2016年11月，《中華人民共和國網絡安全法》高票通過，成為我國首部網絡安全領域的法律。從明確提出“沒有網絡安全就沒有國家安全”，到突出強調“樹立正確的網絡安全觀”，再到明確要求“全面貫徹落實總體國家安全觀”，黨的十八大以來，我國網絡安全保障能力建設得到加強，國家網絡安全屏障進一步鞏固。“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。”在全國網絡安全和信息化工作會議上，習近平總書記著重強調樹立網絡安全意識，就做好國家網絡安全工作提出明確要求，為筑牢國家網絡安全屏障、推進網絡強國建設提供了根本遵循。習近平總書記指出，要樹立正確的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發展網絡安全產業，做到關口前移，防患于未然。要落實關鍵信息基礎設施防護責任，行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任，主管部門履行好監管責任。要依法嚴厲打擊網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法犯罪行為，切斷網絡犯罪利益鏈條，持續形成高壓態勢，維護人民群眾合法權益。要深入開展網絡安全知識技能宣傳普及，提高廣大人民群眾網絡安全意識和防護技能。

網絡安全保障體系的構建

網絡安全保障體系如圖1所示。其保障功能主要體現在對整個網絡系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便于有效地預防、保護、響應和恢復，確保系統安全運行。

圖1 網絡安全保障體系

1．網絡安全保障關鍵要素

網絡安全保障關鍵要素包括四個方面：網絡安全策略、網絡安全管理、網絡安全運作和網絡安全技術，如圖2所示。其中，網絡安全策略為安全保障的核心，主要包括網絡安全的戰略、政策和標準。網絡安全管理是指企事業機構的管理行為，主要包括安全意識、組織結構和審計監督。網絡安全運作是企事業機構的日常管理行為，包括運作流程和對象管理。網絡安全技術是網絡系統的行為，包括安全服務、措施、基礎設施和技術手段。

圖2 網絡安全保障要素 圖3 P2DR模型示意圖

在機構的管理機制下，只有利用運作機制借助技術手段，才可真正實現網絡安全。通過網絡安全運作，在日常工作中認真執行網絡安全管理和網絡安全技術手段，“七分管理，三分技術，運作貫穿始終”，管理是關鍵，技術是保障，其中的管理實際上包括管理技術。P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型，也是動態安全模型，包含4個主要部分：Policy(安全策略)、Protection(防護)、Detection(檢測)和 Response(響應)。如圖3所示。

2．網絡安全保障總體框架

鑒于網絡系統的各種威脅和風險，以往傳統針對單方面具體的安全隱患，所提出的具體解決方案具有一定其局限性，應對的措施也難免顧此失彼。面對新的網絡環境和威脅，需要建立一個以深度防御為特點的網絡信息安全保障體系。網絡安全保障體系總體框架如圖4所示。此保障體系框架的外圍是風險管理、法律法規、標準的符合性。

圖4 網絡安全保障體系框架

網絡安全管理的本質是對網絡信息安全風險進行動態及有效管理和控制。網絡安全風險管理是網絡運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網絡信息安全風險。實際上，在網絡信息安全保障體系框架中，充分體現了風險管理的理念。網絡安全保障體系架構包括五個部分：

1) 網絡安全策略。屬于整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網絡安全建設。

2) 網絡安全政策和標準。是對網絡安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標準，通過落實標準政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標準也需要調整并相互適應，反之，安全政策和標準也會影響管理、運作和技術。

3) 網絡安全運作。基于日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網絡安全保障體系的核心，貫穿網絡安全始終；也是網絡安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網絡安全管理。對網絡安全運作至關重要，從人員、意識、職責等方面保證網絡安全運作的順利進行。網絡安全通過運作體系實現，而網絡安全管理體系是從人員組織的角度保證正常運作，網絡安全技術體系是從技術角度保證運作。

5) 網絡安全技術。網絡安全運作需要的網絡安全基礎服務和基礎設施的及時支持。先進完善的網絡安全技術可極大提高網絡安全運作的有效性，從而達到網絡安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防范和控制。