在2010年等級保護1.0時代關于等級保護培訓資料里這樣描述強制實施等級保護制度的原因:建立和落實信息安全等級保護制度是形勢所迫、國情所需。隨著我國信息化進程的全面加快,全社會特別是重要行業、重要領域對基礎信息網絡和重要信息系統的依賴程度越來越高,基礎信息網絡和重要信息系統業已成為國家關鍵基礎設施,其安全性直接關系到國家安全、國家利益、社會穩定和人民群眾的切身利益。但是,我國基礎信息網絡和重要信息系統安全面臨的形勢十分嚴峻。
強制實施等級保護制度是信息安全形勢所迫,一是來自境內外敵對勢力的入侵、攻擊、破壞越來越嚴重;二是針對基礎信息網絡和重要信息系統的違法犯罪持續上升。
強制實施等級保護制度是國情所需,一是基礎信息網絡和重要信息系統安全隱患嚴重;二是我國的信息安全保障工作基礎還很薄弱。
到2.0時代形勢所迫、國情所需這個境況依然未改變,隨著世界網絡安全的錯綜復雜,這點其實更加明顯與重要了。另外,我國高層領導更加重視網絡安全,等級保護制度上位法從147號令也上升到了《網絡安全法》,網絡安全等級保護制度成為我國網絡安全工作的全面性基本政策。
為什么要強制實行網絡安全等級保護制度
建立和落實網絡安全等級保護制度是形勢所迫、國情所需。隨著我國信息化進程的全面加快,全社會特別是重要行業、重要領域對基礎信息網絡和重要信息系統的依賴程度越來越高,基礎信息網絡和重要信息系統業已成為國家關鍵信息基礎設施,其安全性直接關系到國家安全、公共安全、社會公眾利益。
可以預見,我國關鍵信息基礎設施如果發生安全故障,將嚴重影響其保障服務的順利進行:如果遭遇網絡入侵攻擊,將導致有關國家重要數據或敏感信息被竊取、被篡改,或系統不能正常運行;如果網站受到攻擊,將致使政府門戶網站和重點新聞網站訪問被中斷、頁面被篡改,甚至系統癱瘓,對我國社會秩序、公共利益等造成嚴重影響。
關鍵信息基礎設施一旦出現大的網絡安全問題,不僅影響本單位、本行業,還直接威脅國家安全、社會穩定、經濟發展。因此,實施網絡安全等級保護,將網絡根據其重要程度和遭受破壞后的危害性進行分級,突出保護的重點,已成為各級領導、各部門及全社會的共識。
國內外形勢和國情現狀決定了我國必須盡快建立一個適合國情的網絡安全基本制度,突出重點,保護重點,統籌監管,保障網絡基礎設施安全、網絡運行安全和數據安全,維護國家安全。
網絡安全等級保護制度是從國家層面出發的,那么在我國高層領導自然是應當重視的,事實上無論過去的還是現在的國家高層領導對網絡安全工作都是高度重視的。特別是習近平總書記上任以來,同時伴隨著《網絡安全法》的出臺,我國的網絡空間安全也上升到了主權安全的高度,習近平總書記對網絡安全方面實行網絡安全等級保護制度的落實,給出了明確的指示,明確了我國強制實行網絡安全等級保護制度的必然要求。
那么接下來,我們一起通過學習,再次領悟習總書記對網絡空間安全的高度重視的精神。
實施網絡安全等級保護制度
是落實習近平總書記指示的必然要求
習近平總書記明確指出,“要清醒認識我們面臨的威脅,搞清楚哪些是潛在的,哪些是現實的;哪些可能變成真正的攻擊,哪些可以通過政治經濟外交等手段予以化解;哪些需要密切監視防患于未然,哪些必須全力予以打擊;哪些可能造成不可彌補的損失,哪些損失可以容忍,減少不計成本的過度防范”。當前,我們要堅決按照習近平總書記和黨中央對等級保護工作作出的新指示、提出的新要求,認清威脅和隱患,采取科學的方法和措施,堅定不移地貫徹實施國家網絡安全等級保護制度,科學有效地維護國家關鍵信息基礎設施安全。
一是要充分認識等級保護制度在新時期國家網絡安全保障中的基礎性地位。等級保護制度并不是我國獨創的,而是我國長期跟蹤、研究、借鑒美國關鍵信息基礎設施保護的法律、政策、戰略和經驗,以及關鍵信息基礎設施分級、分類保護的科學方法,結合我國國情,創造性地構建并實施的國家網絡安全等級保護制度。黨中央和國務院將這項工作交給了公安部等四部門,公安部作為執法機關牽頭組織開展這項工作,體現了等級保護工作的極端重要性和任務的艱巨性、繁重性,體現了黨中央和國務院對這項工作的高度重視。
二是要進一步完善和深化等級保護制度。對于傳統的網絡和信息系統,我們有了開展等級保護工作的方法和經驗。隨著科技和信息化的快速發展,出現了云計算、物聯網、移動互聯網、大數據、工控系統、位置智能服務、人工智能等新技術、新應用。近年來,在中央及有關部委出臺的網絡安全政策文件中,明確要求完善等級保護制度、深入開展等級保護工作。公安部正在會同有關部門研究完善等級保護法律政策,并組織有關研究機構和網絡安全企業制定云計算、物聯網、移動互聯網、工控系統、大數據的等級保護標準,為各地區、各部門深入開展等級保護工作提供新的政策、標準保障。在此基礎上,公安部將會同有關部門,在專家和網絡安全企業的大力支持下,深入研究和完善網絡安全等級保護制度,加快推進等級保護工作。
三是突出重點,保護核心系統和大數據安全。我國47個重點行業主管部門,要按照公安部、國家發改委、財政部三部委聯合印發的《關于加強國家級重要信息系統安全保障工作有關事項的通知》要求,研究確定本行業國家級重要信息系統的安全保護政策和具體措施。276個國家級重要信息系統所屬單位,要全面深入開展網絡安全等級保護工作,全面調查和掌握本部門、本行業網絡和信息系統底數、安全狀況及網絡安全工作情況,落實網絡安全與信息化建設“同步規劃、同步設計、同步實施”的“三同步”要求。以等級保護工作為抓手,深入開展安全監測、通報預警、災難備份、技術檢測和應急保障等重點工作,落實本單位網絡安全責任,加強對技術支持單位、產品提供商、服務商的安全要求,不斷提高本部門網絡安全綜合保障能力。
四是加強監督檢查和等級測評。各級公安機關要按照習近平總書記等中央領導的指示精神及公安部、國家發改委、財政部三部委文件的要求,會同有關部門,每年對第三級以上重要信息系統開展一次重點檢查,及時查找問題和隱患并督促整改。同時,各級公安機關要將重要信息系統、政府網站和重點互聯網網站納入重點監管范圍,開展執法檢查,督促其落實網絡安全等級保護要求。
網絡安全等級保護制度是充分研究借鑒西方信息安全有關法律政策基礎上,結合我國的國情取長補短制定的具有比肩國際的創新性的網絡安全管理制度。那么這么先進的制度,能夠為我們解決什么問題呢?在接下來的文字里,你將解讀到有關實施網絡安全等級保護制度能解決什么問題,這也是很多網絡運營者或網絡系統責任主體單位最關心的另一個問題了。
