嘉賓介紹
李明
公安部信息安全等級保護評估中心主任助理
北京4月26日電(周小紅)“4·29首都網絡安全日”前夕,公安部信息安全等級保護評估中心主任助理李明在接受專訪時表示,當前網絡安全形勢依然嚴峻,雲計算、物聯網、大數據、智能制造等新技術、新應用爲網絡安全帶來新的挑戰,網絡安全等級保護制度亟需深入貫徹落實。
新華網:如何理解網絡安全等級保護制度?
李明:我國網絡安全等級保護制度由最初的計算機信息系統安全等級保護(1994年)逐步演進爲信息安全等級保護(2007年)和網絡安全等級保護(2016年),至今已有近三十年的發展曆史。
可以從以下四方面對其進行了解:
首先,從制度定位看,網絡安全等級保護制度是有關文件和《網絡安全法》确定的網絡安全領域基本制度。也就是說,無論網絡運營者的單位性質是政府機關、 事業單位或互聯網企業,隻要是在中華人民共和國境内建設、運營、維護、使用的網絡都必須開展網絡安全等級保護工作(個人及家庭自建自用的網絡除外)。
其次,從制度内涵看,網絡安全等級保護是對網絡進行分等級保護、分等級監管。根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、洩露、丢失、損毀後,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益造成的危害程度等,網絡分五個安全保護等級。五個級别中第一級最低,第五級最高。
再次,從制度落地看,網絡安全等級保護主要包括5個規定動作:定級、備案、安全建設整改、等級測評和監督管理。 網絡運營者應當依法開展網絡定級、備案、安全建設整改和等級測評等工作。公安部門主管網絡安全等級保護工作,依法對網絡安全等級保護工作開展監督管理, 按照級别對網絡實施不同強度的監管。
最後,從制度創新看,我國等級保護制度創造了五個“世界第一”:第一個以立法形式确立分級保護制度, 第一個提出信息系統安全保護,第一個提出分五級保護, 第一個提出從業務信息和系統服務兩個維度定級,第一個提出全工作流程閉環防護。
實踐證明,通過在全國貫徹落實網絡安全等級保護制度,我們整改了一大批安全問題和隐患,顯著地提升了我國的整體網絡安全防護水平。但我們也要清醒地看到,當前的網絡安全形勢依然嚴峻,雲計算、物聯網、大數據、智能制造等新技術新應用爲網絡安全帶來新的挑戰,網絡安全等級保護制度亟需貫徹落實。
新華網:網絡運營者如何貫徹落實網絡安全等級保護制度?
李明:網絡運營者應在網絡建設和運營過程中落實《網絡安全法》要求的“三同步”原則,即同步規劃、同步建設、同步使用。 其次,要采用新理念新舉措,确保網絡安全保護“實戰化、體系化、常态化”和“動态防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”的“三化六防”措施得 到有效落實。
網絡運營者應按照“誰主管誰負責、誰運營誰負責”原則,明确安全保護工作責任,建立網絡安全等級保護工作責任制; 同時應全面梳理本單位各類網絡,特别是雲計算、物聯網等新技術新應用的情況,合理劃分等級保護對象,科學确定安全保護等級。
網絡運營者還應按照“一個中心、三重防護”要求,優化網絡結構,控制應用和數據訪問,積極應用可信技術和密碼技術,加強網絡安全管理,确保各項管理措施有效落實,加強供應鏈安全管理。
網絡運營者應定期測評,查找可能存在的網絡安全問題和隐患。
新華網:爲什麽要定期開展網絡安全等級保護測評工作?
李明:網絡安全等級保護測評簡稱“等級測評”,是指等級測評機構依據國家網絡安全等級保護制度規定,按照有關管理規範和技術标準,對非涉及國家秘密的網絡安全等級保護狀況進行檢測評估的一項專業技術活動。等級測評結果中既包含局部細節信息,如某一台設備的某一個安全指标的符合性情況;也包含整體評價,如等級保護對象存在的主要安全問題和等級測評結論。
等級測評在整個等級保護工作中起到承上啓下的作用。對于網絡運營者來說,等級測評通過對采取的安全措施進行測試和評估,可以有效檢驗前述環節的網絡安全建設工作成效,準确評判當前的整體網絡安全保護能力;對于後續環節,等級測評能夠明确當前網絡安全保護水平與國家要求之間的差距,找出潛在的網絡安全問題和隐患,爲網絡運營者下一步的網絡安全工作指明方向和目标。同時,等級測評結果也可以爲網絡安全管理部門開展監督管理工作提供重要的監管數據。
網絡運營者應依據有關标準規範,定期對已定級備案網絡的安全性進行等級測評,查找可能存在的網絡安全問題和隐患,及時進行安全整改。尤其是第三級以上網絡運營者,應委托符合國家有關規定的等級測評機構,每年開展一次等級測評,新建第三級以上網絡應在通過等級測評後投入運行。
新華網:新形勢下如何應對業界對網絡安全專業人才的旺盛需求?
李明:随着《網絡安全法》的正式頒布執行,近些年來業界對網絡安全專業人才的需求迎來了一個爆發式增長。與此同時,現有的人才培養體系逐步顯現一定的局限性,如數量少、路徑固化、戰訓脫節等等,我們急需建立一個層次化、規模化的分類分級人才培養體系,同時要注意打通院校、專業培訓機構與網絡運營者(用人單位)之間的割裂,院校與專業培訓機構課程相銜接,網絡安全知識與行業領域知識相融合,專業知識與職業技能相結合,聯手爲網絡運營者提供知識與技能雙就緒的網絡安全專業人才。
文章來源:新華網