中观思想 落实等级保护实效

一直以来，信息安全等级保护都是业界关注的焦点，对于等级保护的定义和意义，国家相关部门早已从政策层面做了详细阐述，但是如何实现等级保护实效，仍需要主管部门、用户和安全企业在实践中不断摸索总结。

如何实施等级保护？仁者见仁，智者见智。三观论提倡采用中观思想方法，对信息安全等级保护进行系统而深刻的解析。所谓的三观是指宏观、中观和微观，这是一个有机的整体。三观可以分别对应着决策层、运营层和实现层。对于等级保护，三观论提倡不能仅仅停留在盲目实施各项管理条例和满足各项具体规定上，而应充分认识等级保护的精髓──等级化，明确信息情况可视化和决策指令明确化的要求，确定面向实效的目标，从技术入手并平衡管理因素，以安全域为基础，化繁为简，最后通过安全管理平台来提升安全实效的层次。

两大管理难题

对于管理者来说，他们对两件事情感到害怕：一怕不知道发生了什么情况，二怕不知道接下来该怎么办，这就是管理者面临的两大难题。要解决这两大难题就要实现信息情报的可视化和决策指令的明确化。

等级保护能不能更好地解决这两大管理难题呢？等级保护能否达到“信息情报的可视化，决策指令的明确化”这样的实效呢？能否通过让一切看得见摸得着，帮助管理者规避和消除“不知道”的难题呢？这一系列问题的答案都是一个字“能”。

等级保护的精髓是等级化

人们可以从不同层面来认识等级保护。等级保护被划分为自主保护、指导保护、监督保护、强制保护、专控保护5个级别；要经历定级、规划设计、建设、运维、终止5个阶段；在等级保护的建设过程中，形成了自主保护、同步建设、重点保护、适当调整等保护原则；等级保护的评估也有不同形式，比如自主评估、检查评估、委托评估等。而等级保护的内涵则包括技术和管理两大方面。其中，技术上涵盖了物理、网络、主机、应用、数据等层面，管理上则包括机构、制度、人员、建设、运维等层面。

以上这些描述都不足以体现等级保护的核心，等级保护的精髓是等级化。

等级化使得所有的安全要素都可以被简化地描述出来，比如说，等级保护可以把资产等级化，把威胁等级化，把事件等级化，把安全措施等级化，把安全边界等级化，把内网交互程度等级化。通过5个安全级别，达到比较清晰的可视化的实效。由此，等级保护通过安全情况等级化和决策指令等级化使得管理者的两个“不知道”被大大简化了。谈等级保护，不能拘泥于固定的流程和范畴，而应充分认识等级保护的精髓，才能让等级保护成为一套利于安全工作的简化系统。

同时，等级保护的等级化也使得所有管理者和执行者有了一种共同的语言，更加利于彼此的交流沟通。例如在跟厂商谈企业需求的时候，如果企业的需求是第三级，即监督保护级，厂商则自然会想到与监督保护级相关的策略和建议。

此外，通过等级保护还有可能实现宏观层面的管理。从一个企业集团、一个部委体系、乃至整个国家层面，用一个统一的5级划分来统一描述安全情况、安全要求，整体则大大简化并且容易操作了。认识到这一点，我们每一个去执行等级保护工作的人就不会拘泥于自己机构的情况，强调自己是2.8级而不是3级是没有意义的，用三级保护可能有些许浪费，但是从整体宏观角度看，这样的等级化管理，使得宏观安全管理成为可操作的工作，这非常重要。

中观思想方法

等级保护作为企业的使命和任务，当属于宏观层面。而防火墙、入侵检测、评估服务、加固服务、应急响应、渗透测试等产品与服务则属于微观层面。如何把宏观与微观联系起来，实现等级保护的实效，这中间需要一个承上启下的中观层次发挥作用。

在三观论中，宏观、中观和微观分别对应着决策层、运营层和实现层；从范围上对应着涉及机构整体的全局，涉及机构的一些部门或者业务的局部，和只涉及单个或几个个体或者业务部件的单点；从组织层次和责任上对应着进行决策和战略的机构高层，负责运作、管理和执行的机构中层和负责实现、运行和操作的机构基层；从实体化的程度上则分别对应宏观上的使命、价值、业务，中观上的流程、制度、大系统，微观上的设备、功能、资源、系统等。

从对应的信息安全产品上看，三观也是各不相同的：宏观上是高层工具，包括决策支持、风险管理系统；中观上是组合功能和平台，包括安全管理平台等；微观上则是具体功能，包括防火墙、入侵检测、防病毒、加密技术等。

三观对应的信息安全服务也不尽相同：宏观上对应高端服务，包括管理咨询、业务风险咨询；中观上对应整合服务，包括安全域分析、综合风险评估等；微观上则对应具体服务，包括系统评估和加固、网络设备评估等。每个产品和服务都可以在三观上体现自己的位置。从宏观到微观，是一个从虚到实的过程，需要承上启下的中观层面。

目前，我国信息领域在宏观上并不缺乏各种各样的理念和使命，在微观上也不缺乏丰富多彩的产品和服务，但却缺乏承上启下的中观方法，人们需要用中观思想方法来解决信息安全问题，达到等级保护的实效。

就具体的中观思想，我们提出了四个方面，并结合等级保护作了论述。

确定面向实效的目标

下面是一个四象限的安全需求分析框架：

需求筐架 来自内部 来自外部

主动引导 体系化 政策性

被动要求 问题型 合规性

在这个框架中,目标的确定来自于具体的安全要求。要求来自很多方面，也可以分为很多类别。例如，一种情况是企业网站被破坏了，或者企业内网爆发了蠕虫，这些问题就是来自企业内部的被动的要求，由此便可以将安全问题导入企业确立一定的目标。还有一种是主动的目标，比如企业希望建立一个安全体系，加强内部防范，这就需要从企业内部去考虑体系化和解决问题。

此外，就目前的发展趋势，等级保护已经成为一个合规性要求，是一种来自外部且必须承担的压力。当面临这种被动要求的时候，企业必须尽量去规避可能带来的一切被动因素。

在中观思想指导下实施等级保护措施，首先需要确定有实效的具体目标。在确定具体目标时，无论面对主动还是被动要求，要规避最坏的情况，追求较高标准，保证满足最低要求。这是一个有效的工作原则。

具体到等级保护的5个等级，自主性保护是最低等级的保护，几乎每个组织都是需要的。而一旦被定级为强制性保护或专控性保护，企业只能面对，必须用所有的资源去完整地达成这个合规性要求，否则如果出现问题，造成的后果将极其恶劣。这就是规避最坏情况。而面对其他合规性要求时，就应当尽量降低外部的合规性要求等级（比如指导级），减小被动性，并且企业必须以满足最低要求作为其应该完成的基本工作；在内部则要将合规性要求放高（比如监督级），以便为信息安全争取更多的必要资源。这就是保证满足最低要求，追求较高标准。

建议等级保护的主管部门，用对应的管理思路来要求各种企业和机构，促进各方面能够通过逐步改进来达到等级保护的要求，变被动为主动。