【技术达人秀（6）】信息安全等级保护势在必行

清华同方电脑总工程师刘锋

信息安全是项系统工程，所以评估信息系统的安全性必须整体考量，这就像日常生活中经常提到的木桶原理（短板效应），任何一块组成部分出现漏洞，整个体系都会失去价值。

在实践操作中，硬件建设的系统工程和软件的全过程管控需要在细节上详细布局。否则，即使密码算法再合理、传输体系管理再严格，只要使用环境保护不到位，任何一个环节出现泄露都会让整个安全体系瓦解，包括建设信息系统使用环境、监控使用流程、审计使用过程以及安全漏洞出现后的应急措施和处理设备废料。

值得一提的是，身份认证在该体系里是重要一环。一般情况下，使用者通过指纹、密码、虹膜、IC卡、二代身份证等方式鉴别机器和操作人员的身份。但为了确保万无一失，最为保险的途径是密码（软件识别）、指纹（生物特征）、物理硬件三者相结合。

在这种情况下，仅仅购买加密机或安全防护软件不能从根本上解决这些问题。国家正是认识到了这些问题，才开始了信息安全等级保护工作。

所谓信息安全等级保护，是指根据信息系统应用业务的重要程度和实际安全需求，实行分级、分类、分阶段保护，从而保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。信息安全等级保护的核心是对信息系统，特别是对业务应用系统安全分等级，按标准建设、管理和监督。目前，国家对信息安全等级保护工作运用的法律和技术规范都在逐级加强监管力度，以保障重要的信息资源和系统的安全。

在操作层面，信息安全等级保护制度的主要内容是，对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级管理保护，对信息系统按业务安全应用区域分级保护，对系统中使用的信息安全产品按分级许可管理，对等级系统的安全服务资质分级许可管理，对信息系统中发生的信息安全事件分等级响应和处置。

为何要在信息安全领域实行等级保护制度呢？从根本上来说，是为了保护信息技术的业务安全应用。对信息安全体系分级保护是客观需求，信息系统的建立是为社会发展、社会生活的需要而设计建立的，是社会构成、行政组织体系及其业务体系的反映，这种体系本身就是分层次和级别的。因此，信息安全保护必须符合客观需求。等级化保护是信息安全发展的必然规律，按组织业务应用区域、分层、分类、分级实行保护和管理，分阶段推进等级保护制度建设，是做好国家信息安全保护必然遵循的客观规律。（梁爽）