【技術達人秀（6）】信息安全等級保護勢在必行

清華同方電腦總工程師劉鋒

信息安全是項系統工程，所以評估信息系統的安全性必須整體考量，這就像日常生活中經常提到的木桶原理（短板效應），任何一塊組成部分出現漏洞，整個體系都會失去價值。

在實踐操作中，硬件建設的系統工程和軟件的全過程管控需要在細節上詳細布局。否則，即使密碼算法再合理、傳輸體系管理再嚴格，只要使用環境保護不到位，任何一個環節出現泄露都會讓整個安全體系瓦解，包括建設信息系統使用環境、監控使用流程、審計使用過程以及安全漏洞出現后的應急措施和處理設備廢料。

值得一提的是，身份認證在該體系里是重要一環。一般情況下，使用者通過指紋、密碼、虹膜、IC卡、二代身份證等方式鑒別機器和操作人員的身份。但為了確保萬無一失，最為保險的途徑是密碼（軟件識別）、指紋（生物特征）、物理硬件三者相結合。

在這種情況下，僅僅購買加密機或安全防護軟件不能從根本上解決這些問題。國家正是認識到了這些問題，才開始了信息安全等級保護工作。

所謂信息安全等級保護，是指根據信息系統應用業務的重要程度和實際安全需求，實行分級、分類、分階段保護，從而保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。信息安全等級保護的核心是對信息系統，特別是對業務應用系統安全分等級，按標準建設、管理和監督。目前，國家對信息安全等級保護工作運用的法律和技術規范都在逐級加強監管力度，以保障重要的信息資源和系統的安全。

在操作層面，信息安全等級保護制度的主要內容是，對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級管理保護，對信息系統按業務安全應用區域分級保護，對系統中使用的信息安全產品按分級許可管理，對等級系統的安全服務資質分級許可管理，對信息系統中發生的信息安全事件分等級響應和處置。

為何要在信息安全領域實行等級保護制度呢？從根本上來說，是為了保護信息技術的業務安全應用。對信息安全體系分級保護是客觀需求，信息系統的建立是為社會發展、社會生活的需要而設計建立的，是社會構成、行政組織體系及其業務體系的反映，這種體系本身就是分層次和級別的。因此，信息安全保護必須符合客觀需求。等級化保護是信息安全發展的必然規律，按組織業務應用區域、分層、分類、分級實行保護和管理，分階段推進等級保護制度建設，是做好國家信息安全保護必然遵循的客觀規律。（梁爽）