公安部李明:新技術(shù)新應用倒逼網(wǎng)絡(luò)安全等級保護制度深入貫徹落實
“4·29首都網(wǎng)絡(luò)安全日”前夕,公安部信息安全等級保護評估中心主任助理李明在接受專訪時表示,當前網(wǎng)絡(luò)安全形勢依然嚴峻,云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)、新應用為網(wǎng)絡(luò)安全帶來新的挑戰(zhàn),網(wǎng)絡(luò)安全等級保護制度亟需深入貫徹落實。
新華網(wǎng):如何理解網(wǎng)絡(luò)安全等級保護制度?
李明:我國網(wǎng)絡(luò)安全等級保護制度由最初的計算機信息系統(tǒng)安全等級保護(1994年)逐步演進為信息安全等級保護(2007年)和網(wǎng)絡(luò)安全等級保護(2016年),至今已有近三十年的發(fā)展歷史。
可以從以下四方面對其進行了解:
首先,從制度定位看,網(wǎng)絡(luò)安全等級保護制度是有關(guān)文件和《網(wǎng)絡(luò)安全法》確定的網(wǎng)絡(luò)安全領(lǐng)域基本制度。也就是說,無論網(wǎng)絡(luò)運營者的單位性質(zhì)是政府機關(guān)、事業(yè)單位或互聯(lián)網(wǎng)企業(yè),只要是在中華人民共和國境內(nèi)建設(shè)、運營、維護、使用的網(wǎng)絡(luò)都必須開展網(wǎng)絡(luò)安全等級保護工作(個人及家庭自建自用的網(wǎng)絡(luò)除外)。
其次,從制度內(nèi)涵看,網(wǎng)絡(luò)安全等級保護是對網(wǎng)絡(luò)進行分等級保護、分等級監(jiān)管。根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益造成的危害程度等,網(wǎng)絡(luò)分五個安全保護等級。五個級別中第一級最低,第五級最高。
再次,從制度落地看,網(wǎng)絡(luò)安全等級保護主要包括5個規(guī)定動作:定級、備案、安全建設(shè)整改、等級測評和監(jiān)督管理。網(wǎng)絡(luò)運營者應當依法開展網(wǎng)絡(luò)定級、備案、安全建設(shè)整改和等級測評等工作。公安部門主管網(wǎng)絡(luò)安全等級保護工作,依法對網(wǎng)絡(luò)安全等級保護工作開展監(jiān)督管理,按照級別對網(wǎng)絡(luò)實施不同強度的監(jiān)管。
最后,從制度創(chuàng)新看,我國等級保護制度創(chuàng)造了五個“世界第一”:第一個以立法形式確立分級保護制度,第一個提出信息系統(tǒng)安全保護,第一個提出分五級保護,第一個提出從業(yè)務信息和系統(tǒng)服務兩個維度定級,第一個提出全工作流程閉環(huán)防護。
實踐證明,通過在全國貫徹落實網(wǎng)絡(luò)安全等級保護制度,我們整改了一大批安全問題和隱患,顯著地提升了我國的整體網(wǎng)絡(luò)安全防護水平。但我們也要清醒地看到,當前的網(wǎng)絡(luò)安全形勢依然嚴峻,云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)新應用為網(wǎng)絡(luò)安全帶來新的挑戰(zhàn),網(wǎng)絡(luò)安全等級保護制度亟需貫徹落實。
新華網(wǎng):網(wǎng)絡(luò)運營者如何貫徹落實網(wǎng)絡(luò)安全等級保護制度?
李明:網(wǎng)絡(luò)運營者應在網(wǎng)絡(luò)建設(shè)和運營過程中落實《網(wǎng)絡(luò)安全法》要求的“三同步”原則,即同步規(guī)劃、同步建設(shè)、同步使用。其次,要采用新理念新舉措,確保網(wǎng)絡(luò)安全保護“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施得到有效落實。
網(wǎng)絡(luò)運營者應按照“誰主管誰負責、誰運營誰負責”原則,明確安全保護工作責任,建立網(wǎng)絡(luò)安全等級保護工作責任制;同時應全面梳理本單位各類網(wǎng)絡(luò),特別是云計算、物聯(lián)網(wǎng)等新技術(shù)新應用的情況,合理劃分等級保護對象,科學確定安全保護等級。
網(wǎng)絡(luò)運營者還應按照“一個中心、三重防護”要求,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),控制應用和數(shù)據(jù)訪問,積極應用可信技術(shù)和密碼技術(shù),加強網(wǎng)絡(luò)安全管理,確保各項管理措施有效落實,加強供應鏈安全管理。
網(wǎng)絡(luò)運營者應定期測評,查找可能存在的網(wǎng)絡(luò)安全問題和隱患。
新華網(wǎng):為什么要定期開展網(wǎng)絡(luò)安全等級保護測評工作?
李明:網(wǎng)絡(luò)安全等級保護測評簡稱“等級測評”,是指等級測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標準,對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護狀況進行檢測評估的一項專業(yè)技術(shù)活動。等級測評結(jié)果中既包含局部細節(jié)信息,如某一臺設(shè)備的某一個安全指標的符合性情況;也包含整體評價,如等級保護對象存在的主要安全問題和等級測評結(jié)論。
等級測評在整個等級保護工作中起到承上啟下的作用。對于網(wǎng)絡(luò)運營者來說,等級測評通過對采取的安全措施進行測試和評估,可以有效檢驗前述環(huán)節(jié)的網(wǎng)絡(luò)安全建設(shè)工作成效,準確評判當前的整體網(wǎng)絡(luò)安全保護能力;對于后續(xù)環(huán)節(jié),等級測評能夠明確當前網(wǎng)絡(luò)安全保護水平與國家要求之間的差距,找出潛在的網(wǎng)絡(luò)安全問題和隱患,為網(wǎng)絡(luò)運營者下一步的網(wǎng)絡(luò)安全工作指明方向和目標。同時,等級測評結(jié)果也可以為網(wǎng)絡(luò)安全管理部門開展監(jiān)督管理工作提供重要的監(jiān)管數(shù)據(jù)。
網(wǎng)絡(luò)運營者應依據(jù)有關(guān)標準規(guī)范,定期對已定級備案網(wǎng)絡(luò)的安全性進行等級測評,查找可能存在的網(wǎng)絡(luò)安全問題和隱患,及時進行安全整改。尤其是第三級以上網(wǎng)絡(luò)運營者,應委托符合國家有關(guān)規(guī)定的等級測評機構(gòu),每年開展一次等級測評,新建第三級以上網(wǎng)絡(luò)應在通過等級測評后投入運行。
新華網(wǎng):新形勢下如何應對業(yè)界對網(wǎng)絡(luò)安全專業(yè)人才的旺盛需求?
李明:隨著《網(wǎng)絡(luò)安全法》的正式頒布執(zhí)行,近些年來業(yè)界對網(wǎng)絡(luò)安全專業(yè)人才的需求迎來了一個爆發(fā)式增長。與此同時,現(xiàn)有的人才培養(yǎng)體系逐步顯現(xiàn)一定的局限性,如數(shù)量少、路徑固化、戰(zhàn)訓脫節(jié)等等,我們急需建立一個層次化、規(guī)?;姆诸惙旨壢瞬排囵B(yǎng)體系,同時要注意打通院校、專業(yè)培訓機構(gòu)與網(wǎng)絡(luò)運營者(用人單位)之間的割裂,院校與專業(yè)培訓機構(gòu)課程相銜接,網(wǎng)絡(luò)安全知識與行業(yè)領(lǐng)域知識相融合,專業(yè)知識與職業(yè)技能相結(jié)合,聯(lián)手為網(wǎng)絡(luò)運營者提供知識與技能雙就緒的網(wǎng)絡(luò)安全專業(yè)人才。