企业是等级保护制度的宣传者和建设者

每当新的政策法规出台，往往都会引起相应的产业调整，以适应游戏规则的变化。其实规则的改变就是要促使参与者进行资源整合，以达到符合市场要求的最佳状态。随着等级保护制度的推广，来自信息安全业界的关注和声音越来越多，众多厂商都将此作为企业再发展的契机。

联想网御信息安全业务技术总监刘科全认为，企业是国家等级保护标准制定的参与者，是不同保护等级安全产品的研制者，是等级保护制度的宣传者，是等级划分与等级保护体系的建设者。

根据资产的价值划分，安全保护等级是信息安全产业发展内在规律的体现，也是国外的通行做法，做好这方面的工作，需要在标准准备、产品准备、制度准备等方面做大量的工作。

在制度准备方面，我们现在已经有了GB17859－1999《计算机信息系统安全保护等级划分准则》这样的国家标准，但还远远不够，我们还需要很多具体的支持等级保护的子标准。以防火墙为例，我们目前有GB/T18019和GB/T18020这两个标准，而这两个标准的制定不是完全按等级保护的思想制定的，需要根据不同的保护等级制定不同的产品标准。

在产品准备方面，需要厂家按照等级保护的思想进行产品设计。联想网御在最近两年的产品研发中，已经将等级保护的思想融入到产品定义与产品研发之中，等相应的产品标准出台后，我们很快就可以推出对应的产品系列。

在制度方面，关键是统一产品评测认证体系与宣贯监控体系。有很多厂商都担心，推行等级保护制度之后，同一类产品是不是需要从低等级到高等级的多次评测认证，担心是否会进一步加剧厂商在产品评测认证方面的经费和人力投入，担心有些政府部门利用等级保护制度进一步变相向企业收取费用。

谈到等级保护，就一定要提及中办27号文件和信息安全保障工作会议。刘科全认为，27号文件是有史以来，中国信息安全建设方面最重要最全面的指导文件。27号文件站在国家安全的高度，将网络空间视为国家和社会的神经系统与控制系统，认为保护网络空间安全是捍卫国家安全的重要组成部分。基于上述认识，明确提出了“积极防御、综合防范”的安全方针。27号文件针对我国信息安全防护水平不高，应急处理能力不强，管理和技术人才缺乏，关键技术比较落后，产业缺乏核心竞争力，法律法规和标准不完善，管理薄弱的状况，要求信息安全建设要立足国情，以我为主，管理与技术并重；以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作。总之，27号文件明确了国家、企业、个人在加强信息安全保障工作中的责任和义务，为信息安全建设规划、信息安全产业发展和信息安全学术研究指明了前进的方向。我们认为，27号文件是号召我国各行业加强信息安全保障工作的动员令，是如何推进信息安全保障工作的指南针，将开创中国信息安全产业的新纪元。

信息安全是一个政治性和技术性都非常强的产业，需要国家的整体推动。作为信息安全企业，一方面我们很高兴国家明确提出支持民族企业发展的决议，另一方面我们也将进一步加大在研发投入上的力度，在某些基础技术上不但要追赶上国际先进水平，而且还要在安全性和可信赖方面为国家站好岗，为用户服好务。同时，企业会想方设法研制出符合高等级保护要求的产品，会更加重视与确定产品保护等级的“裁判员”的关系，说到底，国家如何制定等级保护的规则，将是推动等级保护制度成败的关键，也是广大行业用户和信息安全企业最终欢迎与否的关键。

近年来，国家陆续颁布了等级划分的相关指南，但是从产品、方案角度如何对等级保护进行支持，还需要有关主管部门和企业共同协商。在服务方面，企业一直在协助政府重要部门、金融、电信行业通过安全服务项目划定安全等级，但是，真正做到按照用户的要求划分等级，再用相应产品或方案去满足等级的划分，最终还需形成标准和体系。

从企业角度看，等级保护推广的力度还不够大，27号文件发布之后，等级保护被提高到了非常重要的地位，但是还存在等级保护由谁来推动的问题，这关系到等级保护如何落到实处，如何指导整个中国信息安全建设向健康轨道发展。此外，等级保护的实施涉及到产品、方案、服务、技术、用户和教育等多个方面，主管部门如何去监督、控制、管理，也是要着重解决的问题之一。