《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法由公安部會(huì)同有關(guān)部門制定”。由黨中央和國(guó)務(wù)院批準(zhǔn)發(fā)布的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》特別強(qiáng)調(diào)，國(guó)家實(shí)行信息安全等級(jí)保護(hù)，要抓緊信息安全等級(jí)保護(hù)制度建設(shè)，重點(diǎn)是保障國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，進(jìn)一步明確并落實(shí)了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中關(guān)于實(shí)行信息安全等級(jí)保護(hù)的有關(guān)規(guī)定。信息安全等級(jí)保護(hù)是國(guó)家基本政策和戰(zhàn)略措施。

多年來(lái)，有關(guān)部門、專家、企事業(yè)單位都在積極探索搞好我國(guó)信息安全保護(hù)的思路、方法、途徑，取得了十分可喜的成果。公安部也自1980年以來(lái)組織就國(guó)家信息安全保護(hù)問(wèn)題，對(duì)國(guó)內(nèi)外情況和發(fā)展趨勢(shì)，從立法、管理、科學(xué)技術(shù)等方面做了長(zhǎng)期深入的調(diào)查研究，探索解決信息化社會(huì)的安全問(wèn)題的方法。基本結(jié)論：

（１）信息安全問(wèn)題是由計(jì)算機(jī)技術(shù)的產(chǎn)生和廣泛應(yīng)用而引起的一系列的國(guó)家主權(quán)與安全、社會(huì)穩(wěn)定與安全、發(fā)展與安全等問(wèn)題。隨著社會(huì)信息化的發(fā)展，以計(jì)算機(jī)為核心的信息技術(shù)的發(fā)展和應(yīng)用，信息系統(tǒng)日趨發(fā)達(dá)，國(guó)家各個(gè)部門、社會(huì)各個(gè)領(lǐng)域、各個(gè)行業(yè)日趨依賴網(wǎng)絡(luò)化信息系統(tǒng)，互聯(lián)互通和信息共享已經(jīng)是必然趨勢(shì)，計(jì)算機(jī)已成了人們工作和生活離不開(kāi)的必需品。同時(shí)，信息安全問(wèn)題已經(jīng)直接關(guān)系到國(guó)家主權(quán)、政治、經(jīng)濟(jì)、國(guó)防、社會(huì)安全以及公民合法權(quán)益的保障。

（２）信息安全問(wèn)題必須綜合、整體地進(jìn)行治理。信息安全是信息化時(shí)代的社會(huì)問(wèn)題，國(guó)家要采取綜合措施，特別是要以法律規(guī)范和技術(shù)規(guī)范建立適合信息社會(huì)的強(qiáng)有力的安全保護(hù)制度，規(guī)范人們?cè)谛畔⑾到y(tǒng)建設(shè)和應(yīng)用安全方面必須遵守的社會(huì)行為，防止和遏制各種危害，保障信息系統(tǒng)安全，進(jìn)而保障國(guó)家主權(quán)、政治、經(jīng)濟(jì)、國(guó)防、社會(huì)安全以及公民合法權(quán)益，保障并促進(jìn)信息化社會(huì)發(fā)展。

（３）信息安全保護(hù)必須遵循科學(xué)、經(jīng)濟(jì)、有效、符合社會(huì)客觀存在、符合國(guó)情的基本原則。實(shí)行信息安全等級(jí)保護(hù)制度，實(shí)現(xiàn)分級(jí)保護(hù)，多級(jí)保護(hù)，綜合立體防范，縱深防護(hù)，分類指導(dǎo)，推進(jìn)信息安全等級(jí)保護(hù)工作制度化，規(guī)范化、法制化，是科學(xué)、經(jīng)濟(jì)、有效的解決信息安全保護(hù)的辦法。信息安全等級(jí)保護(hù)制度建設(shè)符合社會(huì)組織形式，符合客觀存在。分級(jí)、分類保護(hù)可以避免資金投入、建設(shè)與管理、科研開(kāi)發(fā)、監(jiān)督檢查等方面的盲目性。國(guó)家實(shí)行信息安全等級(jí)保護(hù)制度，有利于國(guó)家宏觀上把握和解決復(fù)雜的信息安全問(wèn)題，對(duì)涉及國(guó)計(jì)民生的信息系統(tǒng)進(jìn)行分級(jí)保護(hù)，綜合立體防范，縱深防護(hù)，分類指導(dǎo)；有利于使信息系統(tǒng)建設(shè)、管理、使用者知道自己應(yīng)該用哪一級(jí)的信息系統(tǒng)才能滿足安全需求，如何進(jìn)行自管、自查、自評(píng)；有利于使政府信息安全監(jiān)督管理部門對(duì)如何進(jìn)行監(jiān)督、檢查知道心中有數(shù)；有利于使科研開(kāi)發(fā)部門可以按標(biāo)準(zhǔn)并有目的地開(kāi)發(fā)市場(chǎng)所需產(chǎn)品；有利于使國(guó)家信息安全科學(xué)技術(shù)水平迅速得以提高，促進(jìn)信息安全產(chǎn)業(yè)發(fā)展，而不像目前大家都開(kāi)發(fā)同一檔次的同樣的產(chǎn)品，都來(lái)做防火墻、病毒檢測(cè)與防護(hù)入侵檢測(cè)市場(chǎng)。

需要特別說(shuō)明的是，為了是增強(qiáng)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)信息化、網(wǎng)絡(luò)化發(fā)展所出現(xiàn)的社會(huì)問(wèn)題的適應(yīng)性，該法規(guī)的制定工作采取了宜原則不宜細(xì)的方法，所列規(guī)定都比較原則。目的是為給以后出現(xiàn)的新情況新問(wèn)題采取新對(duì)策留下余地。實(shí)踐證明這種做法是正確的。信息安全保護(hù)必須有一套管理和技術(shù)規(guī)范，因此，公安部組織起草，國(guó)家技術(shù)監(jiān)督局發(fā)布了我國(guó)第一部信息安全保護(hù)強(qiáng)制性國(guó)標(biāo)――《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則》GB17859—1999。該標(biāo)準(zhǔn)同樣采取了宜原則不宜細(xì)的制定方法，目的是為安全產(chǎn)品的開(kāi)發(fā)、具體標(biāo)準(zhǔn)的制定、安全系統(tǒng)的建設(shè)與管理、相關(guān)法律法規(guī)及其執(zhí)法的提供技術(shù)指導(dǎo)和基礎(chǔ)。《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》中提出的等級(jí)保護(hù)要求就是以GB17859—1999為基礎(chǔ)的，一些配套標(biāo)準(zhǔn)已經(jīng)出臺(tái)，等級(jí)保護(hù)標(biāo)準(zhǔn)體系也基本形成。

信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保護(hù)的基本制度。縱觀國(guó)內(nèi)外的信息安全經(jīng)驗(yàn)和教訓(xùn)，特別是我們近10年的經(jīng)驗(yàn)，信息安全保障工作幾乎所有的重要方面都與等級(jí)劃分有著密切的關(guān)系。因此，信息和信息系統(tǒng)分等級(jí)采取安全保護(hù)措施，實(shí)行等級(jí)保護(hù)制度是國(guó)家客觀解決信息安全問(wèn)題的科學(xué)辦法，是信息安全保障在管理上的根本制度。

信息安全等級(jí)保護(hù)制度的特點(diǎn)：

首先信息安全等級(jí)保護(hù)是《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；

第二是以國(guó)家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實(shí)；
第三是符合客觀實(shí)際，具有科學(xué)性；
第四是具有自我保護(hù)與國(guó)家保護(hù)相結(jié)合的長(zhǎng)效保護(hù)機(jī)制；
第五是突出保護(hù)重點(diǎn)，國(guó)家優(yōu)先重點(diǎn)保護(hù)涉及國(guó)計(jì)民生的信息系統(tǒng)，國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級(jí)重點(diǎn)保護(hù)三級(jí)以上的局域網(wǎng)和子系統(tǒng)安全；
第六是具有整體保護(hù)性，在突出重點(diǎn)，兼顧一般的原則下，著重加強(qiáng)重點(diǎn)、要害部位,由點(diǎn)到面進(jìn)行保護(hù)，逐步實(shí)現(xiàn)信息安全整體保障。

等級(jí)保護(hù)制度的主要內(nèi)容：信息安全等級(jí)保護(hù)是國(guó)家法定信息安全保護(hù)的基本制度。信息安全等級(jí)保護(hù)制度的核心思想是，國(guó)家對(duì)信息與信息系統(tǒng)、信息安全產(chǎn)品按標(biāo)準(zhǔn)實(shí)行五級(jí)保護(hù)，并逐級(jí)加大保護(hù)力度；優(yōu)先保護(hù)重要領(lǐng)域的高級(jí)別的信息系統(tǒng)，特別要保護(hù)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全；信息系統(tǒng)安全事件實(shí)行五級(jí)響應(yīng)與處置；國(guó)家信息安全等級(jí)保護(hù)實(shí)行自我保護(hù)與國(guó)家保護(hù)相結(jié)合，國(guó)家、組織、個(gè)人負(fù)責(zé)共同負(fù)責(zé)的保護(hù)原則，國(guó)家制定法律、管理與技術(shù)標(biāo)準(zhǔn)規(guī)范，各級(jí)政府部門負(fù)責(zé)組織貫徹實(shí)施，信息安全保護(hù)法定事權(quán)部門按職能嚴(yán)格履行監(jiān)督管理職責(zé)；信息安全等級(jí)保護(hù)總目標(biāo)是實(shí)現(xiàn)安全保護(hù)制度化、規(guī)范化、法制化。

等級(jí)保護(hù)制度的總要求：大型信息系統(tǒng)內(nèi)按等級(jí)保護(hù)標(biāo)準(zhǔn)，實(shí)行小區(qū)防范、分級(jí)保護(hù)，突出重點(diǎn)、兼顧一般，科學(xué)規(guī)劃、效費(fèi)合理，信息系統(tǒng)內(nèi)在確保重點(diǎn)部位、重要信息資源安全，實(shí)現(xiàn)多級(jí)防護(hù)，保障互連互通和信息共享。

等級(jí)保護(hù)制度的具體要求：不同等級(jí)的信息系統(tǒng)提供不同等級(jí)的保護(hù)能力；不同等級(jí)的保護(hù)能力的信息系統(tǒng)保障不同級(jí)別的信息安全；不同安全等級(jí)的信息系統(tǒng)必須由相應(yīng)安全級(jí)別功能的產(chǎn)品構(gòu)建，國(guó)家重要領(lǐng)域的信息系統(tǒng)所需安全等級(jí)功能產(chǎn)品是國(guó)家信息安全保障的基礎(chǔ)和關(guān)鍵，沒(méi)有安全等級(jí)保護(hù)功能的產(chǎn)品就不可能建立安全等級(jí)的網(wǎng)絡(luò)和系統(tǒng)，安全產(chǎn)品失控就等于安全系統(tǒng)失控，安全等級(jí)保護(hù)制度也就不可能推行，因此，信息安全等級(jí)保護(hù)功能產(chǎn)品同樣受國(guó)家保護(hù)，必須納入國(guó)家信息安全職能部門的行政管理；對(duì)不同安全等級(jí)的信息系統(tǒng)事件必須具有相應(yīng)等級(jí)的響應(yīng)處置能力；對(duì)不同安全保護(hù)等級(jí)的信息系統(tǒng)侵害應(yīng)當(dāng)按級(jí)給予處罰，國(guó)家第三級(jí)以上的信息系統(tǒng)不容侵犯；不同安全等級(jí)的信息系統(tǒng)建設(shè)按相應(yīng)等級(jí)的實(shí)際需求保障人力、財(cái)力投入；國(guó)家以等級(jí)保護(hù)制度促進(jìn)民族信息安全科學(xué)技術(shù)和產(chǎn)業(yè)發(fā)展；國(guó)家以等級(jí)保護(hù)制度推進(jìn)信息安全建設(shè)與管理實(shí)現(xiàn)制度化、規(guī)范化、法制化。

為了貫徹《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》文件精神，進(jìn)一步落實(shí)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的信息安全等級(jí)保護(hù)制度，有關(guān)方面、有關(guān)方面的有識(shí)之士，可以繼續(xù)探索搞好我國(guó)的信息安全等級(jí)保護(hù)工作的一些思路、方法和有效措施，進(jìn)一步理清思路，找到共識(shí)點(diǎn)，少走彎路。特別是對(duì)以下一些關(guān)鍵問(wèn)題及其關(guān)系，值得我們進(jìn)一步探討、理清。

一、信息安全等級(jí)保護(hù)與信息保密

信息系統(tǒng)安全等級(jí)保護(hù)是指，國(guó)家對(duì)涉及國(guó)家安全和社會(huì)穩(wěn)定與安全，公民、法人和其他組織的合法權(quán)益的信息系統(tǒng)，按其重要程度和實(shí)際安全需求，分級(jí)、分類、縱深采取保護(hù)措施，保障信息系統(tǒng)安全正常運(yùn)行和信息安全。特別是要對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按其重要程度和實(shí)際安全需求，分級(jí)進(jìn)行保護(hù)，分類指導(dǎo)開(kāi)展安全等級(jí)保護(hù)，分小區(qū)（局域）縱深多級(jí)防護(hù)，分階段推進(jìn)安全等級(jí)保護(hù)工作，提高國(guó)家信息安全綜合防護(hù)能力，進(jìn)而保障國(guó)家安全，維護(hù)信息社會(huì)秩序和穩(wěn)定，促進(jìn)信息安全和基礎(chǔ)信息科學(xué)技術(shù)發(fā)展與產(chǎn)業(yè)化，促進(jìn)經(jīng)濟(jì)發(fā)展，提高綜合國(guó)力。

信息安全等級(jí)保護(hù)的基本內(nèi)涵中包含了下述基本概念：“保護(hù)信息系統(tǒng)，防止未授權(quán)的訪問(wèn)、使用、泄露、中斷、修改或破壞，以保護(hù)：信息完整性：必須保護(hù)信息免遭到破壞、未授權(quán)或偶然、不當(dāng)?shù)男薷模ù_保信息的不可否認(rèn)性和真實(shí)性；資源可用性：系統(tǒng)資源（系統(tǒng)、信息數(shù)據(jù)）必須能及時(shí)滿足事務(wù)處理任務(wù)需求，確保合法用戶能及時(shí)、可靠地訪問(wèn)信息的要求，避免實(shí)質(zhì)性損失；信息保密性：受系統(tǒng)安全策略保護(hù)的各類信息內(nèi)容的敏感性要求得到有效保護(hù)，即對(duì)信息的訪問(wèn)權(quán)限加以約束，包括保護(hù)個(gè)人隱私和專屬信息免被未授權(quán)泄露，其中包括但不限于國(guó)家秘密、機(jī)密、絕密信息。

應(yīng)當(dāng)注意的是，我們?nèi)菀琢?xí)慣性的將信息系統(tǒng)中的信息的保密性單純地理解為國(guó)家秘密信息的保密問(wèn)題。在信息系統(tǒng)安全保護(hù)方面，完整性、可用性、保密性三個(gè)基本特性要求是一個(gè)不可割裂的整體。絕大數(shù)信息系統(tǒng)中的信息（采集、處理、存儲(chǔ)、傳輸、使用）是綜合信息，且95%以上的屬內(nèi)部信息，真正屬于涉及國(guó)家秘密的信息只占2-3%。在信息系統(tǒng)中，對(duì)信息安全特性之一的保密性的保護(hù)方法應(yīng)當(dāng)是，對(duì)信息資源進(jìn)行科學(xué)、合理、有效的分類分級(jí)并加以明確的標(biāo)識(shí)，建立嚴(yán)格的管理制度，采取訪問(wèn)權(quán)限控制等措施，嚴(yán)格限定對(duì)這些信息的訪問(wèn)。既要保障安全，又要有利于保障信息系統(tǒng)互聯(lián)互通，信息共享，電子政務(wù)建設(shè)和發(fā)展，信息化發(fā)展。

關(guān)于信息系統(tǒng)中國(guó)家秘密信息的保護(hù)問(wèn)題。在信息化建設(shè)和發(fā)展中，國(guó)家秘密信息的保密問(wèn)題確實(shí)很重要，必須認(rèn)真研究采取適合信息化建設(shè)和發(fā)展的國(guó)家保密信息保護(hù)的新辦法，科學(xué)、有效地解決信息系統(tǒng)中國(guó)家秘密信息管理難題。筆者認(rèn)為，解決國(guó)家秘密信息保護(hù)的關(guān)鍵問(wèn)題的方法有三。一是在國(guó)家信息安全等級(jí)保護(hù)基本政策和總制度下提出適合信息化建設(shè)和發(fā)展要求的信息保密新政策和管理制度，建立國(guó)家秘密信息管理制度的運(yùn)行機(jī)制，落實(shí)責(zé)任制，研究提出對(duì)信息系統(tǒng)中的國(guó)家秘密信息分類分級(jí)標(biāo)識(shí)與管理方法，采取有效的監(jiān)督措施等。真正的國(guó)家秘密信息是經(jīng)過(guò)簽名蓋章標(biāo)明國(guó)家密級(jí)的文件中的信息，信息等級(jí)保護(hù)制度是能夠解決國(guó)家信息保密問(wèn)題。二是加強(qiáng)專用機(jī)要信息系統(tǒng)建設(shè)，專供國(guó)家秘密信息的處理、存儲(chǔ)、傳輸。三是高級(jí)別的國(guó)家秘密信息不上網(wǎng)，依舊采取傳統(tǒng)保密辦法。信息化建設(shè)中，信息化時(shí)代，網(wǎng)上與網(wǎng)下、外網(wǎng)與內(nèi)網(wǎng)都有國(guó)家信息保密問(wèn)題，需要有關(guān)方面進(jìn)一步研究綜合、妥善、長(zhǎng)效的解決辦法。信息安全保護(hù)應(yīng)當(dāng)有利于互連互通和信息共享，信息化發(fā)展，并從總體上保持全國(guó)信息安全等級(jí)保護(hù)工作一盤棋。

二、信息安全等級(jí)保護(hù)與安全平臺(tái)

目前出臺(tái)的一些安全解決方案，都是基于安全大平臺(tái)概念，安全措施基本差不多（主要是外防措施：防火墻、防入侵檢測(cè)、防病毒、密碼、物理隔離等），進(jìn)入平臺(tái)里面大家都一樣，無(wú)級(jí)別之差。這樣的安全平臺(tái)，若被突破一點(diǎn)，就很可能就會(huì)突破全網(wǎng)，控制一點(diǎn)，就可能就會(huì)控制了整個(gè)系統(tǒng)。安全平臺(tái)實(shí)際上并不安全。因此，安全解決方案應(yīng)當(dāng)基于系統(tǒng)安全基本原理――訪問(wèn)控制原理（access control），訪問(wèn)（access）一詞包括訪問(wèn)、接近、接觸、進(jìn)入、存取、檢索、使用、通路等含義）。

信息系統(tǒng)構(gòu)成的物理、操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、管理五個(gè)層面的安全保護(hù)都有訪問(wèn)控制。訪問(wèn)控制的對(duì)象就是具有很高經(jīng)濟(jì)、社會(huì)價(jià)值的信息資源和信息系統(tǒng)硬件與軟件資源。信息系統(tǒng)安全保護(hù)等級(jí)的劃分基于對(duì)信息資源的訪問(wèn)控制原理，訪問(wèn)控制原理也貫穿于分級(jí)保護(hù)、縱深防護(hù)、立體防護(hù)、綜合防范之中。信息安全等級(jí)保護(hù)特別是要加強(qiáng)系統(tǒng)內(nèi)部的訪問(wèn)控制，建立并實(shí)施系統(tǒng)資源管理、信息資源分類分級(jí)管理、保密信息分類分級(jí)標(biāo)識(shí)與管理、密碼使用管理、用戶管理等信息系統(tǒng)安全等級(jí)保護(hù)關(guān)鍵管理制度，建立信息系統(tǒng)安全保護(hù)責(zé)任制，落實(shí)各級(jí)責(zé)任，采取有效的訪問(wèn)控制技術(shù)措施。