必須充分認(rèn)識(shí)到網(wǎng)絡(luò)安全等級(jí)保護(hù)的必要性，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度要求進(jìn)行網(wǎng)絡(luò)安全管理體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級(jí)保護(hù)質(zhì)量，有效提高網(wǎng)絡(luò)安全管理水平。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域的基本制度和管理辦法，是維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障，是各行業(yè)開(kāi)展網(wǎng)絡(luò)安全體系建設(shè)的重要依據(jù)。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作對(duì)改進(jìn)政府和企業(yè)網(wǎng)絡(luò)安全管理體系，提高網(wǎng)絡(luò)安全建設(shè)整體水平，增強(qiáng)網(wǎng)絡(luò)安全體系的完整性和可靠性等方面具有重要意義。

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與廣泛應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題也在不斷變化。2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)正式發(fā)布，意味著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)從1.0步入2.0時(shí)代。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)，安全管理指標(biāo)包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。管理要求分類(lèi)體現(xiàn)了從要素到活動(dòng)的綜合管理思想，安全管理需要的“機(jī)構(gòu)”“制度”和“人員”三要素缺一不可，同時(shí)還應(yīng)對(duì)系統(tǒng)建設(shè)整改過(guò)程中和運(yùn)行維護(hù)過(guò)程中的重要活動(dòng)實(shí)施控制和管理。

為保障網(wǎng)絡(luò)信息安全，切實(shí)提高網(wǎng)絡(luò)安全防護(hù)水平，加強(qiáng)網(wǎng)絡(luò)安全管理，必須以網(wǎng)絡(luò)安全等級(jí)保護(hù)為工作抓手，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)安全管理工作的要求，逐步完善網(wǎng)絡(luò)安全管理體系建設(shè)。

安全管理制度建設(shè)

網(wǎng)絡(luò)安全工作的開(kāi)展，需要制定健全的網(wǎng)絡(luò)安全管理制度作為工作依據(jù)，明確和落實(shí)網(wǎng)絡(luò)安全責(zé)任，以等保要求為基礎(chǔ)確定網(wǎng)絡(luò)安全管理制度覆蓋的內(nèi)容，實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

出臺(tái)相應(yīng)的IT基礎(chǔ)環(huán)境安全管理、網(wǎng)站與信息系統(tǒng)安全管理、數(shù)據(jù)信息安全管理、用戶與終端安全管理、賬號(hào)密碼與密鑰安全管理、監(jiān)測(cè)預(yù)警與應(yīng)急處置等，對(duì)網(wǎng)絡(luò)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度。

根據(jù)網(wǎng)絡(luò)安全工作要求的不斷變化，對(duì)網(wǎng)絡(luò)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在的不足或需要改進(jìn)的內(nèi)容進(jìn)行修訂。

安全管理機(jī)構(gòu)

加強(qiáng)組織領(lǐng)導(dǎo)，落實(shí)網(wǎng)絡(luò)信息安全責(zé)任制。信息化處設(shè)置專(zhuān)職科室IT安全部，負(fù)責(zé)網(wǎng)絡(luò)信息安全技術(shù)防護(hù)體系建設(shè)和網(wǎng)絡(luò)信息安全日常工作。配備專(zhuān)職安全管理員，關(guān)鍵事物崗位配置多人共同管理。

同時(shí)，引入多家符合網(wǎng)絡(luò)安全資質(zhì)要求的專(zhuān)業(yè)網(wǎng)絡(luò)安全技術(shù)機(jī)構(gòu)，提供網(wǎng)絡(luò)安全技術(shù)支持服務(wù)，并由業(yè)界專(zhuān)家對(duì)安全規(guī)劃和重要項(xiàng)目進(jìn)行安全評(píng)審，通過(guò)加強(qiáng)多方溝通合作，提高網(wǎng)絡(luò)安全防護(hù)能力。

安全管理人員

人員管理是網(wǎng)絡(luò)信息安全中的關(guān)鍵因素，同時(shí)也是網(wǎng)絡(luò)信息安全中的薄弱環(huán)節(jié)。

在網(wǎng)絡(luò)安全管理人員方面普遍面臨的問(wèn)題是缺少專(zhuān)兼職網(wǎng)絡(luò)安全人員、網(wǎng)絡(luò)安全意識(shí)不強(qiáng)、網(wǎng)絡(luò)安全培訓(xùn)宣傳不到位、外部人員訪問(wèn)管理不嚴(yán)格等。網(wǎng)絡(luò)安全人員管理的缺失或不完善，會(huì)導(dǎo)致網(wǎng)絡(luò)信息安全受到影響，甚至引發(fā)安全事件。因此，需健全人員安全管理措施，落實(shí)工作職責(zé)、規(guī)范操作，減少內(nèi)、外部人員帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

安全建設(shè)管理

網(wǎng)絡(luò)安全建設(shè)管理風(fēng)險(xiǎn)主要來(lái)源于信息系統(tǒng)建設(shè)管理體系的不健全，以及安全要求、控制措施的缺失而導(dǎo)致的信息系統(tǒng)規(guī)劃設(shè)計(jì)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收及系統(tǒng)交付等階段，關(guān)于網(wǎng)絡(luò)安全的工作內(nèi)容和工作流程的不全面、不規(guī)范問(wèn)題，進(jìn)而導(dǎo)致信息系統(tǒng)在安全方面存在天然的缺陷，為信息系統(tǒng)安全運(yùn)行埋下隱患。

安全運(yùn)維管理

安全運(yùn)維管理是網(wǎng)絡(luò)安全日常工作極其重要的方面，是保障網(wǎng)絡(luò)安全的重要因素。為保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，機(jī)房需要升級(jí)改造，采取防盜竊、防火等安全措施，制定機(jī)房日常巡檢規(guī)范，加強(qiáng)了物理安全保障。針對(duì)信息系統(tǒng)、網(wǎng)站、設(shè)備等軟硬件資產(chǎn)進(jìn)行梳理，建立資產(chǎn)臺(tái)賬，并對(duì)信息系統(tǒng)、網(wǎng)站、設(shè)備進(jìn)行日常監(jiān)控檢查，做好日常監(jiān)控檢查記錄，發(fā)現(xiàn)問(wèn)題及時(shí)處理。

定期對(duì)所有網(wǎng)站和信息系統(tǒng)進(jìn)行安全漏洞掃描，對(duì)危險(xiǎn)主機(jī)、高危網(wǎng)站、弱密碼系統(tǒng)等存在安全問(wèn)題的網(wǎng)站和系統(tǒng)進(jìn)行通報(bào)，采取相應(yīng)訪問(wèn)控制策略，限期整改，督促落實(shí)，對(duì)整改情況進(jìn)行核查，保證整改效果，整改完成后才可恢復(fù)運(yùn)行。

需要部署防火墻、云安全防護(hù)系統(tǒng)、WAF、IDS、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、DPI等網(wǎng)絡(luò)安全軟硬件，提高網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、防護(hù)審計(jì)能力。建立《網(wǎng)絡(luò)安全突發(fā)事件專(zhuān)項(xiàng)應(yīng)急預(yù)案》，進(jìn)一步明確了應(yīng)急處置流程，并借助專(zhuān)業(yè)安全廠商的網(wǎng)絡(luò)安全服務(wù)提升網(wǎng)絡(luò)安全防護(hù)能力，對(duì)指定站點(diǎn)和業(yè)務(wù)系統(tǒng)進(jìn)行7×24小時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)并處理網(wǎng)站異常情況，提升對(duì)網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處理能力，完善應(yīng)急響應(yīng)體系。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為信息系統(tǒng)安全管理提供了系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)安全管理體系建設(shè)對(duì)于網(wǎng)絡(luò)信息安全具有重大意義。實(shí)踐中，只有充分認(rèn)識(shí)到網(wǎng)絡(luò)安全等級(jí)保護(hù)的必要性，并在當(dāng)前管理問(wèn)題分析的基礎(chǔ)上，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度要求進(jìn)行網(wǎng)絡(luò)安全管理體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級(jí)保護(hù)質(zhì)量，有效提高網(wǎng)絡(luò)安全管理水平。