前言
前言
網絡安全靠人民,網絡安全為人民。2017年6月1號實施的《中華人民共和國網絡安全法》(以下稱《網絡安全法》)是國家安全法律制度體系中一部重要法律,是網絡安全領域的基本大法。《網絡安全法》完善了國家、網絡運營者、公民個人等角色的網絡安全義務和責任,將原來散見於各種法規、規章中的網絡安全規定上升到人大法律層面,並對網絡運營者等主體的法律義務和責任做了全面規定。
《網絡安全法》規定,我國實行網絡安全等級保護制度。網絡安全等級保護制度是國家信息安全保障工作的基本制度、基本國策和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。國家法規和系列政策文件明確規定,實現並完善網絡安全等級保護制度,是統籌網絡安全和信息化發展,完善國家網絡安全保障體系,強化關鍵信息基礎設施、重要信息系統和數據資源保護,提高網絡綜合治理能力,保障國家信息安全的重要手段。
網絡安全等級保護包括系統定級、系統備案、建設整改、等級測評和監督檢查5個常規動作,貫穿信息系統的全階段、全流程,是當今發達國家保護關鍵信息基礎設施、保障網絡安全的通行做法。對信息系統分級實施保護,在網絡安全等級保護基礎上,重點保護關鍵信息基礎設施,能夠有效地提高我國網絡安全建設的整體水平,有利於保障網絡安全與信息化同步規劃、同步建設、同步使用;有利於為信息系統網絡安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制網絡安全建設成本;有利於優化網絡安全資源的配置。
隨着雲計算、移動互聯、大數據、物聯網、工業控制系統、人工智能等新技術不斷湧現,傳統信息系統安全的邊界和防護髮生了變化。起到支撐、傳輸作用的基礎信息網絡和各類應用組成的信息系統本質沒有發生變化,網絡安全等級保護仍然適用。但是,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯,這些都要求等級保護外延的拓展。新的系統形態、新業態下的應用、新模式背後的服務以及重要數據和資源統統進入了等級保護視野。具體對象則囊括大型互聯網企業、基礎網絡、重要信息系統、網站、大數據中心、雲計算平台、物聯網系統、移動互聯網、工業控制系統、公眾服務平台等,網絡安全等級保護進入了2.0時代。在2.0時代下,等級保護的內涵在信息系統安全等級保護的基礎之上,風險評估、網絡安全事件應急處置、網絡安全監測與通報預警、網絡安全保障工作綜治考核、政府網站監管、新型智慧城市監管等與網絡安全密切相關的措施將被全部納入網絡安全等級保護制度範疇內。
為了便於國家關鍵信息基礎設施主管部門、運營部門、建設部門學習網絡安全法、網絡安全等級保護系列政策和法規內容,便於各級黨委政府、企事業單位開展網絡安全風險評估、網絡安全監測和通報預警、網絡安全事件處置、網絡安全保障工作全國綜治考核評價,便於網信部門、網絡安全保衛部門開展監督檢查工作,在河南省公安廳網絡安全保衛總隊的指導下,河南省信息安全等級保護工作協調小組辦公室組織編寫該書。
本書由中原工學院的夏冰教授統籌協調,負責書稿的主體編寫。中原工學院鄭秋生教授、河南省委網信辦王沛棟副研究員、河南省網絡安全保衛總隊的劉曉、河南省鼎信信息安全等級測評有限公司的陳宇也參與了本書的編寫並提供建設性建議,在此表示感謝。河南省網絡安全保衛總隊的王志奇調研員對書稿審查投入大量精力,在此表示由衷的感謝。本書的編寫還得到計算機信息系統安全評估河南省工程實驗室和鄭州市網絡安全創新團隊的項目資金支持,在此表示感謝。
由於水平有限,書中難免有不足之處和錯誤,敬請讀者批評指正。
作者