【技術(shù)達人秀（6）】信息安全等級保護勢在必行

清華同方電腦總工程師劉鋒

信息安全是項系統(tǒng)工程，所以評估信息系統(tǒng)的安全性必須整體考量，這就像日常生活中經(jīng)常提到的木桶原理（短板效應(yīng)），任何一塊組成部分出現(xiàn)漏洞，整個體系都會失去價值。

在實踐操作中，硬件建設(shè)的系統(tǒng)工程和軟件的全過程管控需要在細(xì)節(jié)上詳細(xì)布局。否則，即使密碼算法再合理、傳輸體系管理再嚴(yán)格，只要使用環(huán)境保護不到位，任何一個環(huán)節(jié)出現(xiàn)泄露都會讓整個安全體系瓦解，包括建設(shè)信息系統(tǒng)使用環(huán)境、監(jiān)控使用流程、審計使用過程以及安全漏洞出現(xiàn)后的應(yīng)急措施和處理設(shè)備廢料。

值得一提的是，身份認(rèn)證在該體系里是重要一環(huán)。一般情況下，使用者通過指紋、密碼、虹膜、IC卡、二代身份證等方式鑒別機器和操作人員的身份。但為了確保萬無一失，最為保險的途徑是密碼（軟件識別）、指紋（生物特征）、物理硬件三者相結(jié)合。

在這種情況下，僅僅購買加密機或安全防護軟件不能從根本上解決這些問題。國家正是認(rèn)識到了這些問題，才開始了信息安全等級保護工作。

所謂信息安全等級保護，是指根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)的重要程度和實際安全需求，實行分級、分類、分階段保護，從而保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。信息安全等級保護的核心是對信息系統(tǒng)，特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級，按標(biāo)準(zhǔn)建設(shè)、管理和監(jiān)督。目前，國家對信息安全等級保護工作運用的法律和技術(shù)規(guī)范都在逐級加強監(jiān)管力度，以保障重要的信息資源和系統(tǒng)的安全。

在操作層面，信息安全等級保護制度的主要內(nèi)容是，對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級管理保護，對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用區(qū)域分級保護，對系統(tǒng)中使用的信息安全產(chǎn)品按分級許可管理，對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)和處置。

為何要在信息安全領(lǐng)域?qū)嵭械燃壉Ｗo制度呢？從根本上來說，是為了保護信息技術(shù)的業(yè)務(wù)安全應(yīng)用。對信息安全體系分級保護是客觀需求，信息系統(tǒng)的建立是為社會發(fā)展、社會生活的需要而設(shè)計建立的，是社會構(gòu)成、行政組織體系及其業(yè)務(wù)體系的反映，這種體系本身就是分層次和級別的。因此，信息安全保護必須符合客觀需求。等級化保護是信息安全發(fā)展的必然規(guī)律，按組織業(yè)務(wù)應(yīng)用區(qū)域、分層、分類、分級實行保護和管理，分階段推進等級保護制度建設(shè)，是做好國家信息安全保護必然遵循的客觀規(guī)律。（梁爽）