【技術(shù)達(dá)人秀（6）】信息安全等級(jí)保護(hù)勢(shì)在必行

清華同方電腦總工程師劉鋒

信息安全是項(xiàng)系統(tǒng)工程，所以評(píng)估信息系統(tǒng)的安全性必須整體考量，這就像日常生活中經(jīng)常提到的木桶原理（短板效應(yīng)），任何一塊組成部分出現(xiàn)漏洞，整個(gè)體系都會(huì)失去價(jià)值。

在實(shí)踐操作中，硬件建設(shè)的系統(tǒng)工程和軟件的全過(guò)程管控需要在細(xì)節(jié)上詳細(xì)布局。否則，即使密碼算法再合理、傳輸體系管理再?lài)?yán)格，只要使用環(huán)境保護(hù)不到位，任何一個(gè)環(huán)節(jié)出現(xiàn)泄露都會(huì)讓整個(gè)安全體系瓦解，包括建設(shè)信息系統(tǒng)使用環(huán)境、監(jiān)控使用流程、審計(jì)使用過(guò)程以及安全漏洞出現(xiàn)后的應(yīng)急措施和處理設(shè)備廢料。

值得一提的是，身份認(rèn)證在該體系里是重要一環(huán)。一般情況下，使用者通過(guò)指紋、密碼、虹膜、IC卡、二代身份證等方式鑒別機(jī)器和操作人員的身份。但為了確保萬(wàn)無(wú)一失，最為保險(xiǎn)的途徑是密碼（軟件識(shí)別）、指紋（生物特征）、物理硬件三者相結(jié)合。

在這種情況下，僅僅購(gòu)買(mǎi)加密機(jī)或安全防護(hù)軟件不能從根本上解決這些問(wèn)題。國(guó)家正是認(rèn)識(shí)到了這些問(wèn)題，才開(kāi)始了信息安全等級(jí)保護(hù)工作。

所謂信息安全等級(jí)保護(hù)，是指根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)的重要程度和實(shí)際安全需求，實(shí)行分級(jí)、分類(lèi)、分階段保護(hù)，從而保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。信息安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)，特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)，按標(biāo)準(zhǔn)建設(shè)、管理和監(jiān)督。目前，國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用的法律和技術(shù)規(guī)范都在逐級(jí)加強(qiáng)監(jiān)管力度，以保障重要的信息資源和系統(tǒng)的安全。

在操作層面，信息安全等級(jí)保護(hù)制度的主要內(nèi)容是，對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息、公開(kāi)信息分類(lèi)分級(jí)管理保護(hù)，對(duì)信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用區(qū)域分級(jí)保護(hù)，對(duì)系統(tǒng)中使用的信息安全產(chǎn)品按分級(jí)許可管理，對(duì)等級(jí)系統(tǒng)的安全服務(wù)資質(zhì)分級(jí)許可管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)和處置。

為何要在信息安全領(lǐng)域?qū)嵭械燃?jí)保護(hù)制度呢？從根本上來(lái)說(shuō)，是為了保護(hù)信息技術(shù)的業(yè)務(wù)安全應(yīng)用。對(duì)信息安全體系分級(jí)保護(hù)是客觀需求，信息系統(tǒng)的建立是為社會(huì)發(fā)展、社會(huì)生活的需要而設(shè)計(jì)建立的，是社會(huì)構(gòu)成、行政組織體系及其業(yè)務(wù)體系的反映，這種體系本身就是分層次和級(jí)別的。因此，信息安全保護(hù)必須符合客觀需求。等級(jí)化保護(hù)是信息安全發(fā)展的必然規(guī)律，按組織業(yè)務(wù)應(yīng)用區(qū)域、分層、分類(lèi)、分級(jí)實(shí)行保護(hù)和管理，分階段推進(jìn)等級(jí)保護(hù)制度建設(shè)，是做好國(guó)家信息安全保護(hù)必然遵循的客觀規(guī)律。（梁爽）