沈昌祥演讲:信息安全的等级保护(3)

　　二，分级分类是等级保护的关键。对信息系统的分级分类十分关键，如果信息系统的分级分类不科学，则安全保障建设将事与愿违，甚至可能使我国的基础信息网络和重要信息系统面临严重安全隐患。等级保护中的分级实际上涉及了两项工作，不能混为一谈：一是如何将信息系统划归到各个安全级别中，二是为每一级的信息系统规定安全要求。

　　关于信息系统的分类，信息系统的分类跟分级有联系，但是又不是一回事，随时根据需要、需求，这个系统具有什么样的价值，具有什么样的危险，来决定它是属于哪一类的。关于分级，就是我们怎么样保护有价值，而且有风险威胁的系统，一个很重要的原则，首先不去考虑它已经采取了什么措施，目前存在哪些漏洞暂时不考虑，从客观来分析这个系统价值怎么样，它客观地存在哪些风险威胁。而不是确定已有的，而是确定应该有的。分级更重要的是去确认这样类别的系统，现在我们国家提出来五种级别、五种类型，其实这里可以分为不同的类型里头有不同的级别，应该科学考虑。同一个类型也可以采用不同级别的具体措施。像美国的做法是提出了三性，即保密性、完整性以及可用性。以这三个性的每个性分为三个等级，高、中、低。

　　三，等级跋扈是贯穿于信息安全保障各环节工作的大过程。我们国家在1994年国务院发布了147号令《中华人民共和国计算机信息系统安全保护条例》，要求实行安全等级保护。在1999年，国家质量技术监督局正式发布了强制性国家标准——GB17859－1999：《计算机信息系统安全保护等级划分准则》。现在说的等级保护不仅仅是一个标准的问题，而是要贯彻全过程的问题。信息系统是以信息系统生命为周期的，在认真、研究需求建立信息系统的时候，我们就要考虑它的价值与风险，就要确定它的类别与等级。在实施过程当中，就是按照它等级去实施，从认识以前，要进行监督，要进行评测，要认证、认可，颁发许可证，认证、认可是两个概念，认证是对产品物件系统的评测和结果，认可是这个系统的评测结果能不能通过运行，能不能把风险降到最低程度。

　　我国正面临等级保护工作的大好机遇，既有此前若干年的经验积累的优势，也有客观环境和政策支持优势。但等级保护是一项全新的课题，必然会遇到很多管理和技术方面的挑战。要深刻认识等级保护的客观规律，从实际出发、扎实实践、稳步推进，全社会共同努力，确实推动等级保护制度的尽快建立和实施。