论网络安全等级保护测评工作中安全管理制度的落地缺失

　　摘要：随着网络安全形势的逐渐严峻，各行各业网络安全意识也空前提高，网络安全等保测评作为安全检测的手段之一对各个领域、行业的网络安全问题起到了应有之义。但是在这样的大环境下，仍掩盖不了安全管理层面上的落地缺失，本文陈述部分表象，分析了产生问题的原因，并就此给出一些相关建议。

　　引言

　　在新技术革命的大背景下，网络安全形势越来越严峻，越来越受到政府重视，尤其是党的十八大以来，我国互联网在发展和治理等方面不断开创新局面，网络空间日渐清朗，信息化成果惠及亿万群众，然而随着社会发展对信息化依赖程度的提高，保障重要信息系统安全就成为维护国家安全、保障社会稳定的重要组成部分[1]。

　　近年来，有关于网络安全的支持政策密集出台；2016年12月，国家互联网信息办公室发布《国家网络空间安全战略》；2017年6月，《网络安全法》正式实施；2019年3月，国务院国资委发布《中央企业负责人经营业绩考核办法》，将网络安全纳入央企负责人经营业绩考核；2019年5月，国家市场监督管理总局和中国国家标准化管理委员会正式发布网络安全等级保护制度2.0国家标准；2020年9月，在北京召开了网络安全等级保护和关键信息基础设施安全保护工作宣贯会；2021年8月17日，《关键信息基础设施安全保护条例》正式发布。一系列举措将网络安全等级保护相关工作又推上了一个新的高地。

　　从发达的一线城市到二三线城市，从省市县各级政府机关到国有企业，再到不同类型私营企业，网络安全等级保护测评工作都在如火如荼地开展着，各行各业信息安全部门网络安全保护意识在逐渐提高，信息系统中必备的安全设备也加快迭代更新，但是硬件条件的强势上位，却掩盖不了安全管理层面的疲软。

　　1. 问题引入

　　从2017年初次接触等保测评至今，笔者共参与完成测评项目近百个，在每个项目中，基本围绕安全管理层面的测评开展工作。从等保1.0再到等保2.0的现场测评工作中不难发现，安全管理层面几乎是每个被测系统责任单位都会忽略的部分，谈论起来，甚至于“嗤之以鼻”，现就实际工作中发现的部分问题，列举如下：

　　1.1安全管理制度体系不完善

　　在现场测评实施过程中发现，大部分被测评单位的安全管理制度体系并不是很完善，无论是上层总体目标设计，还是底层操作规程建设，具有实操性的一些规范文档约束力度不够，本应该作为工作证据的一些留痕的记录表单缺失，工作从整体上缺乏指引性和方向性，安全管理岗位相关人员大多依照自己的实践经验来处理工作，而非依照规章办事。安全管理制度体系的不完善，导致相关工作过程缺乏规范性和质量保障，进而影响到信息系统的安全建设和安全运维。

　　1.2安全管理制度体系建设模板化

　　部分单位存在“为了过等保而测评”、为了完成工作考核指标而敷衍的思想，未按照单位的现实情况进行调研并制定相关规定，而是依托从互联网、安全运维方、服务机构等获取的安全管理制度体系模板，生搬硬套，甚至直接“拿来就用”，在现场测评中被测单位提供的制度不切合实际的情况时有发生，如此这般，缺失的不仅仅是自身的主观能动性，对于单位的信息化建设工作而言更是有百害而无一利。

　　1.3制度落实难度大、执行困难

　　部分单位的安全管理体系建设由多个部门负责，如部门业务和职责存在交叉时，很容易造成安全管理体系建设内容相左，如多种内控体系建设中的流程梳理，由于管理目标、建设标准不同，同一项目资料在不同体系中需要呈现出的内容和形式也不尽相同，如果一个单位没有明晰的制度管理体系和执行章程规范，那么员工执行起来会存在很大困惑。有可能导致体系建设与具体管理执行出现“多张皮”，严重抑制管理机制实效性的发挥和实现，制约着整个团队的管理效益。

　　1.4专业运维人才缺乏

　　“网络空间是利益所在地，极其脆弱，随时可能受到全方位攻击，网络威胁是永远的主题。”中国工程院院士沈昌祥如是强调，网络安全领域，是一个攻防实战性很强的专业领域，网络安全说到底也是人与人之间的博弈。

　　近几年的《网络安全人才发展白皮书》无一不在说明人才的缺乏。《2018网络安全人才发展白皮书》[2]发布，显示网络安全人才供需失衡；《2020网络安全人才发展白皮书》[3]从多个维度对网络安全人才培养和职业发展的整体形势进行全面分析……从实际工作中我们也不难发现，被测系统责任单位有关网络安全责任部门内部人员缺口很大，尤其是专业技术人员，一人分饰多角的现象屡见不鲜，在工作量一定的情况下，人员数量的缺失直接导致个人工作压力较大，从一定层面上拖延了工作时间，降低了办事效率，制度的执行力度大打折扣。

　　1.5岗位划分不明确

　　各岗位的工作职责缺乏梳理，导致岗位职责不明确，流程规范不到位，各岗位人员对自己具体的工作内容熟知度不够，员工们的“日常职责”几乎是通过上级领导分发任务或者基于自身的理解和仅有的自觉性来履行的。岗位划分不明确、权责不清晰，造成各部门、各岗位经常以不知道或不明确自己的工作为由，出现人浮于事、推诿扯皮的现象。

　　1.6有关信息安全培训工作不完善

　　就目前参加现场测评工作的实践经验而言，有关信息安全方面的培训现状不容乐观。有的单位对于信息安全工作人员的技能培训或缺失，或流于形式，没有把真正需要的技能培训带入到工作实际当中来；有的单位技术人员对于培训存在敷衍的态度，没有意识到常规的技术培训之于自身及工作的重要性。总而言之，缺乏行之有效的培训制度规范，培训定位不清、培训需求不明朗、培训资源不丰富、培训实施不到位、培训结果转化力度不够等问题都困扰着网络安全相关工作者。

　　2. 原因分析

　　之所以会出现以上问题，可以从内外两个方面分析原因。

　　2.1缺乏责任心

　　责任心是一个老生常谈的问题，工作中各个场合均会提及和强调，但是责任心的体现总是呈阶段性，如内生动力不足或疏于外部监督，思想自然而然会出现懈怠，随之而来的就是责任心的减弱，在日常工作中就是执行力大打折扣，从而可能衍生一系列问题。网络安全工作也不例外，思想松懈是安全事件发生的潜在危险因素，目前的等保测评对于管理制度层面而言，无论是内容还是形式，都比较宽泛，无形之中就会导致人们工作重点偏倚，而责任心的缺失，势必造成管理层面的疲软，影响落地的实效性。

　　2.2网络安全意识不够全面

　　目前，在网络安全意识的问题上，不少人还存在认知盲区。虽然网络无处不在，但究其发展历程，仍然可以算是新生事物。网络的便捷学习、高效工作和内容丰富的休闲娱乐信息一定程度上遮盖了网络信息不安全的事实，大部分人存在侥幸心理，安全意识比较淡薄。被测系统运营者注重的是任务完成效果，对责任范围内信息系统技术和管理的把控上来说，尤为偏重技术层面，认为只要保证各种网络安全设备齐全，信息系统的安全就能有保障。诚然，信息系统的安全防范需要各种安全设备的加持，但“三分技术，七分管理”，仅有硬件方面的加固是远远不够的，还需要从顶层对整个信息系统进行制度方面的规范，二者只有结合起来，才能相得益彰，更好地确保信息系统的安全性。

　　2.3监管力度不够

　　“监管”即监督、管理，对于监管，根据不同领域有不同的含义，就网络监管而言，即为了确保网络的安全而由监管部门对网络进行管理，避免互联网受到非法入侵，从而确保信息系统安全。网络监管不仅包含硬件设备的管理，同时也包含制度上的管理，目前有的被测系统责任单位自身监管力度不强，部门之间各自为政，没有形成一个统一有效的监管体系，而且监管的重点同样放在了设备的部署上，忽略了应该同步进行的管理体系建设问题，反而在一定程度上催化了被测系统运营者重“硬”轻“软”的思想。

　　3. 几点建议

　　如何从安全管理层面上来更好地实践网络安全行为，提高网络安全保护意识，让工作更有实效，制度更好落地，笔者认为应该从以下几个方面入手：

　　3.1落实网络安全责任

　　要设立网络安全领导机构，明确主管领导，落实网络安全职能部门，完善已有岗位和人员管理制度，设置安全管理职能部门和岗位，明确职能界定、分工，落实安全管理责任制，完善安全教育和培训制度。对管理人员、网络运维人员等与信息系统息息相关的工作人员进行定期培训，并根据培训内容进行考核，以提高相关人员业务水平和安全防范意识[4]。

　　落实安全责任制的具体措施还应参照和执行相关管理规定。例如，党政机关信息系统应执行《关于加强党政机关计算机信息系统安全和保密管理的若干规定》，其中要求“各级应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员”[5]。

　　3.2对网络安全管理进行现状分析

　　首先应该针对信息系统网络安全管理现状进行分析，通过内部自查摆出问题或寻求专业技术人员帮助，明确网络安全管理建设整改的需求。

　　可以通过内部对照检查、外部专家评审、信息系统风险评估、等级测评等方式进行，列出问题清单，明确目前所采取的安全管理措施与等级保护标准要求之间的差距，分析信息系统潜在的安全风险以及安全管理方面存在的问题，形成安全管理建设整改方案。

　　3.3完善安全管理制度

　　根据安全整改方案，进行安全管理体系规划，其核心思想是调整并完善原有管理模式和管理策略，既要从全局高度为整个网络安全管理制定目标，根据目标制定切合实际的各个层面的安全管理策略，又要从实际信息系统级别、实际安全需求出发，选择并调整具体的安全管理措施，最后形成统一、整体的网络安全管理体系。

　　在具体工作中，要根据等保测评安全管理要求，结合信息系统和单位实际情况，明确安全管理目标和安全策略，针对信息系统可能涉及的各类管理活动，从人员安全管理、网络建设管理、网络运维管理等方面着手，制定一系列安全管理制度，如《人员录用、离岗、考核、教育培训管理制度》《安全服务商规范管理制度》《项目全生命周期管理规范》《机房环境安全管理规范》《应急预案》等。与此同时，要制定定期检查制度，包括常规检查和全面检查等，在实际运行中落实并不断完善。要规范安全管理人员和信息系统运维操作人员的操作规程等，逐步形成较为完善的安全管理体系。

　　3.4加强人员培训和日常工作监管

　　注重人才的输入，尽量做到专岗专责，确保具体工作责任到人。要加强人员安全管理，主要涵盖人员从录用到离岗整个过程中的活动，重点包括考核、教育培训等关键环节。要按照规范执行人员录用、离岗程序，要求关键岗位签署岗位协议；根据不同岗位人员安排个性化的岗位技能培训，结合培训情况进行技能考核，将安全意识教育融入日常工作的方方面面。

　　此外，安全主管应将网络常规运行维护纳入日常工作体系，对运行管理过程中的常规操作，包括但不限于账号管理、基线配置、日志维护、系统升级等过程进行控制，制定相应的管理制度和操作规程并落实执行[4]。同时，要定期对网络安全状况开展自查工作，根据自查结果进一步整改提升。

　　3.5注重人才的培养和引进

　　人才可以说得上是一个单位，甚至是一个行业的“战略资源”，人才的培养是基础，人才的引进是重点，人才的利用是关键。对于信息安全部门而言，更是需要专业管理人员和技术人员的加持，在单位内部，要充分利用现有资源，对管理人员开展专业化培训，全方位培养，要求管理人员既要懂管理，又要懂技术，这样才能从监管层面尽量面面俱到，确保管理制度的落地生根。人才的引进从技术层面而言，可以通过多渠道聘用紧缺专业人才，如与专业技术公司等单位建立沟通机制，加强人才的相互交流合作，也可通过高校设立的大学生就业实践基地等途径，选拔高水平人才扩充技术队伍；从管理层面而言，可以充分发挥退休专家的作用，就如何建立管理体系、如何更好实践落地上请专家给予指导性建议。此外，作为一个单位的领导者，也需要知人善任，任贤使能，方能让人才的培养、引进、利用这样一个有机整体平稳运转起来。

　　结语

　　近年来，国家和各级职能部门在信息安全方面已经做了大量努力，但就范围、影响和效果来讲，迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，在方向感、敏感度和应对能力方面，信息系统无论是从快速响应还是及时预警上都还有很大的进步空间。在信息系统等级保护测评工作中，无论是政府主管部门、信息系统运营使用单位，还是测评服务机构，都应该认真研究和理解政策体系要求，避免出现工作方向和工作重点偏离、工作流程混乱等现象；认真学习、掌握标准体系要求，按照标准细化各个环节工作中的技术要求和管理要求[6]，责任单位在网络系统进行加固改造中，不仅要从硬件上做到缺少什么补充什么，也要从安全管理层面进行实际整改，确保可行性，使所负责的网络系统确实能够达到相应等级的基本保护水平和保护能力。

　　参考文献：

　　[1]肖国煜.信息系统等级保护测评实践[J].信息网络安全,2011,(7):86-88.

　　[2]《2018网络安全人才发展白皮书》发布[J].新闻采编,2018,(5):13.

　　[3]网络空间安全学科建设与人才培养论坛.2020网络安全人才发展白皮书[J].[2022-03-18].https://max.book118.com/html/2021/0901/8034141022003143.shtm

　　[4]郭启全.网络安全法与网络安全等级保护制度培训教程（2018版）[M].北京：电子工业出版社,2018:150-161.

　　[5]中共湖北省委办公厅 湖北省人民政府办公厅转发《关于加强党政机关计算机信息系统安全和保密管理的若干规定》的通知[J].湖北省人民政府公报,2008,(1):29-31.

　　[6]宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述[J].信息通信技术,2010,4(6):58-63.

　　作者简介：张飞亚，网络工程师，硕士研究生。