每当新的政策法规出台,往往都会引起相应的产业调整,以适应游戏规则的变化。其实规则的改变就是要促使参与者进行资源整合,以达到符合市场要求的最佳状态。随着等级保护制度的推广,来自信息安全业界的关注和声音越来越多,众多厂商都将此作为企业再发展的契机。
联想网御信息安全业务技术总监刘科全认为,企业是国家等级保护标准制定的参与者,是不同保护等级安全产品的研制者,是等级保护制度的宣传者,是等级划分与等级保护体系的建设者。
根据资产的价值划分,安全保护等级是信息安全产业发展内在规律的体现,也是国外的通行做法,做好这方面的工作,需要在标准准备、产品准备、制度准备等方面做大量的工作。
在制度准备方面,我们现在已经有了GB17859-1999《计算机信息系统安全保护等级划分准则》这样的国家标准,但还远远不够,我们还需要很多具体的支持等级保护的子标准。以防火墙为例,我们目前有GB/T18019和GB/T18020这两个标准,而这两个标准的制定不是完全按等级保护的思想制定的,需要根据不同的保护等级制定不同的产品标准。
在产品准备方面,需要厂家按照等级保护的思想进行产品设计。联想网御在最近两年的产品研发中,已经将等级保护的思想融入到产品定义与产品研发之中,等相应的产品标准出台后,我们很快就可以推出对应的产品系列。
在制度方面,关键是统一产品评测认证体系与宣贯监控体系。有很多厂商都担心,推行等级保护制度之后,同一类产品是不是需要从低等级到高等级的多次评测认证,担心是否会进一步加剧厂商在产品评测认证方面的经费和人力投入,担心有些政府部门利用等级保护制度进一步变相向企业收取费用。
谈到等级保护,就一定要提及中办27号文件和信息安全保障工作会议。刘科全认为,27号文件是有史以来,中国信息安全建设方面最重要最全面的指导文件。27号文件站在国家安全的高度,将网络空间视为国家和社会的神经系统与控制系统,认为保护网络空间安全是捍卫国家安全的重要组成部分。基于上述认识,明确提出了“积极防御、综合防范”的安全方针。27号文件针对我国信息安全防护水平不高,应急处理能力不强,管理和技术人才缺乏,关键技术比较落后,产业缺乏核心竞争力,法律法规和标准不完善,管理薄弱的状况,要求信息安全建设要立足国情,以我为主,管理与技术并重;以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作。总之,27号文件明确了国家、企业、个人在加强信息安全保障工作中的责任和义务,为信息安全建设规划、信息安全产业发展和信息安全学术研究指明了前进的方向。我们认为,27号文件是号召我国各行业加强信息安全保障工作的动员令,是如何推进信息安全保障工作的指南针,将开创中国信息安全产业的新纪元。
信息安全是一个政治性和技术性都非常强的产业,需要国家的整体推动。作为信息安全企业,一方面我们很高兴国家明确提出支持民族企业发展的决议,另一方面我们也将进一步加大在研发投入上的力度,在某些基础技术上不但要追赶上国际先进水平,而且还要在安全性和可信赖方面为国家站好岗,为用户服好务。同时,企业会想方设法研制出符合高等级保护要求的产品,会更加重视与确定产品保护等级的“裁判员”的关系,说到底,国家如何制定等级保护的规则,将是推动等级保护制度成败的关键,也是广大行业用户和信息安全企业最终欢迎与否的关键。
近年来,国家陆续颁布了等级划分的相关指南,但是从产品、方案角度如何对等级保护进行支持,还需要有关主管部门和企业共同协商。在服务方面,企业一直在协助政府重要部门、金融、电信行业通过安全服务项目划定安全等级,但是,真正做到按照用户的要求划分等级,再用相应产品或方案去满足等级的划分,最终还需形成标准和体系。
从企业角度看,等级保护推广的力度还不够大,27号文件发布之后,等级保护被提高到了非常重要的地位,但是还存在等级保护由谁来推动的问题,这关系到等级保护如何落到实处,如何指导整个中国信息安全建设向健康轨道发展。此外,等级保护的实施涉及到产品、方案、服务、技术、用户和教育等多个方面,主管部门如何去监督、控制、管理,也是要着重解决的问题之一。
