自主保护网络安全论文

《中华人民共和国网络安全法》于2017年6月1日正式施行，该法第二十一条规定“？国家实行网络安全等级保护制度。”这是网络安全等级保护这个名词第一次以法律形式出现，这也是中国从法律层面保障企事业单位计算机网络免受干扰、破坏或者非法访问，进而防止计算机网络数据遭受泄露或者被窃取、篡改的一项强制性举措。下面小编整理了一些《自主保护网络安全论文(精选3篇)》的文章，希望能够很好的帮助到大家，谢谢大家对小编的支持和鼓励。

自主保护网络安全论文 篇1：

信息安全的网络安全等级保护实施方案设计探讨

摘  要：无论处于什么年代，也无论身处何等处境，信息往往是影响一件事情成功与否的关键，在传统文化中，人们用信件的方式进行信息的交流，效率低下。但随着计算机技术的兴起，信息时代随之而来，信息的交流和传播变得空前的简单，但信息的高度透明以及信息的快速传播速度并不完全是优点，在信息时代中信息的透明性也为有心人提供了侵犯他人信息的机会。基于此，近年来的信息技术发展已经不再逃避安全的问题，反而在各个层级都在考虑如何开展高效率网络安全等级保护的办法，该文以此为主要方向，针对网络安全等级保护实施方案中的细节问题进行分析和探讨，希望该文的观点能够为网络安全研究人员提供借鉴。

关键词：信息安全   网络安全   等级保护   实施方案   设计探讨

通过信息安全等级保护的实施能够为各种等级重要信息的信息提供適当的保护，即：不会将不重要的信息与极重要的信息施以同等级保护，否则对不重要的信息是一种资源浪费，而极重要的信息又未能获得足够的保护。通过保护方案的实施，能够高度保证信息的安全，为国计民生提供保障。

1  什么是网络安全等级保护

随着时代的逐渐发展，计算机技术的快速进步，信息的交换已经不再是困扰人类发展的主要问题，但在信息技术高度发达的今天，人们必须认识到，信息技术既是帮助人类发展的工具，又是悬在我们头顶的一柄利剑。面对这种情况，网络安全等级保护便应运而生。网络安全等级保护是指为了保护国家机密、公民的重要信息以及其他组织的重要信息而制定的相关措施，包括对信息的传输、存储等应用方式的管理，针对不同级别的信息实行不同阶级的保护措施，并在重要信息发生安全事件时按照不同级别启动应急响应[1]。

最早的信息保护仅仅是对实物信息的保护，但随着计算机技术的快速发展，网络信息的传播速度已经远超实物的传递速度，为了保护网络信息的安全，在最新的信息等级保护相关规定中已经着重指示了对网络信息的防护。

网路安全等级保护共分为5个级别：（1）自主保护级，当信息系统受到破坏后，会对公民个人权益造成一般损害，不会危害国家安全、社会秩序;（2）指导保护级，当信息系统受到破坏后，会对公民个人权益造成严重损害，对社会秩序以及大众利益造成一般损害，不会损害国家安全;（3）监督保护级，当信息系统受到破坏后，会对公民个人权益造成特别严重的损害，对社会秩序以及大众利益造成严重损害，对国家安全造成损害;（4）强制保护级，当信息系统受到破坏后，会对社会秩序和大众利益造成特别严重的损害，对国家安全造成严重损害;（5）专控保护级，当信息系统受到破坏后，会对国家安全造成特别严重的损害[2]。

网络安全等级保护的5个级别设置从对个人权益的损害直至对国家安全的严重损害都包括在内，是对我国整体信息安全的全面性保护方法，能够有效地保障公民个人信息、社会大众信息、国家信息的高度安全，为国家发展、社会运行、公民工生活提供保障。

2  网络安全等级保护的实施原则

2.1 自主保護原则

在当前的时代背景下，网络已经不再是“奢侈品”，是社会大众都能够使用的基本设施之一。这就导致每天产生的信息量及其庞大，这一特点也就决定了，新产生的信息如果单靠国家部门或者社会中某一单位进行处理，显然是不切实际的。因此，针对新产生的信息，各信息运营单位、信息使用单位需要根据国家相关的法规自行确定信息的保护等级，而后实施相应的信息安全保护[3]。

2.2 重点保护原则

重点保护原则是基于自主保护原则的，重点保护原则是指信息运营单位和信息使用单位需要根据信息的类别、信息的重要程度等，将信息按照保护等级进行划分，而后根据信息的等级实施不同等级的安全保护，将重要的资源使用在最重要的信息保护中。

总而言之，重点保护原则就是集中大部分的资源用于保护核心信息，这也是整个网络安全等级保护在实际实施时需要着重关注的问题。若不遵从重点保护原则，在实际的网络安全等级保护实施中会浪费一定的资源至安全等级较低的信息保护工作中，造成保护工作的疏漏。因此，坚持重点保护原则，是开展网络安全等级保护工作的核心。

2.3 同步建设原则

同步建设原则是指，当信息系统进行改建、更新、扩建等工作时，需要将一部分资源以及管理者的精力投入到信息安全等级保护的建设中。这一原则主要是为了避免信息运营单位和信息使用单位因过度重视对信息系统的建设，而忽视了信息安全等级保护工作的开展，造成整个信息系统“头重脚轻”的问题。同步建设原则是对信息运营单位和信息使用单位在思想层面的指导，着重指正了信息等级安全保护是与信息系统建设同等重要的[4]。

2.4 动态调整原则

在信息等级安全保护工作中，信息本身是不变的，但随着时间的变化，信息对公民个人、社会大众以及国家的重要性也在随之改变。而为了响应重点保护原则，则需要对现有信息进行周期性的安全等级检测，并根据检测结果重新规划信息的安全等级。动态调整原则能够将不再符合其安全等级的信息检测出来，避免因未能及时做出应对而导致的资源浪费，将重点保护原则贯穿信息安全等级保护工作的全过程中。

3  优化网络安全等级保护实施方案的几点思考

3.1 信息的评级

给新收集到的信息进行定级是整个网络信息安全等级保护工作的开始，在这一阶段中，信息运营单位或信息使用单位需要将收集到的信息根据采集到的信息的类型、采集到信息的情况进行分析，将新收集到的信息划分到其应所属的安全等级分组中。但在当前的网络安全等级保护实施中，对于信息的处理过于依靠计算机软件，虽然面对大量需要处理的信息，人工完成是不切实际的，但相对于人工，计算机软件只能将信息进行简单的筛选和分组，在面对较为复杂的信息时处理是相对不准确的。因此，在处理较为重要的信息时，应尽可能人工完成，避免因计算机软件判断错误而造成的工作失误[5]。

3.2 备案阶段

在网络安全等级保护规定中，第二级，即指导保护级的信息开始，需要周期性地到公安部门进行备案。备案是对信息运营单位自身的负责，同时也是对社会大众和国家的负责，信息安全的保护不仅仅关系着运营单位自身的权益，与社会大众和国家都有千丝万缕的联系。因此，在收集到重要信息并划分安全等级后，应第一时间到公安部门进行备案，为信息安全等级保护工作增添一分保障。

3.3 安全建设与整改阶段

安全建设和整改是在信息运营单位和信息使用单位在自查自身问题后，通过对信息系统的提升、对投入资源的规划、对管理人员的择优等工作，提升信息系统的整体质量，保证信息安全等级保护工作的高效开展。安全建设与整改工作不是一时的，整个系统的提升往往需要几个月甚至几年时间才能完成，因此，在安全建设与整改阶段需要管理人员能够与时俱进，若在几年前定下的提升目标已经不再适用，则需要管理人员能够及时地调整整改方案，保证整改的质量。

整改中的工作主要包括3点：安全管理制度的建设、信息保护技术的建设以及安全等级评定，其中，安全等级评定需要专业的评测机构对整个信息系统进行评测，包括：硬件设施、管理人员技术水平、计算机软件等多个部分的综合评定。信息保护技术需要管理人员能够紧跟技术前沿，时刻保持自身的技术水平，同时在计算机软件以及硬件设备等方面进行提升。安全管理制度则是信息系统日常管理的核心，安全管理制度是信息系统安全的底线，需要领导人员能够从整体的角度出发，与基层系统管理人员进行积极沟通，了解管理工作中的细节和难点，从而制定出符合单位实情的制度条例[6]。

3.4 信息安全等级评测阶段

如同二级以上包括二级的信息需要备案一样，为了保证不浪费管理资源，二级以上（包括二级）的信息需要周期性地进行检测，将需要重新进行安全等级划分的信息进行检测，按照检测结果重新划分安全等级，同时对其实施符合当下等级的保护。从安全等级的第二级开始具体的评测周期为：第二级，相关规定建议每两年进行一次评测;第三级，根据相关规定，要求每年进行一次评测;第四级，根据相关规定，要求每半年进行一次评测;第五级，依照特殊安全需求进行评测。

信息安全等级评测是需要专业人员进行的，需要在当下将信息根据类型、重要程度进行重新划分安全等级。因此，对评测人员的要求较高，在进行评测工作前，需要对评测人员的相关工作水平进行考评，防止因人为因素导致的评测结果错误。

3.5 信息安全检查阶段

信息安全检查是针对现有的信息系统人员、制度、硬件设施基础等进行梳理，将其中的安全隐患凸显出来。在当前的信息系统的收集、分析、存储、管理、发布等流程都有其具体的操作规范为操作人员标出“红线”，但仍有因粗心、走神等问题导致的操作失误。因此，梳理检查时，应是整个信息系统的自检，从单位领导做起，一层抓一层，一级查一级，将所有的安全问题都能够暴露出来进行整改。追责秉承的原则是“谁主管谁负责、谁操作谁负责、谁使用谁负责”，避免在日后的信息系统工作中再出现同类型的安全问题，保证重要信息的安全。

4  结语

网络安全等级防护是在专门的单位中进行的，但这项工作是与大众息息相关的。因此，为了保证公民个人、社会各界以及国家的信息安全，相关研究人员应积极研究保护技术和管理方案，让重要信息得到更高质量的保护。

参考文献

[1] 魏帅岭，闫国涛，李星，等.等级保护2.0下医院网络安全体系的建设与探索[J].中国数字医学，2021，16（4）：101-105.

[2] 袁慧.网络安全等级保护2.0制度的研究和探讨[J].信息与电脑：理论版，2020，32（1）：223-224.

[3] 陈旭壮.浅谈渗透测试在网络安全等级保护测评中的应用[J].中国新通信，2020，22（5）：103-104.

[4] 赵文臣.基于信息安全的网络安全等级保护实施方案设计研究[J].网络安全技术与应用，2020（5）：2-3.

[5] 任蕊.我国电子政务信息安全等级保护制度探讨[D].北京：北京邮电大学，2017.

[6] 徐慧姣.网络安全等级保护与其实施策略[J].通讯世界，2019，26（3）：86.

作者：赵继刚

自主保护网络安全论文 篇2：

网络安全管理与网络安全等级保护制度探究

《中华人民共和国网络安全法》于2017年6月1日正式施行，该法第二十一条规定“？国家实行网络安全等级保护制度。”这是网络安全等级保护这个名词第一次以法律形式出现，这也是中国从法律层面保障企事业单位计算机网络免受干扰、破坏或者非法访问，进而防止计算机网络数据遭受泄露或者被窃取、篡改的一项强制性举措。可是，全社会对于等级保护制度的认知认同和落实执行情况却不容乐观，一些重点联网单位负责人甚至計算机网络管理人员对等级保护制度了解不深、执行不力，在建设、维护计算机信息网络的过程中不能自觉适用等级保护制度的规定和标准，造成单位内部计算机信息网络安全管理制度和安全技术措施不到位的现象屡见不鲜，这将严重危害我国的信息网络安全。本文通过对中国等级保护制度的分析和研究，提出按照等级保护制度来开展单位内部信息网络安全管理的对策，为企事业单位内部信息网络安全管理工作提供政策指导。

一、等级保护制度的法律渊源

等级保护制度的法律形成分为三个阶段，历时23年。第一阶段为提出阶段。第一次提出等级保护制度是1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》，条例第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”条列出台等级保护制度后，鉴于中国当时信息网络处于比较落后状态，并未真正出台配套具体制度。第二阶段为推行阶段。2007年7月，四部委联合出台《信息安全等级保护管理办法》，这一规章成为推动我国等级保护制度的起点。从2007年开始，国务院有关主管部门通力协作，先后出台了具体的等级保护制度实施办法、国家和行业标准，全国开始在重点联网单位推行等级保护制度。第三阶段是强制阶段。《中华人民共和国网络安全法》于2017年6月1日正式施行，等级保护制度写进法律，等级保护制度成为全社会强制性义务。中国在网络安全制度上开启新局面。

二、等级保护制度的主要内容

第一，等级划分。计算机信息系统安全保护等级分为五级，划分的标准是信息系统受到各种破坏后造成后果的严重性，信息系统遭受破坏后危及国家安全、社会秩序和公共利益的程度越大，划分的级别越高。比如说，某单位的计算机网络信息系统或者网络工作服务平台受到破坏后，可能对社会秩序或者公共利益造成严重损害，一般定级为三级以上。这种划分标准不是量化的。

第二，工作原则。我国的信息安全等级保护坚持自主定级、自主保护的原则。各单位内部的计算机信息系统建成后，根据系统的重要性、安全性与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关联程度，自主定级、自主保护，自觉履行等级保护制度各项规定和要求。

第三，监督管理。依据法律规定，国家网信部门、国务院电信主管部门、公安部门等负责网络安全保护和监督管理工作，这三大部门也是等级保护制度的监督管理部门。

第四，法律责任。虽然等级保护制度坚持自主定级、自主保护的原则，但是法律责任依然存在。《中华人民共和国网络安全法》第五十九条规定，？网络运营者不履行等级保护制度相关安全保护义务的，由有关主管部门对相关单位和直接责任人作出行政处罚。《中华人民共和国计算机信息系统安全保护条例》第二十条规定，违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的，由公安机关处以警告或者停机整顿。此外，《中华人民共和国刑法修正案九》第二十八条规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正、情节严重的将追究刑事责任。

三、单位内部信息网络安全等级保护对策

等级保护制度既是单位内部网络安全建设和管理的指针，也是衡量单位内部网络安全保护能力的标准。无论是单位内部的办公、生产的计算机信息系统还是对外的网站、各类网络宣传、服务、交易平台，在网络安全管理上都应当以等级保护制度为依据来开展相关工作，既能保障合法又能保障安全，特别是定级为三级以上的计算机信息系统更要定期按照等级保护制度要求实施网络安全管理。

（一）系统建设中的网络安全保护措施

企事业单位在计算机信息系统建设的立项、评估、招标等环节，应当同步考虑网络安全建设，国家等级保护制度出台了一些列标准，企事业单位的建设、运营、管理相关人员要熟知并执行这些标准，有关标准名录如下表。

（二）自主定级和备案

计算机信息系统建设完成后，要按照等级保护制度开展定级备案工作。按照规定，已运营（运行）的第二级以上计算机信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上的计算机信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。定级备案工作的有关详细流程和规定参见《信息系统安全等级保护实施指南》（GB/T 25058-2010）。定级的要素和等级的关系如下表。

（三）信息系统安全等级保护测评

第三级以上计算机信息系统在定级备案后，应当开展信息系统安全等级保护测评工作。测评工作有关要求参照《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）、《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T28449-2012）。信息系统安全等级保护测评分为安全技术测评和安全管理测评两大类。

（四）网络安全体系

按照等级保护制度，企事业单位网络安全体系主要是安全管理和安全技术两大方面。

安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。网络安全管理的主要内容具体包括有主要领导负责的逐级安全保护责任制，配备专职或者兼职的安全管理员，；明确运行和使用部门或者安全岗位的责任，建立完善的安全管理规章制度；全员开展网络安全知识和法律法规教育培训，对重点岗位的安全管理人员进行专门培训和考核；采取必要的安全技术措施；对安全保护工作记录日志、保全档案；制定网络安全应急计划和应急措施；定期进行安全检测和风险分析，及时整改安全隐患。

安全技术包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。安全技术的主要内容有防干扰防火防盗防灾等实体安全技、身份认证、安全审计、漏洞扫描、入侵监测检测、防火墙、病毒防治、安全操作系统和安全数据库、加密保密、信息内容过滤等，网络安全技术是不可穷尽的，是一个动态防护。

作者：赵娟

自主保护网络安全论文 篇3：

“三网”划分电子政务网络

政务内网、专网和外网构成了青岛电子政务网络体系架构，既满足了业务需求，也符合安全的标准。

在我国电子政务的几个指导性文件中，都明确提出了电子政务网络由政务内网和政务外网两个网络组成。其中，政务内网是党政机关办公业务网络，与国际互联网物理隔离，主要满足各级政务部门内部办公、管理、协调、监督和决策的需要，同时满足副省级以上政务部门的特殊办公需要；政务外网是党政机关公共业务网络，与国际互联网逻辑隔离，主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要。

从文件的解读可以看出，政务内网的联网范围不可能延伸到乡镇这一级政府，且不可能与外网交换信息，因此副省级以下城市中，党政机关业务流转和信息处理的主要平台一般部署在外网。就外网而言，虽然联网范围可以很大，但由于与国际互联网之间通过一定的网络安全设备逻辑隔离，随着电子政务应用的不断发展，需要打开越来越多的网络设备端口，从而降低了安全性，让越来越多的政务部门不敢用其承载业务流程和信息处理。

另外，国家各部委的纵向骨干网（如金关、金税、金土、金保、计生、统计等部门）互联范围极广，都延伸到了县一级，甚至乡镇一级。这些部门的业务专网基于安全考虑，都独立铺设线路或者通过租用电信运营商的专用VPN来构建了安全可信的虚拟网，都不能直接访问互联网。所以，要想整合各部委的纵向传输骨干网，实现和政府内部办公业务网的互联互通，需要在目前政务外网的基础上增加政务专网，作为党政机关内部业务流转和信息处理的主要网络平台。

三网体系架构

青岛市电子政务网络建设从2006年开始探讨在国家规定的两个网络基础上，增加了政务专网，从而构筑了以“三网”为基本架构的电子政务网络平台：即政务内网、政务专网和政务外网。

政务内网是涉密的党政机关办公业务网络，与国际互联网物理隔离，在满足工作需求的前提下，覆盖范围尽可能少，对上与国家电子政务内网互联。

政务专网是党政机关的非涉密内部办公网，主要用于机关非涉密公文、信息的传递和业务流转，它与外网之间不是通过传统的防火墙来隔离，而是通过网闸，仅以数据“摆渡”方式交换信息（网闸的HTTP、FTP、SMTP等通用协议全部关闭或不提供这些协议支持），以便实现公共服务与内部业务流转的衔接。由于“摆渡”方式并不能使专网与国际互联网连接，因此，专网基本不受国际互联网不安全因素的威胁，具有较高的安全性。另外，政务专网不是涉密网，又可实现广泛的内部互联，还可与外网实现安全信息交换。因此，政务专网完全能够作为不涉及国家秘密的内部业务流转和信息处理的主要平台，并形成公共服务的外网受理、内（专）网办理、外网反馈的闭环机制。

政务外网是政府对外服务的业务专网，与国际互联网通过防火墙逻辑隔离，主要用于机关访问国际互联网，发布政府公开信息，受理、反馈公众请求和运行安全级别不需要在政务专网运营的业务。目前青岛市建设的政府公众信息网和政府门户网都属于这一范畴。但从严格意义上说，政府门户网又与政务外网有所区别。政府门户网是建立在互联网平台上的各级政务机关面向社会开展服务的电子政务窗口，它以政务外网信息资源为支撑并整合了各级政务部门的公众信息资源，推进政务公开，扩大服务范围和对外宣传，开展政府与公众的沟通和交流，是政务信息服务的枢纽和接受社会监督的窗口，其主要作用是对外发布政务信息。政务外网不仅具有政府门户网的功能，而且为各级政府门户网站和电子政务应用系统提供网络支撑，承载政府部门面向社会的专业性服务。因此从这个意义上说，政务外网既不是一般意义上的门户网，也不是简单的政府公众信息网，而是一个介于政务专网和门户网之间的，一个政府对外实现网上办公业务和信息服务的政府对外业务专网。

安全防御体系

2006年以来，我们根据青岛市电子政务应用发展的实际情况，基于信息系统承载多项业务的性质和特点，按照承载电子政务应用的信息系统在国家安全、经济建设、社会生活中的重要程度，划分为不同的安全等级（从第一级自主保护级到第五级专控保护级五类），初步建立与网络安全需求相适应的安全策略和安全设施，重点强化以身份认证、访问控制、责任认定为主要内容的公共密钥基础设施建设和应用，以病毒防范、漏洞管理、入侵防范、信息加密为重点的防御设施建设和以安全审计、系统监控、接入控制等为重点的管理体系建设，确保网络和应用系统安全、可靠、高效运行。

作者：张理敬