李明公安部信息安全等级保护评估中心主任助理
北京4月26日电(周小红)“4·29首都网络安全日”前夕,公安部信息安全等级保护评估中心主任助理李明在接受专访时表示,当前网络安全形势依然严峻,云计算、物联网、大数据、智能制造等新技术、新应用为网络安全带来新的挑战,网络安全等级保护制度亟需深入贯彻落实。
新华网:如何理解网络安全等级保护制度?
李明:我国网络安全等级保护制度由最初的计算机信息系统安全等级保护(1994年)逐步演进为信息安全等级保护(2007年)和网络安全等级保护(2016年),至今已有近三十年的发展历史。
可以从以下四方面对其进行了解:
首先,从制度定位看,网络安全等级保护制度是有关文件和《网络安全法》确定的网络安全领域基本制度。也就是说,无论网络运营者的单位性质是政府机关、事业单位或互联网企业,只要是在中华人民共和国境内建设、运营、维护、使用的网络都必须开展网络安全等级保护工作(个人及家庭自建自用的网络除外)。
其次,从制度内涵看,网络安全等级保护是对网络进行分等级保护、分等级监管。根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益造成的危害程度等,网络分五个安全保护等级。五个级别中第一级最低,第五级最高。
再次,从制度落地看,网络安全等级保护主要包括5个规定动作:定级、备案、安全建设整改、等级测评和监督管理。网络运营者应当依法开展网络定级、备案、安全建设整改和等级测评等工作。公安部门主管网络安全等级保护工作,依法对网络安全等级保护工作开展监督管理,按照级别对网络实施不同强度的监管。
最后,从制度创新看,我国等级保护制度创造了五个“世界第一”:第一个以立法形式确立分级保护制度,第一个提出信息系统安全保护,第一个提出分五级保护,第一个提出从业务信息和系统服务两个维度定级,第一个提出全工作流程闭环防护。
实践证明,通过在全国贯彻落实网络安全等级保护制度,我们整改了一大批安全问题和隐患,显著地提升了我国的整体网络安全防护水平。但我们也要清醒地看到,当前的网络安全形势依然严峻,云计算、物联网、大数据、智能制造等新技术新应用为网络安全带来新的挑战,网络安全等级保护制度亟需贯彻落实。
新华网:网络运营者如何贯彻落实网络安全等级保护制度?
李明:网络运营者应在网络建设和运营过程中落实《网络安全法》要求的“三同步”原则,即同步规划、同步建设、同步使用。其次,要采用新理念新举措,确保网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实。
网络运营者应按照“谁主管谁负责、谁运营谁负责”原则,明确安全保护工作责任,建立网络安全等级保护工作责任制;同时应全面梳理本单位各类网络,特别是云计算、物联网等新技术新应用的情况,合理划分等级保护对象,科学确定安全保护等级。
网络运营者还应按照“一个中心、三重防护”要求,优化网络结构,控制应用和数据访问,积极应用可信技术和密码技术,加强网络安全管理,确保各项管理措施有效落实,加强供应链安全管理。
网络运营者应定期测评,查找可能存在的网络安全问题和隐患。
新华网:为什么要定期开展网络安全等级保护测评工作?
李明:网络安全等级保护测评简称“等级测评”,是指等级测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的一项专业技术活动。等级测评结果中既包含局部细节信息,如某一台设备的某一个安全指标的符合性情况;也包含整体评价,如等级保护对象存在的主要安全问题和等级测评结论。
等级测评在整个等级保护工作中起到承上启下的作用。对于网络运营者来说,等级测评通过对采取的安全措施进行测试和评估,可以有效检验前述环节的网络安全建设工作成效,准确评判当前的整体网络安全保护能力;对于后续环节,等级测评能够明确当前网络安全保护水平与国家要求之间的差距,找出潜在的网络安全问题和隐患,为网络运营者下一步的网络安全工作指明方向和目标。同时,等级测评结果也可以为网络安全管理部门开展监督管理工作提供重要的监管数据。
网络运营者应依据有关标准规范,定期对已定级备案网络的安全性进行等级测评,查找可能存在的网络安全问题和隐患,及时进行安全整改。尤其是第三级以上网络运营者,应委托符合国家有关规定的等级测评机构,每年开展一次等级测评,新建第三级以上网络应在通过等级测评后投入运行。
新华网:新形势下如何应对业界对网络安全专业人才的旺盛需求?
李明:随着《网络安全法》的正式颁布执行,近些年来业界对网络安全专业人才的需求迎来了一个爆发式增长。与此同时,现有的人才培养体系逐步显现一定的局限性,如数量少、路径固化、战训脱节等等,我们急需建立一个层次化、规模化的分类分级人才培养体系,同时要注意打通院校、专业培训机构与网络运营者(用人单位)之间的割裂,院校与专业培训机构课程相衔接,网络安全知识与行业领域知识相融合,专业知识与职业技能相结合,联手为网络运营者提供知识与技能双就绪的网络安全专业人才。