奏響安全等級保護(hù)主旋律

（記者 陳芳丹）今年是等級保護(hù)工作全面開展的第一年，作為一項基本制度，等級保護(hù)工作無疑將在我國未來信息安全保障工作中占據(jù)格外重要的地位。

6月22日，《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）由公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室等國家四部委制訂完成并審批通過，辦法的頒布標(biāo)志著2006年《信息安全等級保護(hù)管理辦法》（公通字[2006]7號）的廢止。自此，全國范圍的等級保護(hù)工作便轟轟烈烈地展開了。到12月2日，等級保護(hù)工作的開展已4個月有余。如何有效地總結(jié)各部委、行業(yè)等級保護(hù)工作的進(jìn)展情況，并對下一步工作的開展進(jìn)行合理展望，就成為本次IT兩會“等級保護(hù)推廣與實施”論壇的關(guān)注點。

本次論壇上，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局七處處長郭啟全、信息化技術(shù)標(biāo)準(zhǔn)委員會副主任委員崔書昆、東軟網(wǎng)絡(luò)安全營銷中心解決方案部部長曹鵬、e-Cop公司區(qū)域副總裁兼董事總經(jīng)理徐為群等與會嘉賓，分別從主管部門的政策引導(dǎo)、專家的認(rèn)識體會以及廠商的產(chǎn)業(yè)推動等方面，進(jìn)行了等級保護(hù)相關(guān)的主題演講。

等級保護(hù)意義重大

隨著國民經(jīng)濟(jì)和社會發(fā)展信息化進(jìn)程的全面加快、信息化程度的不斷提高，關(guān)系國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為國家的命脈所在。然而在當(dāng)前，我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)卻仍然面臨著外部攻擊、威脅、自身脆弱性、薄弱環(huán)節(jié)等諸多問題。2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）出臺后，各單位、部門都在信息安全保障工作方面開展了多項工作并取得了一定成效。然而，在信息安全保障工作的具體落實過程中，卻仍然存在著“工作重點不突出、找不出重點、沒有標(biāo)準(zhǔn)”等問題，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局七處處長郭啟全在本次論壇上指出，“總的來說，信息安全保障工作沒有一個總體的牽頭的帶動工作，落實起來還顯得比較弱，這樣的形勢促使國家大力推進(jìn)等級保護(hù)制度。”

在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴(yán)重關(guān)系到國家安全、社會穩(wěn)定以及人民群眾切身利益的今天，信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。信息化技術(shù)標(biāo)準(zhǔn)委員會副主任委員崔書昆認(rèn)為，“在這種情勢下，將信息安全等級保護(hù)確定為提高國家信息安全保障能力、維護(hù)國家安全、社會穩(wěn)定和公共利益的一項基本制度，是非常必要的。”

其實，信息安全等級保護(hù)是歐、美等發(fā)達(dá)國家實現(xiàn)信息安全保障工作的通行做法。譬如，美國在1985年發(fā)布的《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）將計算機(jī)系統(tǒng)安全等級分為四等七級；歐洲在1990年發(fā)布的《信息技術(shù)安全評估準(zhǔn)則》（ITSEC）將信息系統(tǒng)安全功能分為十級，評估級分為七級；1996年，歐美六國七方制訂的《信息技術(shù)安全共同評估準(zhǔn)則》（后來成為ISO/IEC 15408（1999）國際標(biāo)準(zhǔn)）將評估保障級分為七級；2002年美國制訂的《聯(lián)邦信息安全管理法案》（FISMA）規(guī)定，每一聯(lián)邦機(jī)構(gòu)必須按照FIPS199等標(biāo)準(zhǔn)，依據(jù)信息系統(tǒng)及其所載信息的重要性和影響，分別劃為高、中、低三個基本安全保護(hù)級別。由此可見，實施等級保護(hù)，將信息系統(tǒng)按其所載信息的重要程度劃分級別、采取防護(hù)措施已經(jīng)形成國際潮流，而我國的等級保護(hù)工作的開展是順應(yīng)國際潮流的舉措。同時，對國外有益經(jīng)驗的借鑒也可以加速我國信息安全保障體系的建設(shè)。

6月22日，《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）由公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室等國家四部委制訂完成并審批通過。7月，四部委又聯(lián)合下發(fā)了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）。43號文與861號文的出臺，不僅為等級保護(hù)工作的開展提供了規(guī)范保障，也從政策文件角度標(biāo)志著這項工作的成熟。兩個里程碑式的文件正式出臺并下發(fā)后，7月20日，由公安部牽頭的“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”在北京召開，標(biāo)志著信息安全等級保護(hù)工作在全國范圍內(nèi)正式開展與實施。同時，公安部、國家保密局、國家密碼管理局聯(lián)合成立的“國家信息安全等級保護(hù)協(xié)調(diào)小組”的建立，也為等級保護(hù)工作的開展提供了有力的組織保障。

“通過實施等級保護(hù)，充分體現(xiàn)‘適度安全、保護(hù)重點’的目的，可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來，把國家有限的精力、財力投入到信息保護(hù)當(dāng)中去，提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)水平，同時提高信息安全保障工作的整體水平。”郭啟全處長表示。在本次論壇上，郭啟全特別強(qiáng)調(diào)了等級保護(hù)的兩個屬性——“惟一性”與“強(qiáng)制性”。“等級保護(hù)的工作是國家信息保障的基本制度，具有惟一性，不具有選擇性。信息安全等級保護(hù)是國家意志的體現(xiàn)，國家信息安全保障工作只有等級保護(hù)制度是強(qiáng)制實施的，也只有等級保護(hù)工作是由四個部委共同組織實施、公安機(jī)關(guān)牽頭實施的。”

定級工作火熱開展

7月20日，“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”召開后，醞釀多年的信息安全等級保護(hù)工作便在全國正式展開了。在本次論壇上，崔書昆用“定級熱潮”來形容轟轟烈烈的等級保護(hù)定級工作，“其規(guī)模之大，涉及面之廣，各級領(lǐng)導(dǎo)之重視，在我國信息安全工作史上甚是少見。”

據(jù)他介紹，在工作開展過程中，由四部委代表國家執(zhí)行三個方面的工作：第一，組織制訂國家等級保護(hù)的政策標(biāo)準(zhǔn)規(guī)范；第二，組織各單位實施、開展等級保護(hù)工作；第三，對等級保護(hù)工作進(jìn)行監(jiān)督檢查指導(dǎo)。談到剛剛過去的2007下半年各部委開展的自主定級工作時，郭啟全表示，“所謂自主定級，是由于各單位了解自己信息系統(tǒng)的重要部位，因此需要進(jìn)行自主定級。而需要強(qiáng)調(diào)的是，自主定級不是絕對的。”據(jù)悉，單位在自主定級后，還需要經(jīng)過領(lǐng)導(dǎo)部門的審批、專家評審以及公安機(jī)關(guān)備案的“三關(guān)”審核。各單位對信息系統(tǒng)自主定級，并向公安機(jī)關(guān)以及保密部門備案，是今年國家等級保護(hù)的主要工作。

在4個多月等級保護(hù)定級工作的開展過程中，崔書昆參與了多個部門、單位的定級討論工作。談到定級工作的體會，崔書昆認(rèn)為，“吃透文件、把握重點、掌握相關(guān)政策并嚴(yán)格依據(jù)、把握定級工作的流程”是做好定級的關(guān)鍵。他認(rèn)為，在定級過程中，各單位還應(yīng)“結(jié)合本行業(yè)的特點”。他表示，“實際上，在本次定級當(dāng)中，各個部委、各個部門都根據(jù)自己的工作特點、系統(tǒng)狀況，做了具體的系統(tǒng)與等級劃分。這次定級工作涉及的面非常廣，各個單位的工作特點和信息系統(tǒng)的情況也不一樣。如果千篇一律地定級，那么定出來的等級會有很多不適合。”

“另外，進(jìn)行由上而下的指導(dǎo)也很重要，要堅持評審、審批與備案制度。”崔書昆在論壇上指出，各單位應(yīng)初步確定信息系統(tǒng)安全保護(hù)等級，并聘請專家進(jìn)行評審；對擬確定為第四級以上信息系統(tǒng)的，還要請國家信息安全保護(hù)等級專家評審委員會評審。當(dāng)專家評審意見與信息系統(tǒng)運(yùn)營使用單位或其主管部門意見不一致時，可以進(jìn)行相應(yīng)的協(xié)調(diào)。

崔書昆還強(qiáng)調(diào)，在等級保護(hù)工作中，除了要貫徹有關(guān)的法律法規(guī)外，還要全面貫徹信息安全等級保護(hù)有關(guān)的信息安全技術(shù)標(biāo)準(zhǔn)。據(jù)他介紹，近幾年我國發(fā)布的一系列信息安全標(biāo)準(zhǔn)，大體上可以分為五組：實施指南、定級指南、保護(hù)要求（包括系統(tǒng)和產(chǎn)品）、管理要求（包括工程管理）和測評要求。“在完成定級之后的各工作階段，應(yīng)特別強(qiáng)調(diào)貫徹執(zhí)行已有標(biāo)準(zhǔn)。在信息安全等級保護(hù)工作開展的全過程，需要認(rèn)真學(xué)習(xí)和應(yīng)用這些標(biāo)準(zhǔn)，并在應(yīng)用中提出修訂建議，以便不斷完善這些標(biāo)準(zhǔn)，使我國信息安全等級保護(hù)工作做得更好。”多年來，我國還制訂了一系列與涉密系統(tǒng)分級保護(hù)工作相關(guān)的技術(shù)標(biāo)準(zhǔn)與管理標(biāo)準(zhǔn)，這些也應(yīng)當(dāng)在相關(guān)工作中認(rèn)真貫徹。

到目前為止，納入此次重要信息系統(tǒng)定級備案范圍的全國各個重點行業(yè)、單位和部門，絕大多數(shù)都已完成了信息系統(tǒng)定級備案工作。其中50多個部（委、局）以及各省（區(qū)、市）專門成立了由主要領(lǐng)導(dǎo)掛帥的等級保護(hù)領(lǐng)導(dǎo)（協(xié)調(diào)）機(jī)構(gòu)，形成了等級保護(hù)工作的組織領(lǐng)導(dǎo)機(jī)制。鐵道部、人民銀行、海關(guān)總署等40多個部（委、局）召開了全系統(tǒng)會議，部署定級工作，開展集中培訓(xùn)。此外，公安部上門督促指導(dǎo)了17個部委定級工作，并配合20多個部委開展了定級工作培訓(xùn)。“根據(jù)我們現(xiàn)在得到的備案數(shù)據(jù)以及統(tǒng)計結(jié)果，絕大多數(shù)的部委、省市都已經(jīng)完成工作，取得了非常大的成效。目前，重要領(lǐng)域、命脈行業(yè)的定級工作都完成得非常好。”郭啟全用“收獲季節(jié)”來形容當(dāng)前的定級工作。

等級保護(hù)影響深遠(yuǎn)

在政策層面和實施層面對等級保護(hù)工作進(jìn)行深入分析后我們看到，實施等級保護(hù)或者說通過實施等級保護(hù)最終將更好地保障信息安全，其實更多的是在談?wù)撊绾蝿澐旨墑e、如何實施管理。在日新月異的安全技術(shù)更替中，如何將技術(shù)與管理很好地融合，成為值得探討的話題。技術(shù)的進(jìn)步使得眾多安全產(chǎn)品，譬如FW、IDS、防病毒、IPS、CA、PKI等產(chǎn)品百花齊放，令人目不暇接。然而在很多時候，管理制度卻是原地踏步。東軟網(wǎng)絡(luò)安全營銷中心解決方案部部長曹鵬認(rèn)為，“沒有優(yōu)秀的管理策略制度支撐的安全產(chǎn)品，只是安全矩陣中的散兵游勇。”作為安全產(chǎn)業(yè)的推動者，東軟詳細(xì)闡述了應(yīng)該將人、技術(shù)、管理三者進(jìn)行融合，并且借此將等級保護(hù)工作進(jìn)行到底。曹鵬認(rèn)為，“管理是從嚴(yán)到疏，再到自覺；從面面俱到，到點點細(xì)致；從技術(shù)升華，到回歸技術(shù)本質(zhì)。實質(zhì)上，管理應(yīng)該走人性化與中國化的創(chuàng)新融合之路。”

在本次論壇上，來自新加坡e-Cop公司的區(qū)域副總裁兼董事總經(jīng)理徐為群，與參會嘉賓分享了新加坡等東南亞國家類似我國等級保護(hù)制度的信息安全相關(guān)制度，并就e-Cop公司包括安全設(shè)備支持維護(hù)、安全設(shè)備管理、安全咨詢服務(wù)、安全設(shè)備監(jiān)控、日志分析、事件處理/響應(yīng) （7×24安全監(jiān)控服務(wù)）等的可管理安全服務(wù)（MSS，Managed Security Service），進(jìn)行了翔實細(xì)致的介紹。

今年是等級保護(hù)工作全面正式開展的第一年，而作為一項基本制度，等級保護(hù)工作無疑將在我國未來信息安全保障工作中占據(jù)格外重要的地位。在推進(jìn)等級保護(hù)工作貫徹落實的過程中，如何更準(zhǔn)確完整地理解、把握政策要求，如何在每個階段性工作進(jìn)展中對經(jīng)驗教訓(xùn)進(jìn)行及時的回顧和總結(jié)，如何有效地借鑒國外等級保護(hù)工作的方式方法，如何將日新月異的技術(shù)真正融合入安全管理，并最終更好地貫徹于國家制度……諸多問題，都需要整個產(chǎn)業(yè)界進(jìn)行不斷地探索、認(rèn)識和總結(jié)。

在本次論壇上，與會各方一致認(rèn)為，今年定級備案工作的圓滿完成，為等級保護(hù)的后續(xù)工作開了個好頭。我們有理由期待建設(shè)、整改、測評、檢察等工作在今后更完美地開展，并以此從根本上提高我國信息安全保障工作的整體水平。