畅谈等保话题揭示重点核心

发布时间:2010-05-13 07:24 作者:周雪来源:信息安全与通信保密点击:加载中...次

如果将1999年颁布的《计算机信息系统安全保护等级划分准则》看作是等级保护制度正式诞生的话，那么到2009年开始进行建设整改，我国的信息安全等级保护工作已经走过了极不平淡的十年时光。围绕着等级保护制度，几十部国家标准的起草、发布，这在我国的信息安全史上绝无仅有。时值今日，伴随着《信息系统等级保护安全设计技术要求》的发布，信息安全等级保护终于基本成型，花开落地！十年磨一剑，信息安全界多年的期盼和渴望，即将实现。

等保建设没有终点

    “我们之所以认为等级保护已经基本成型，是因为等级保护所涵盖的政策法规体系、测评标准体系、技术标准体系等已经基本成形，陆续也会在人才建设体系、指标评价体系、监督检查体系等方面形成规模。”浪潮集团信息安全事业部张国力先生表示，等级保护所涵盖的众多体系也证明了等级保护制度是一个系统工程，是一个社会科学和自然科学相融合的复杂系统工程。
    虽然等级保护雏形已现，但在人们认识、理解、推动、建设等级保护的实践过程中，一直会有许多疑问贯穿着始终，其中最重要的就是：等级保护的核心在哪？
    张国力对此有自己的见解，他告诉记者，业界在等级保护的实践中应当明确两点，首先，等级保护是国家信息安全的基本制度，其次，等级保护建设主要是以计算环境保护为基础，以访问控制为主线，逐级增强。他认为，等级保护建设不能孤立地从技术角度看，还要考虑社会现实中的管理体制和实践应用。由于等级保护是一个复杂的社会系统工程，而不可能一朝一夕就能完成，它是一个不断成熟、完善并且时刻处于运动变化的过程中，因此，人们需要不断地加深认识，深入理解等级保护。“在信息安全领域，等级保护是国家意志的高度体现，”他强调，“如此复杂的系统工程非常需要我们花费十几年甚至更长的时间去学习和研究。只有从这个角度来建设等级保护，才能更深刻地理解等级保护的价值所在。”
    眼下，等级保护最主要的工作是建设整改。对于等级保护的未来，张国力表示，经过十年的探索，政府和业界已经逐渐积累了建设等级保护的基本思路和方法。“我们有理由相信，信息化应用和信息系统走向何处，等级保护就走向何处，因此，我认为等级保护建设没有终点，有的是不断完善和成熟，最终达到信息的相对安全可控。”
以系统加固为重点
    在等级保护的建设中，一直不乏浪潮的身影。张国力告诉记者，浪潮集团先后参与了三个等级保护国家相关标准的起草，这在国内是绝无仅有的。浪潮首先牵头起草了《信息安全技术：服务器安全技术要求》国家标准，之后，浪潮又参与起草了《信息系统等级保护安全设计技术要求》国家标准，目前，浪潮正与公安部有关部门联合起草服务器安全测评的国家标准。
    正是基于对等级保护的深刻理解和认识，浪潮提出了“主要以系统加固为重点，构建安全计算环境”的等级保护解决方案。张国力解释道，目前等级保护建设主要是基于现有的信息系统进行加固改造，在不改变现有信息系统应用的前提下，达到等级保护的各项要求。浪潮所做的，就是针对用户现有的信息系统应用的基础上，从整体和系统角度进行安全保护。浪潮认为，信息系统整改建设要坚持“一个中心支持下的三重保护”。一个中心指的是安全管理中心，三重防护主要是指计算环境、区域边界、通信网络。其中区域边界的防护主要以防火墙、IDS、网闸等网关产品形式为主，通信网络以VPN、路由器、加密机等产品为主，而计算环境则是等级保护建设中最关键和重要的建设环节，这是承载所有业务系统和各种应用有效运行的基础环境。“目前，国内很多等级保护的解决方案都是基于网络边界和应用层进行整体防护，鲜有从系统的角度来做防护，但这种防护无法从根本上解决问题的。而事实上，系统层一旦被突破，将会造成极大的损失，因此，当前信息系统安全建设应该更多去关注系统层的防护，只有这样才能从根本上解决安全问题。”张国力指出。

发展才是硬道理

    现在，很多用户在进行等级保护建设过程中都难免心存疑虑：等级保护是否与自身的安全需求相契合？这往往会引发一种看似矛盾的观点：一方面，等级保护从国家政策层面来说，所有的定级工作都必须落实，等级保护必须从标准落向实地建设；另一方面，每个行业，每个企业都有自己的行业特点和特殊的安全需求，他们的等级保护有其差异性客观存在，而等级保护相关条例目前却没有细化到每个行业中来。那么，依据行业客户自身需求而建设出来的等级保护系统，还是不是真正意义上的等级保护呢？
    “等级保护的合规性是我们始终追求完善的一个目标。”张国力解释道，现实的应用是复杂多变的，目前很多用户在依据等级保护制度基础上结合自身应用，满足系统安全需求的过程，恰恰正是等级保护完善和调整的过程。有不少企业认为在已有的安全基础上再建设等级保护系统是浪费资源，事实上恰恰相反，这是对资源的整合，能够极大地提高重要信息系统的安全等级，促进信息安全产业的快速发展。
    记者了解到，诸如电力行业等信息化程度应用比较高的关键信息系统是等级保护推动比较好的领域，虽然在实践中出现了不少问题，但是不少行业都陆续开展了具有行业特色的等级保护建设，解决方案也多种多样。张国力对此乐见其成，“这是等级保护落地建设之后出现的必然现象，目前最重要的是确保等级保护落地建设，而不是对各行各业进行种种条例限制，发展、应用才是硬道理，只有大家都行动起来，等级保护工作才能够真正落实，真正在建设中不断完善，这也应该是政府和产业界乐于看到的。”

(责任编辑：adminadmin2008)