沈昌祥演讲:信息安全的等级保护(2)

　　全国信息安全保障工作会议强调，要把握以下几个重要原则：坚持一手抓发展，一手抓安全；坚持以改革开放求安全；坚持管理与技术并重，坚持统筹兼顾，突出重点。这一提法是全面的、辩证的，但是在于技术实施发展当中，也感觉到有些不足的地方，这件事情只有在等级保护科学的、实事求是的情况下才能解决这些问题的统一。因为时间关系，不展开讲了，不如我们一手要抓发展，一手要抓安全，我们等级保护的观念才能去保证所建的系统安全，发展了以后，安全需求变得我们又有新的要求去保护它的安全。只有这样理解，才能说我们发展信息安全是相辅相成的。改革开放求安全，我们要走出一条信息安全保障的新路子，我们不能一刀切，不能对全部信息系统规定统一的安全要求，各类信息系统要有灵活多样的信息安全解决方案。坚持管理与技术并重，等级保护有很重要的技术为基础的色彩，但是它有很强烈的管理自由。因此，等级保护是管理与技术并重的最好的体现。坚持统筹兼顾，突出重点，我们等级保护就是要确保重点，这也是最后的体现。

　　我们在做得过程中也遇到了一个问题，美国在标准制定、等级划分过程当中，都明确了国家守密的部分不在内，我们怎么搞这个问题，守密系统要分别对待。国外的情况大家已经清楚了，由于美国尽管没有说等级保护这么一个制度要贯彻，实际上他在制定一系列的法律和标准过程当中，也是基于守密保护的思想和做法。尤其是2002年美国通过了《联邦信息安全管理法案》，这里要求NIST（国家标准和技术研究所）制定了一些标准。

　　国外的情况，美国正式启动了信息安全的等级保护工作，目前，这些标准和指南的草案已经由NIST发布。根到2005年将变更为强制性的联邦标准FIPS200，联邦机构到时必须无条件遵循等级保护的系列要求。