三级要求是重要信息系统，国家有25000多个三级系统。我曾经定义定为四级，后来是三级以上，不仅要抵御外部的攻击，攻击这个系统的话不仅可以取得利 益，把我们搞垮了以后，直接会影响税收的制度，财政的手段。国家的装备已经投资了200多亿，瘫痪了以后这个装备还用不用？还要保证内部人员的风险，所以 是一件棘手的事。如果要内部人员作案的话走后门照样不行。
    四级是一个更重要的系统，美国对他的电力系统特别关注。这样的系统，比如说民航的飞机调度系统都是要控制的，电网的调动都是信息系统。像这样的信息系统是国计民生重要的组成部分，也可能是内外人员勾结进行控制，情况就非常严重了。
    这样重要的信息系统怎么来构架保护环境？我们任何一个管理中心，一个单位，平时的安全和网络安全对应的。一个单位要达到安全必须要有保密室，保安室等等。 第一，要保护办公室的环境，每一个人要管理好，各部门是非常对应的。第二，要有边界，单位有单位的门卫，不能随意进出。第三，要联网，信息共享。以前我们 不用网络作为信息处理的时候也要送文件，收文件。所以我们提出了安全管理中心和安全机构当中计算环境、区域边界、通信网络三种体系结构。
    有了三种体系结构以后，应该说就可以做到了像平时一样，每一个人办公的东西是安全的，办公室环境是安全的，要进到里面必须要经过门卫，边界的保护。送出去 的东西，收来的东西要解决三个问题，首先不能送错对象，要认证；第二不要被篡改了；第三，不要被人窃听了，要加密。我们这里讲了计算环境主要是要搞好操作 系统为主的基础的自我保密。我们以前的方式太复杂，其实很简单，如果我们要像保卫部那样解决了一个单位的系统资源，东西怎么放，该有什么东西有什么东西， 不能随便增加，不能随便搬走。木马可以是执行的程序放在里面。如果有不认识的人进来，他要搞破坏，马上把他查出来。这不是主要的，主要是要管内部人员要有 保密室，文档编号，人要发文件必须要通过保密室的审查。一提到访问控制，很多人很害怕，其实很多地方都是有访问控制的。
    边界安全也是这样的，门卫干吗的？就是访问控制，说明你能进来，你能出去，就是访问控制。我们以前给边界做了很多工作，防病毒网关等等，但是这样做过头了 也不行。如果警卫权力太大了，所有的文件他都打开看，并且可以拷贝，你说行不行？乱套了。现在我们作为边界防病毒网关、IDS都是把IP包都打开了。如果 说一个小后门返回去放到网上去这是需要的。边界安全也是要实行访问控制，什么等级可以出去，什么等级可以进来，什么样的人可以出去，什么样人可以进来，主 要是解决这个问题。
    系统管理是相当于保卫部一样，安全管理相当于保密室一样，审计管理相当于监控室一样。审计就是把每一个访问动作记录下来发到审计的平台去，相当于用摄像头拍下来放到监控室。
    这套东西领导干部可以理解了，决策了。有下面几个方面是值得说一说的。
    目前我们所用的计算机芯片，操作系统并不是完全自己可控的。我们应该整体防护。中华人民共和国是社会主义国家，香港、澳门资本主义制度，整体上三重能做到整体防护，这样做了以后使病毒染不了，木马注不上，黑客进不来。
    再有就是重点做好操作人员使用的终端防护，把攻击源头把住。要以防内为主，内外兼防，提高计算机自身防护能力。我们计算机有操作的控制，系统的管理，有审 计，这样做可以做到非授权的人，也就是说没资格的人进不来，进来以后没有资格拿不走，拿走了以后重要信息是加密的，你也看不懂，想破坏的话也改不了，做了 破坏活动还赖不了，因为我们有审计。
    我们这套东西是安全管理中心三重防御，讲的是技术平台支持下的安全管理，与日常安全管理制度相适应。以前IDS配置策略很复杂，现在我们讲什么样的人有什么权限，领导干部能有发言权应该由领导干部来决定具体到这个策略是领导干部派来的，领导干部要批准的。
    我们的技术人员通过平台把访问控制策略做成表格放到计算机里自动进行控制。这样领导干部不仅有决策权，而且有检查权。我们的管理平台有界面，你可以查你这 个策略是不是批准的策略。对哪里不放心，这人情绪不太好了，会不会搞名堂？看这个人有没有什么行为，出了什么事没有，也可以控制。信息安全管理领导负责， 大家一起把这个事情搞好，这样就不冤枉了，这样才能真正把安全管理落实到人头上。
    这套东西是不是很复杂？我说不是，主要是重点落在了基础平台上，以操作系统为主的。对应用程序提出来不能改，因为整改大的系统不能运行，甚至不能停下来， 数据不能浪费，要保留所有的数据有效性。因此我们构建保护环境。我们把重点落到了可信平台上，而不是限制原来的流程。我们控制了不正确行为的发生，减少了 网络的风险。这样成本也不会很高，我估算一下很可能比以前的还要低。现在有的防火墙据说要五、六十万一台，我们不需要那样。我们做了技术整改实施了这些方 面，核心里要强，具有可操作性。这就是我们目前所研究的，马上要公布的。我们应该重新考虑保护的做法，应该有新的思路来做好等级保护建设工作。谢谢大家！

(责任编辑：adminadmin2008)