工程院院士沈昌祥主题演讲：信息安全等级保护的焦点

各位领导、各位专家、同志们，早上好！今天有机会跟大家交换一下关于信息安全等级保护的一些敏感的问题，我称之为焦点。去年中办发2003年27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》，不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

今年1月份在全国信息安全保障工作会议上，黄菊同志又一次强调了实现信息安全等级保护是当务之急，当务之急方面有几个工作要做，其中一个很重要的方面，坚持从实际出发，保障重点的原则，综合平衡建设成本和安全风险，区别不同情况，分级、分类、分阶段进行信息安全建设和管理。

我个人考虑为有效推行信息安全等级保护，要把握以下几点焦点问题：

一、等级保护是国家信息安全保障体系中的一项基础性、制度性工作；

二、分级分类是等级保护中的关键；如果分级分类不科学，就不可能采取适度安全的保障措施，也有可能是盲目地浪费资源，也有可能达不到目的。

三、等级保护是贯穿于信息安全保障各环节工作的大过程，而不是一个具体的措施。

等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。

全国信息安全保障工作会议强调，要把握以下几个重要原则：坚持一手抓发展，一手抓安全；坚持以改革开放求安全；坚持管理与技术并重，坚持统筹兼顾，突出重点。这一提法是全面的、辩证的，但是在于技术实施发展当中，也感觉到有些不足的地方，这件事情只有在等级保护科学的、实事求是的情况下才能解决这些问题的统一。因为时间关系，不展开讲了，不如我们一手要抓发展，一手要抓安全，我们等级保护的观念才能去保证所建的系统安全，发展了以后，安全需求变得我们又有新的要求去保护它的安全。只有这样理解，才能说我们发展信息安全是相辅相成的。改革开放求安全，我们要走出一条信息安全保障的新路子，我们不能一刀切，不能对全部信息系统规定统一的安全要求，各类信息系统要有灵活多样的信息安全解决方案。坚持管理与技术并重，等级保护有很重要的技术为基础的色彩，但是它有很强烈的管理自由。因此，等级保护是管理与技术并重的最好的体现。坚持统筹兼顾，突出重点，我们等级保护就是要确保重点，这也是最后的体现。

我们在做得过程中也遇到了一个问题，美国在标准制定、等级划分过程当中，都明确了国家守密的部分不在内，我们怎么搞这个问题，守密系统要分别对待。国外的情况大家已经清楚了，由于美国尽管没有说等级保护这么一个制度要贯彻，实际上他在制定一系列的法律和标准过程当中，也是基于守密保护的思想和做法。尤其是2002年美国通过了《联邦信息安全管理法案》，这里要求NIST（国家标准和技术研究所）制定了一些标准。

国外的情况，美国正式启动了信息安全的等级保护工作，目前，这些标准和指南的草案已经由NIST发布。根到2005年将变更为强制性的联邦标准FIPS200，联邦机构到时必须无条件遵循等级保护的系列要求。

二，分级分类是等级保护的关键。对信息系统的分级分类十分关键，如果信息系统的分级分类不科学，则安全保障建设将事与愿违，甚至可能使我国的基础信息网络和重要信息系统面临严重安全隐患。等级保护中的分级实际上涉及了两项工作，不能混为一谈：一是如何将信息系统划归到各个安全级别中，二是为每一级的信息系统规定安全要求。

关于信息系统的分类，信息系统的分类跟分级有联系，但是又不是一回事，随时根据需要、需求，这个系统具有什么样的价值，具有什么样的危险，来决定它是属于哪一类的。关于分级，就是我们怎么样保护有价值，而且有风险威胁的系统，一个很重要的原则，首先不去考虑它已经采取了什么措施，目前存在哪些漏洞暂时不考虑，从客观来分析这个系统价值怎么样，它客观地存在哪些风险威胁。而不是确定已有的，而是确定应该有的。分级更重要的是去确认这样类别的系统，现在我们国家提出来五种级别、五种类型，其实这里可以分为不同的类型里头有不同的级别，应该科学考虑。同一个类型也可以采用不同级别的具体措施。像美国的做法是提出了三性，即保密性、完整性以及可用性。以这三个性的每个性分为三个等级，高、中、低。

三，等级跋扈是贯穿于信息安全保障各环节工作的大过程。我们国家在1994年国务院发布了147号令《中华人民共和国计算机信息系统安全保护条例》，要求实行安全等级保护。在1999年，国家质量技术监督局正式发布了强制性国家标准——GB17859－1999：《计算机信息系统安全保护等级划分准则》。现在说的等级保护不仅仅是一个标准的问题，而是要贯彻全过程的问题。信息系统是以信息系统生命为周期的，在认真、研究需求建立信息系统的时候，我们就要考虑它的价值与风险，就要确定它的类别与等级。在实施过程当中，就是按照它等级去实施，从认识以前，要进行监督，要进行评测，要认证、认可，颁发许可证，认证、认可是两个概念，认证是对产品物件系统的评测和结果，认可是这个系统的评测结果能不能通过运行，能不能把风险降到最低程度。

我国正面临等级保护工作的大好机遇，既有此前若干年的经验积累的优势，也有客观环境和政策支持优势。但等级保护是一项全新的课题，必然会遇到很多管理和技术方面的挑战。要深刻认识等级保护的客观规律，从实际出发、扎实实践、稳步推进，全社会共同努力，确实推动等级保护制度的尽快建立和实施。

  （责任编辑 zhaohb zhaohb#51cto.comTEL:（010）68476636-8002）