奏響安全等級保護主旋律

（記者 陳芳丹）今年是等級保護工作全面開展的第一年，作為一項基本制度，等級保護工作無疑將在我國未來信息安全保障工作中占據格外重要的地位。

6月22日，《信息安全等級保護管理辦法》（公通字[2007]43號）由公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室等國家四部委制訂完成并審批通過，辦法的頒布標志著2006年《信息安全等級保護管理辦法》（公通字[2006]7號）的廢止。自此，全國范圍的等級保護工作便轟轟烈烈地展開了。到12月2日，等級保護工作的開展已4個月有余。如何有效地總結各部委、行業等級保護工作的進展情況，并對下一步工作的開展進行合理展望，就成為本次IT兩會“等級保護推廣與實施”論壇的關注點。

本次論壇上，公安部公共信息網絡安全監察局七處處長郭啟全、信息化技術標準委員會副主任委員崔書昆、東軟網絡安全營銷中心解決方案部部長曹鵬、e-Cop公司區域副總裁兼董事總經理徐為群等與會嘉賓，分別從主管部門的政策引導、專家的認識體會以及廠商的產業推動等方面，進行了等級保護相關的主題演講。

等級保護意義重大

隨著國民經濟和社會發展信息化進程的全面加快、信息化程度的不斷提高，關系國計民生的基礎信息網絡和重要信息系統已經成為國家的命脈所在。然而在當前，我國基礎信息網絡和重要信息系統卻仍然面臨著外部攻擊、威脅、自身脆弱性、薄弱環節等諸多問題。2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）出臺后，各單位、部門都在信息安全保障工作方面開展了多項工作并取得了一定成效。然而，在信息安全保障工作的具體落實過程中，卻仍然存在著“工作重點不突出、找不出重點、沒有標準”等問題，公安部公共信息網絡安全監察局七處處長郭啟全在本次論壇上指出，“總的來說，信息安全保障工作沒有一個總體的牽頭的帶動工作，落實起來還顯得比較弱，這樣的形勢促使國家大力推進等級保護制度。”

在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全、社會穩定以及人民群眾切身利益的今天，信息安全問題已然成為事關全局的戰略性問題。信息化技術標準委員會副主任委員崔書昆認為，“在這種情勢下，將信息安全等級保護確定為提高國家信息安全保障能力、維護國家安全、社會穩定和公共利益的一項基本制度，是非常必要的。”

其實，信息安全等級保護是歐、美等發達國家實現信息安全保障工作的通行做法。譬如，美國在1985年發布的《可信計算機系統評估準則》（TCSEC）將計算機系統安全等級分為四等七級；歐洲在1990年發布的《信息技術安全評估準則》（ITSEC）將信息系統安全功能分為十級，評估級分為七級；1996年，歐美六國七方制訂的《信息技術安全共同評估準則》（后來成為ISO/IEC 15408（1999）國際標準）將評估保障級分為七級；2002年美國制訂的《聯邦信息安全管理法案》（FISMA）規定，每一聯邦機構必須按照FIPS199等標準，依據信息系統及其所載信息的重要性和影響，分別劃為高、中、低三個基本安全保護級別。由此可見，實施等級保護，將信息系統按其所載信息的重要程度劃分級別、采取防護措施已經形成國際潮流，而我國的等級保護工作的開展是順應國際潮流的舉措。同時，對國外有益經驗的借鑒也可以加速我國信息安全保障體系的建設。

6月22日，《信息安全等級保護管理辦法》（公通字[2007]43號）由公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室等國家四部委制訂完成并審批通過。7月，四部委又聯合下發了《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）。43號文與861號文的出臺，不僅為等級保護工作的開展提供了規范保障，也從政策文件角度標志著這項工作的成熟。兩個里程碑式的文件正式出臺并下發后，7月20日，由公安部牽頭的“全國重要信息系統安全等級保護定級工作電視電話會議”在北京召開，標志著信息安全等級保護工作在全國范圍內正式開展與實施。同時，公安部、國家保密局、國家密碼管理局聯合成立的“國家信息安全等級保護協調小組”的建立，也為等級保護工作的開展提供了有力的組織保障。

“通過實施等級保護，充分體現‘適度安全、保護重點’的目的，可以把國家的重要網絡、重要系統挑出來，把國家有限的精力、財力投入到信息保護當中去，提高國家基礎網絡和重要信息系統的安全保護水平，同時提高信息安全保障工作的整體水平。”郭啟全處長表示。在本次論壇上，郭啟全特別強調了等級保護的兩個屬性——“惟一性”與“強制性”。“等級保護的工作是國家信息保障的基本制度，具有惟一性，不具有選擇性。信息安全等級保護是國家意志的體現，國家信息安全保障工作只有等級保護制度是強制實施的，也只有等級保護工作是由四個部委共同組織實施、公安機關牽頭實施的。”

定級工作火熱開展

7月20日，“全國重要信息系統安全等級保護定級工作電視電話會議”召開后，醞釀多年的信息安全等級保護工作便在全國正式展開了。在本次論壇上，崔書昆用“定級熱潮”來形容轟轟烈烈的等級保護定級工作，“其規模之大，涉及面之廣，各級領導之重視，在我國信息安全工作史上甚是少見。”

據他介紹，在工作開展過程中，由四部委代表國家執行三個方面的工作：第一，組織制訂國家等級保護的政策標準規范；第二，組織各單位實施、開展等級保護工作；第三，對等級保護工作進行監督檢查指導。談到剛剛過去的2007下半年各部委開展的自主定級工作時，郭啟全表示，“所謂自主定級，是由于各單位了解自己信息系統的重要部位，因此需要進行自主定級。而需要強調的是，自主定級不是絕對的。”據悉，單位在自主定級后，還需要經過領導部門的審批、專家評審以及公安機關備案的“三關”審核。各單位對信息系統自主定級，并向公安機關以及保密部門備案，是今年國家等級保護的主要工作。

在4個多月等級保護定級工作的開展過程中，崔書昆參與了多個部門、單位的定級討論工作。談到定級工作的體會，崔書昆認為，“吃透文件、把握重點、掌握相關政策并嚴格依據、把握定級工作的流程”是做好定級的關鍵。他認為，在定級過程中，各單位還應“結合本行業的特點”。他表示，“實際上，在本次定級當中，各個部委、各個部門都根據自己的工作特點、系統狀況，做了具體的系統與等級劃分。這次定級工作涉及的面非常廣，各個單位的工作特點和信息系統的情況也不一樣。如果千篇一律地定級，那么定出來的等級會有很多不適合。”

“另外，進行由上而下的指導也很重要，要堅持評審、審批與備案制度。”崔書昆在論壇上指出，各單位應初步確定信息系統安全保護等級，并聘請專家進行評審；對擬確定為第四級以上信息系統的，還要請國家信息安全保護等級專家評審委員會評審。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時，可以進行相應的協調。

崔書昆還強調，在等級保護工作中，除了要貫徹有關的法律法規外，還要全面貫徹信息安全等級保護有關的信息安全技術標準。據他介紹，近幾年我國發布的一系列信息安全標準，大體上可以分為五組：實施指南、定級指南、保護要求（包括系統和產品）、管理要求（包括工程管理）和測評要求。“在完成定級之后的各工作階段，應特別強調貫徹執行已有標準。在信息安全等級保護工作開展的全過程，需要認真學習和應用這些標準，并在應用中提出修訂建議，以便不斷完善這些標準，使我國信息安全等級保護工作做得更好。”多年來，我國還制訂了一系列與涉密系統分級保護工作相關的技術標準與管理標準，這些也應當在相關工作中認真貫徹。

到目前為止，納入此次重要信息系統定級備案范圍的全國各個重點行業、單位和部門，絕大多數都已完成了信息系統定級備案工作。其中50多個部（委、局）以及各省（區、市）專門成立了由主要領導掛帥的等級保護領導（協調）機構，形成了等級保護工作的組織領導機制。鐵道部、人民銀行、海關總署等40多個部（委、局）召開了全系統會議，部署定級工作，開展集中培訓。此外，公安部上門督促指導了17個部委定級工作，并配合20多個部委開展了定級工作培訓。“根據我們現在得到的備案數據以及統計結果，絕大多數的部委、省市都已經完成工作，取得了非常大的成效。目前，重要領域、命脈行業的定級工作都完成得非常好。”郭啟全用“收獲季節”來形容當前的定級工作。

等級保護影響深遠

在政策層面和實施層面對等級保護工作進行深入分析后我們看到，實施等級保護或者說通過實施等級保護最終將更好地保障信息安全，其實更多的是在談論如何劃分級別、如何實施管理。在日新月異的安全技術更替中，如何將技術與管理很好地融合，成為值得探討的話題。技術的進步使得眾多安全產品，譬如FW、IDS、防病毒、IPS、CA、PKI等產品百花齊放，令人目不暇接。然而在很多時候，管理制度卻是原地踏步。東軟網絡安全營銷中心解決方案部部長曹鵬認為，“沒有優秀的管理策略制度支撐的安全產品，只是安全矩陣中的散兵游勇。”作為安全產業的推動者，東軟詳細闡述了應該將人、技術、管理三者進行融合，并且借此將等級保護工作進行到底。曹鵬認為，“管理是從嚴到疏，再到自覺；從面面俱到，到點點細致；從技術升華，到回歸技術本質。實質上，管理應該走人性化與中國化的創新融合之路。”

在本次論壇上，來自新加坡e-Cop公司的區域副總裁兼董事總經理徐為群，與參會嘉賓分享了新加坡等東南亞國家類似我國等級保護制度的信息安全相關制度，并就e-Cop公司包括安全設備支持維護、安全設備管理、安全咨詢服務、安全設備監控、日志分析、事件處理/響應 （7×24安全監控服務）等的可管理安全服務（MSS，Managed Security Service），進行了翔實細致的介紹。

今年是等級保護工作全面正式開展的第一年，而作為一項基本制度，等級保護工作無疑將在我國未來信息安全保障工作中占據格外重要的地位。在推進等級保護工作貫徹落實的過程中，如何更準確完整地理解、把握政策要求，如何在每個階段性工作進展中對經驗教訓進行及時的回顧和總結，如何有效地借鑒國外等級保護工作的方式方法，如何將日新月異的技術真正融合入安全管理，并最終更好地貫徹于國家制度……諸多問題，都需要整個產業界進行不斷地探索、認識和總結。

在本次論壇上，與會各方一致認為，今年定級備案工作的圓滿完成，為等級保護的后續工作開了個好頭。我們有理由期待建設、整改、測評、檢察等工作在今后更完美地開展，并以此從根本上提高我國信息安全保障工作的整體水平。