新经济形态下,网络信息系统安全漏洞的攻击源逐渐增多,不论是黑客群体,还是敌对势力或霸权国家,其所带来的恶意访问和攻击都会对国家信息安全造成较大影响。目前,现已实施的等级保护制度已经难以满足国家安全保护需要,故而在新时期,还应进行网络安全风险评估、安全检查、通报预警和应急处理的全面规范,以此来确保等级保护内容的进一步丰富和完善。
2.3等级保护体系尚不健全
网络安全等级保护体系是当前网络信息系统安全管理的主要方式,在管理实践中,其需要系统、全面的安全保护体系进行保证。现阶段,我国网络安全等级保护体系尚不健全,要进一步提升其安全管理质量,还应加大安全等级保护的政策、标准、测评、技术和服务体系建设,从而为企业信息安全提供保证。
三、网络安全等级保护2.0安全体系的构建策略
3.1强化2.0安全体系标准建设
相对于传统网络安全管理,等级保护2.0安全体系不仅包含了定级指南和实施指南,而且对网络安全管理与策略的哟求剂型约束,确保管理条例的通用性。譬如,2.0安全体系标准不仅包含了云计算系统的安全拓展需要,而且在多个领域进行拓展,使得网络信息安全管理的内容更加全面。同时,2.0安全体系新标准对网络信息系统安全技术的应用进行内容归纳;现阶段,网络信息系统的安全技术被划分为四个层面,其分别为:物理与环境安全管理;网络与通信安全管理;设备与技术安全管理;应用与技术安全管理。此外,当前网络信息系统的安全评价指标也发生变化,实际评价中,安全制度与策略,管理结构与人员、设备与安全技术、应用和数据是2.0安全体系评价标准的重要内容,其实现了网络信息系统安全管理结构的清晰划分,有助于企业安全管理质量的进一步提升[3]。
3.2注重网络信任体系建设
网络ID身份认知是安全等级保护建设重要内容。在2.0安全等级保护体系中,为实现业务系统生产证书、身份认证的严格控制,应强化认证体系建设。现阶段,CA认证体系是较为可靠的一种安全认证体系,其能在统一管理用户信息的基础上,实现人们登录操作、网络接入操作的优化控制,确保信息管理和业务经营安全。此外,在业务系统访问过程中,CA认证服务体系为放着这提供了标准化、规范化的身份认证服务,从源头上降低了企业网络信息系统遭受恶意访问和攻击的频率。
3.3实现安全技术体系创新
技术创新是网络安全等级保护2.0安全体系构建的核心所在。在技术体系创新中,应注重以下要点:其一,强化身份认证,同时进行访问指令的安全审计,并做好恶意代码识别和防护工作,从而防止恶意入侵事件发生。其二,云计算平台在当前网络信息系统的应用不断深入,在其使用过程中,应以云平台为基础,优化安全防护体系,为网络信息安全创设合理有效的虚机环境。其三,对其信息管理服务和业务开展进行纵深防御,全面监测系统安全,实现网络信息安全的可视管理。
3.4加大安全管理和风险管理体系建设
安全管理体系建设中,还应是实现管理机构的优化创新,从管理策略、制度、流程、文件等要素进行全方位管理,确保网络信息系统安全管理有所依据。其次,应对专业机房、网路系统、设备线路等硬件要素进行管理,同时做好管理人员培训,提升其安全意识和管理技能操作能力。此外,依据安全事件应急演练,确保安全管理人员能够及时有效的处理突发事件。网络安全等级2.0体系中的风险管理强调多安全化和信息保护系统的合规性评估,同时,其要求编制严格的风险管理措施,在现有问题处理的同时,实现潜在风险的监控与防治。
四、结论
网络安全等级保护2.0安全体系建设对于国家信息安全具有重大影响。实践中,人们只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,进行2.0安全等级保护体系的规范建设,才能提升网络安全等级保护质量,进而满足当前社会发展的需要。
参 考 文 献
[1]傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018,No.212(8):16+19.
[2]何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019(3):9-14.
[3]赵晶晶.基于等级保护的网络安全建设之研究[J].网络安全技术与应用,2017(4):17-17.
【关键词】 网络安全 等级保护 2.0安全體系 构建策略
互联网时代下,依托计算机网络系统进行信息化建设与管理已经成为企业生产经营的重要趋势,其有效的改变了企业业务开展模式,实现了生产、经营、决策、管理等环节的信息协调,对于企业生产效率、管理效率和服务水平具有较大影响。然而在网络业务开展中,受互联网自带风险性的影响,企业信息容易受到非法访问和恶意攻击,增加了企业经营的风险性。构建网络安全等级保护体系,进行等级保护已经成为网络信息安全保护的有效途径。
一、网络安全等级保护的必要性
1.1网络信息系统风险性较高
网络协议和硬件设备是信息系统安全保护的两个重要环节,然而从当前网络信息系统安全管理状况来看,较多企业的网络安全措施不够严密,一方面,企业在网络安全硬件配置上不够全面;另一方面,网络安全系统的软件代码存在缺陷。这些因素使得网络信息系统存在一定的安全漏洞,容易被攻击者研究和利用。譬如,美国东海岸DDoS攻击、2017年全球WannaCry勒索病毒等都严重损害了社会其他群体的利益。新时期,网络信息系系统在多个领域获得了广泛应用,但是与之而来的是信息泄露问题不断增加。现代企业亟需一套行之有效的安全保护方法,由此可见,进行网络安全等级保护很有必要。
1.2安全等级保护是国家信息安全的必然要求
信息安全等级保护是一套完整的安全保护体系,其不仅影响着现代企业的信息安全,更对我国现代化建设具有较大作用。我国从2017年开始实施《中华人民共和国网络安全法》,同时通过《国家网络空间安全战略》多国家信息安全进行宏观规划,在这些制度条款的支撑下,我国信息安全核心技术取得了较大发展。
等级保护制度2.0标准的内容更全,安全等级更高,信息管理效果更加凸显。其实现了网络信息系统基础设施安全的有效保护,并且顺应了国家信息化建设和安全管理的发展趋势,具有较大的现实意义。
二、国家网络安全等级保护中问题分析
2.1技术定级应用缺乏标准
智慧城市是我国城市化建设的重要趋势,在其发展中,现代信息技术得到了广泛应用。在一定程度上,其使得网络信息系统安全保护的范围有所扩大,需要进行安全保护新技术平台的开发和定级应用。然而在实践中,当前较多的网络信息系统沿用传统安全定级保护标准,这使得安全保护的范围仅仅局限于系统环境控制,影响了信息系统安全保护的系统性和全面性。现阶段,进行网络信息系统平台安全定级,并进行安全等级测评和保护势在必行。
2.2等级保护内容不够全面
传统网络安全等级保护中,人们将安全保护的过程分为定级、备案、安全建设与整改、等级测评监督检查五个环节。[2]新经济形态下,网络信息系统安全漏洞的攻击源逐渐增多,不论是黑客群体,还是敌对势力或霸权国家,其所带来的恶意访问和攻击都会对国家信息安全造成较大影响。目前,现已实施的等级保护制度已经难以满足国家安全保护需要,故而在新时期,还应进行网络安全风险评估、安全检查、通报预警和应急处理的全面规范,以此来确保等级保护内容的进一步丰富和完善。
2.3等级保护体系尚不健全
网络安全等级保护体系是当前网络信息系统安全管理的主要方式,在管理实践中,其需要系统、全面的安全保护体系进行保证。现阶段,我国网络安全等级保护体系尚不健全,要进一步提升其安全管理质量,还应加大安全等级保护的政策、标准、测评、技术和服务体系建设,从而为企业信息安全提供保证。
三、网络安全等级保护2.0安全体系的构建策略
3.1强化2.0安全体系标准建设
相对于传统网络安全管理,等级保护2.0安全体系不仅包含了定级指南和实施指南,而且对网络安全管理与策略的哟求剂型约束,确保管理条例的通用性。譬如,2.0安全体系标准不仅包含了云计算系统的安全拓展需要,而且在多个领域进行拓展,使得网络信息安全管理的内容更加全面。同时,2.0安全体系新标准对网络信息系统安全技术的应用进行内容归纳;现阶段,网络信息系统的安全技术被划分为四个层面,其分别为:物理与环境安全管理;网络与通信安全管理;设备与技术安全管理;应用与技术安全管理。此外,当前网络信息系统的安全评价指标也发生变化,实际评价中,安全制度与策略,管理结构与人员、设备与安全技术、应用和数据是2.0安全体系评价标准的重要内容,其实现了网络信息系统安全管理结构的清晰划分,有助于企业安全管理质量的进一步提升[3]。
3.2注重网络信任体系建设
网络ID身份认知是安全等级保护建设重要内容。在2.0安全等级保护体系中,为实现业务系统生产证书、身份认证的严格控制,应强化认证体系建设。现阶段,CA认证体系是较为可靠的一种安全认证体系,其能在统一管理用户信息的基础上,实现人们登录操作、网络接入操作的优化控制,确保信息管理和业务经营安全。此外,在业务系统访问过程中,CA认证服务体系为放着这提供了标准化、规范化的身份认证服务,从源头上降低了企业网络信息系统遭受恶意访问和攻击的频率。
3.3实现安全技术体系创新
技术创新是网络安全等级保护2.0安全体系构建的核心所在。在技术体系创新中,应注重以下要点:其一,强化身份认证,同时进行访问指令的安全审计,并做好恶意代码识别和防护工作,从而防止恶意入侵事件发生。其二,云计算平台在当前网络信息系统的应用不断深入,在其使用过程中,应以云平台为基础,优化安全防护体系,为网络信息安全创设合理有效的虚机环境。其三,对其信息管理服务和业务开展进行纵深防御,全面监测系统安全,实现网络信息安全的可视管理。
3.4加大安全管理和风险管理体系建设
安全管理体系建设中,还应是实现管理机构的优化创新,从管理策略、制度、流程、文件等要素进行全方位管理,确保网络信息系统安全管理有所依据。其次,应对专业机房、网路系统、设备线路等硬件要素进行管理,同时做好管理人员培训,提升其安全意识和管理技能操作能力。此外,依据安全事件应急演练,确保安全管理人员能够及时有效的处理突发事件。网络安全等级2.0体系中的风险管理强调多安全化和信息保护系统的合规性评估,同时,其要求编制严格的风险管理措施,在现有问题处理的同时,实现潜在风险的监控与防治。
四、结论
网络安全等级保护2.0安全体系建设对于国家信息安全具有重大影响。实践中,人们只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,进行2.0安全等级保护体系的规范建设,才能提升网络安全等级保护质量,进而满足当前社会发展的需要。
参 考 文 献
[1]傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018,No.212(8):16+19.
[2]何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019(3):9-14.
[3]赵晶晶.基于等级保护的网络安全建设之研究[J].网络安全技术与应用,2017(4):17-17.