各位領(lǐng)導(dǎo)、各位專(zhuān)家、同志們，早上好！今天有機(jī)會(huì)跟大家交換一下關(guān)于信息安全等級(jí)保護(hù)的一些敏感的問(wèn)題，我稱(chēng)之為焦點(diǎn)。去年中辦發(fā)2003年27號(hào)文件《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，不同的信息系統(tǒng)有著不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。

今年1月份在全國(guó)信息安全保障工作會(huì)議上，黃菊同志又一次強(qiáng)調(diào)了實(shí)現(xiàn)信息安全等級(jí)保護(hù)是當(dāng)務(wù)之急，當(dāng)務(wù)之急方面有幾個(gè)工作要做，其中一個(gè)很重要的方面，堅(jiān)持從實(shí)際出發(fā)，保障重點(diǎn)的原則，綜合平衡建設(shè)成本和安全風(fēng)險(xiǎn)，區(qū)別不同情況，分級(jí)、分類(lèi)、分階段進(jìn)行信息安全建設(shè)和管理。

我個(gè)人考慮為有效推行信息安全等級(jí)保護(hù)，要把握以下幾點(diǎn)焦點(diǎn)問(wèn)題：

一、等級(jí)保護(hù)是國(guó)家信息安全保障體系中的一項(xiàng)基礎(chǔ)性、制度性工作；

二、分級(jí)分類(lèi)是等級(jí)保護(hù)中的關(guān)鍵；如果分級(jí)分類(lèi)不科學(xué)，就不可能采取適度安全的保障措施，也有可能是盲目地浪費(fèi)資源，也有可能達(dá)不到目的。

三、等級(jí)保護(hù)是貫穿于信息安全保障各環(huán)節(jié)工作的大過(guò)程，而不是一個(gè)具體的措施。

等級(jí)保護(hù)不僅是對(duì)信息安全產(chǎn)品或系統(tǒng)的檢測(cè)、評(píng)估以及定級(jí)，更重要的是，等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度，是一項(xiàng)基礎(chǔ)性和制度性的工作。

全國(guó)信息安全保障工作會(huì)議強(qiáng)調(diào)，要把握以下幾個(gè)重要原則：堅(jiān)持一手抓發(fā)展，一手抓安全；堅(jiān)持以改革開(kāi)放求安全；堅(jiān)持管理與技術(shù)并重，堅(jiān)持統(tǒng)籌兼顧，突出重點(diǎn)。這一提法是全面的、辯證的，但是在于技術(shù)實(shí)施發(fā)展當(dāng)中，也感覺(jué)到有些不足的地方，這件事情只有在等級(jí)保護(hù)科學(xué)的、實(shí)事求是的情況下才能解決這些問(wèn)題的統(tǒng)一。因?yàn)闀r(shí)間關(guān)系，不展開(kāi)講了，不如我們一手要抓發(fā)展，一手要抓安全，我們等級(jí)保護(hù)的觀(guān)念才能去保證所建的系統(tǒng)安全，發(fā)展了以后，安全需求變得我們又有新的要求去保護(hù)它的安全。只有這樣理解，才能說(shuō)我們發(fā)展信息安全是相輔相成的。改革開(kāi)放求安全，我們要走出一條信息安全保障的新路子，我們不能一刀切，不能對(duì)全部信息系統(tǒng)規(guī)定統(tǒng)一的安全要求，各類(lèi)信息系統(tǒng)要有靈活多樣的信息安全解決方案。堅(jiān)持管理與技術(shù)并重，等級(jí)保護(hù)有很重要的技術(shù)為基礎(chǔ)的色彩，但是它有很強(qiáng)烈的管理自由。因此，等級(jí)保護(hù)是管理與技術(shù)并重的最好的體現(xiàn)。堅(jiān)持統(tǒng)籌兼顧，突出重點(diǎn)，我們等級(jí)保護(hù)就是要確保重點(diǎn)，這也是最后的體現(xiàn)。

我們?cè)谧龅眠^(guò)程中也遇到了一個(gè)問(wèn)題，美國(guó)在標(biāo)準(zhǔn)制定、等級(jí)劃分過(guò)程當(dāng)中，都明確了國(guó)家守密的部分不在內(nèi)，我們?cè)趺锤氵@個(gè)問(wèn)題，守密系統(tǒng)要分別對(duì)待。國(guó)外的情況大家已經(jīng)清楚了，由于美國(guó)盡管沒(méi)有說(shuō)等級(jí)保護(hù)這么一個(gè)制度要貫徹，實(shí)際上他在制定一系列的法律和標(biāo)準(zhǔn)過(guò)程當(dāng)中，也是基于守密保護(hù)的思想和做法。尤其是2002年美國(guó)通過(guò)了《聯(lián)邦信息安全管理法案》，這里要求NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）制定了一些標(biāo)準(zhǔn)。

國(guó)外的情況，美國(guó)正式啟動(dòng)了信息安全的等級(jí)保護(hù)工作，目前，這些標(biāo)準(zhǔn)和指南的草案已經(jīng)由NIST發(fā)布。根到2005年將變更為強(qiáng)制性的聯(lián)邦標(biāo)準(zhǔn)FIPS200，聯(lián)邦機(jī)構(gòu)到時(shí)必須無(wú)條件遵循等級(jí)保護(hù)的系列要求。

二，分級(jí)分類(lèi)是等級(jí)保護(hù)的關(guān)鍵。對(duì)信息系統(tǒng)的分級(jí)分類(lèi)十分關(guān)鍵，如果信息系統(tǒng)的分級(jí)分類(lèi)不科學(xué)，則安全保障建設(shè)將事與愿違，甚至可能使我國(guó)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨嚴(yán)重安全隱患。等級(jí)保護(hù)中的分級(jí)實(shí)際上涉及了兩項(xiàng)工作，不能混為一談：一是如何將信息系統(tǒng)劃歸到各個(gè)安全級(jí)別中，二是為每一級(jí)的信息系統(tǒng)規(guī)定安全要求。

關(guān)于信息系統(tǒng)的分類(lèi)，信息系統(tǒng)的分類(lèi)跟分級(jí)有聯(lián)系，但是又不是一回事，隨時(shí)根據(jù)需要、需求，這個(gè)系統(tǒng)具有什么樣的價(jià)值，具有什么樣的危險(xiǎn)，來(lái)決定它是屬于哪一類(lèi)的。關(guān)于分級(jí)，就是我們?cè)趺礃颖Ｗo(hù)有價(jià)值，而且有風(fēng)險(xiǎn)威脅的系統(tǒng)，一個(gè)很重要的原則，首先不去考慮它已經(jīng)采取了什么措施，目前存在哪些漏洞暫時(shí)不考慮，從客觀(guān)來(lái)分析這個(gè)系統(tǒng)價(jià)值怎么樣，它客觀(guān)地存在哪些風(fēng)險(xiǎn)威脅。而不是確定已有的，而是確定應(yīng)該有的。分級(jí)更重要的是去確認(rèn)這樣類(lèi)別的系統(tǒng)，現(xiàn)在我們國(guó)家提出來(lái)五種級(jí)別、五種類(lèi)型，其實(shí)這里可以分為不同的類(lèi)型里頭有不同的級(jí)別，應(yīng)該科學(xué)考慮。同一個(gè)類(lèi)型也可以采用不同級(jí)別的具體措施。像美國(guó)的做法是提出了三性，即保密性、完整性以及可用性。以這三個(gè)性的每個(gè)性分為三個(gè)等級(jí)，高、中、低。

三，等級(jí)跋扈是貫穿于信息安全保障各環(huán)節(jié)工作的大過(guò)程。我們國(guó)家在1994年國(guó)務(wù)院發(fā)布了147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，要求實(shí)行安全等級(jí)保護(hù)。在1999年，國(guó)家質(zhì)量技術(shù)監(jiān)督局正式發(fā)布了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)——GB17859－1999：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。現(xiàn)在說(shuō)的等級(jí)保護(hù)不僅僅是一個(gè)標(biāo)準(zhǔn)的問(wèn)題，而是要貫徹全過(guò)程的問(wèn)題。信息系統(tǒng)是以信息系統(tǒng)生命為周期的，在認(rèn)真、研究需求建立信息系統(tǒng)的時(shí)候，我們就要考慮它的價(jià)值與風(fēng)險(xiǎn)，就要確定它的類(lèi)別與等級(jí)。在實(shí)施過(guò)程當(dāng)中，就是按照它等級(jí)去實(shí)施，從認(rèn)識(shí)以前，要進(jìn)行監(jiān)督，要進(jìn)行評(píng)測(cè)，要認(rèn)證、認(rèn)可，頒發(fā)許可證，認(rèn)證、認(rèn)可是兩個(gè)概念，認(rèn)證是對(duì)產(chǎn)品物件系統(tǒng)的評(píng)測(cè)和結(jié)果，認(rèn)可是這個(gè)系統(tǒng)的評(píng)測(cè)結(jié)果能不能通過(guò)運(yùn)行，能不能把風(fēng)險(xiǎn)降到最低程度。

我國(guó)正面臨等級(jí)保護(hù)工作的大好機(jī)遇，既有此前若干年的經(jīng)驗(yàn)積累的優(yōu)勢(shì)，也有客觀(guān)環(huán)境和政策支持優(yōu)勢(shì)。但等級(jí)保護(hù)是一項(xiàng)全新的課題，必然會(huì)遇到很多管理和技術(shù)方面的挑戰(zhàn)。要深刻認(rèn)識(shí)等級(jí)保護(hù)的客觀(guān)規(guī)律，從實(shí)際出發(fā)、扎實(shí)實(shí)踐、穩(wěn)步推進(jìn)，全社會(huì)共同努力，確實(shí)推動(dòng)等級(jí)保護(hù)制度的盡快建立和實(shí)施。