網絡安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網絡資源及功能組件分等級實行安全保護,對網絡中使用的安全技術和管理制度實行按等級管理,對網絡中發生的信息安全事件分等級響應、處置。
隨著時間流逝,等級保護制度也在逐漸發展,其對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行了進壹步修訂和完善,以滿足了新形勢下等級保護工作的需要。《中華人民***和國網絡安全法》已由中華人民***和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,自2017年6月1日起施行。
壹、《網絡安全法》對我國互聯網影響如下:
1、等級保護制度越來越重要
現如今,諸如門戶網站等直接暴露在互聯網上的網站主要是公司和單位宣傳、辦事的窗口,內部系統種類繁多,而且多半涉及公民的隱私、敏感信息,或者涉及金融、財務等重要業務。而這些網站和系統往往缺乏基礎安全防護,容易導致網站和系統被黑客針對性攻擊、惡意入侵,導致系統被篡改或造成數據泄露。在公安部的主導下,多年以來開展的信息安全等級保護測評工作已經取得顯著成效,開展等級保護測評、安全建設整改的系統越來越多,網絡安全整體情況有了壹定提升。
2、關鍵信息基礎設施實行重點保護
現階段,關鍵基礎設施、重點行業信息系統、國家社會層面的重大活動、政府機構的敏感信息,都屬於高級持續性威脅攻擊(APT)的主要目標。
3、網絡產品、安全產品和服務規範化,符合國家標準
現階段,網絡產品、安全產品和網絡相關的服務,存在壹些不符合國家標準的情況,存在壹定的安全隱患。《網絡安全法》中明確網絡產品、服務應當符合相關國家標準的強制性要求。網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求。在信息化建設過程中,在網絡產品采購,尤其是網絡關鍵設備、網絡安全專用產品等的采購,必須特別關註相關銷售產品是否符合國家標準,是否具有銷售許可,是否由具備資格的機構安全認證合格或者安全檢測符合要求;所選擇的網絡服務、安全服務必須有相應符合國家標準的資質。
4、網信部門統籌協調安全監測預警和信息通報、應急處置等工作
以前,公安部、密碼局、銀監會、衛計委、互聯網應急中心等對各行業的網絡安全保障工作基本上處於各自為政,缺乏必要的互相溝通。隨著《網絡安全法》的出臺,明確了國家網信部門負責統籌協調網絡安全工作和相關監督管理工作,明確了網信部門與其他相關網絡監管部門的職責分工。
5、關註網絡信息安全
《網絡安全法》第四章“網絡信息安全”著重闡述了個人信息保護的基本原則和要求,相當於壹部小型的個人信息保護法,明確網絡運營者建立健全用戶信息保護制度,對網絡信息安全、個人信息保護的內容進行了規範。
二、網絡安全主要有系統安全、網絡的安全、信息傳播安全、信息內容安全。具體如下:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全,側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,幹擾他人或受他人幹擾。
2、網絡的安全
網絡上系統信息的安全,包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網絡上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網絡上大雲自由傳翰的信息失控。
4、信息內容安全
三、維護網絡安全的工具
網絡上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
維護網絡安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。
1、Internet防火墻
它能增強機構內部網絡的安全性。Internet防火墻負責管理Internet和機構內部網絡之間的訪問。在沒有防火墻時,內部網絡上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網絡的安全性要由每壹個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
2、VIEID
在這個網絡生態系統內,每個網絡用戶都可以相互信任彼此的身份,網絡用戶也可以自主選擇是否擁有電子標誌。除了能夠增加網絡安全,電子標誌還可以讓網絡用戶通過創建和應用更多可信的虛擬身份,讓網絡用戶少記甚至完全不用去記那些煩人的密碼。
3、數字證書
CA中心采用的是以數字加密技術為核心的數字證書認證技術,通過數字證書,CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理,同時也能保障在數字傳輸的過程中不被不法分子所侵入,或者即使受到侵入也無法查看其中的內容。
法律依據
《網絡安全法》
第二十壹條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(壹)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。