每當新的政策法規(guī)出臺,往往都會引起相應的產(chǎn)業(yè)調(diào)整,以適應游戲規(guī)則的變化。其實規(guī)則的改變就是要促使參與者進行資源整合,以達到符合市場要求的最佳狀態(tài)。隨著等級保護制度的推廣,來自信息安全業(yè)界的關(guān)注和聲音越來越多,眾多廠商都將此作為企業(yè)再發(fā)展的契機。
聯(lián)想網(wǎng)御信息安全業(yè)務(wù)技術(shù)總監(jiān)劉科全認為,企業(yè)是國家等級保護標準制定的參與者,是不同保護等級安全產(chǎn)品的研制者,是等級保護制度的宣傳者,是等級劃分與等級保護體系的建設(shè)者。
根據(jù)資產(chǎn)的價值劃分,安全保護等級是信息安全產(chǎn)業(yè)發(fā)展內(nèi)在規(guī)律的體現(xiàn),也是國外的通行做法,做好這方面的工作,需要在標準準備、產(chǎn)品準備、制度準備等方面做大量的工作。
在制度準備方面,我們現(xiàn)在已經(jīng)有了GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》這樣的國家標準,但還遠遠不夠,我們還需要很多具體的支持等級保護的子標準。以防火墻為例,我們目前有GB/T18019和GB/T18020這兩個標準,而這兩個標準的制定不是完全按等級保護的思想制定的,需要根據(jù)不同的保護等級制定不同的產(chǎn)品標準。
在產(chǎn)品準備方面,需要廠家按照等級保護的思想進行產(chǎn)品設(shè)計。聯(lián)想網(wǎng)御在最近兩年的產(chǎn)品研發(fā)中,已經(jīng)將等級保護的思想融入到產(chǎn)品定義與產(chǎn)品研發(fā)之中,等相應的產(chǎn)品標準出臺后,我們很快就可以推出對應的產(chǎn)品系列。
在制度方面,關(guān)鍵是統(tǒng)一產(chǎn)品評測認證體系與宣貫監(jiān)控體系。有很多廠商都擔心,推行等級保護制度之后,同一類產(chǎn)品是不是需要從低等級到高等級的多次評測認證,擔心是否會進一步加劇廠商在產(chǎn)品評測認證方面的經(jīng)費和人力投入,擔心有些政府部門利用等級保護制度進一步變相向企業(yè)收取費用。
談到等級保護,就一定要提及中辦27號文件和信息安全保障工作會議。劉科全認為,27號文件是有史以來,中國信息安全建設(shè)方面最重要最全面的指導文件。27號文件站在國家安全的高度,將網(wǎng)絡(luò)空間視為國家和社會的神經(jīng)系統(tǒng)與控制系統(tǒng),認為保護網(wǎng)絡(luò)空間安全是捍衛(wèi)國家安全的重要組成部分。基于上述認識,明確提出了“積極防御、綜合防范”的安全方針。27號文件針對我國信息安全防護水平不高,應急處理能力不強,管理和技術(shù)人才缺乏,關(guān)鍵技術(shù)比較落后,產(chǎn)業(yè)缺乏核心競爭力,法律法規(guī)和標準不完善,管理薄弱的狀況,要求信息安全建設(shè)要立足國情,以我為主,管理與技術(shù)并重;以安全保發(fā)展,在發(fā)展中求安全;統(tǒng)籌規(guī)劃,突出重點,強化基礎(chǔ)性工作。總之,27號文件明確了國家、企業(yè)、個人在加強信息安全保障工作中的責任和義務(wù),為信息安全建設(shè)規(guī)劃、信息安全產(chǎn)業(yè)發(fā)展和信息安全學術(shù)研究指明了前進的方向。我們認為,27號文件是號召我國各行業(yè)加強信息安全保障工作的動員令,是如何推進信息安全保障工作的指南針,將開創(chuàng)中國信息安全產(chǎn)業(yè)的新紀元。
信息安全是一個政治性和技術(shù)性都非常強的產(chǎn)業(yè),需要國家的整體推動。作為信息安全企業(yè),一方面我們很高興國家明確提出支持民族企業(yè)發(fā)展的決議,另一方面我們也將進一步加大在研發(fā)投入上的力度,在某些基礎(chǔ)技術(shù)上不但要追趕上國際先進水平,而且還要在安全性和可信賴方面為國家站好崗,為用戶服好務(wù)。同時,企業(yè)會想方設(shè)法研制出符合高等級保護要求的產(chǎn)品,會更加重視與確定產(chǎn)品保護等級的“裁判員”的關(guān)系,說到底,國家如何制定等級保護的規(guī)則,將是推動等級保護制度成敗的關(guān)鍵,也是廣大行業(yè)用戶和信息安全企業(yè)最終歡迎與否的關(guān)鍵。
近年來,國家陸續(xù)頒布了等級劃分的相關(guān)指南,但是從產(chǎn)品、方案角度如何對等級保護進行支持,還需要有關(guān)主管部門和企業(yè)共同協(xié)商。在服務(wù)方面,企業(yè)一直在協(xié)助政府重要部門、金融、電信行業(yè)通過安全服務(wù)項目劃定安全等級,但是,真正做到按照用戶的要求劃分等級,再用相應產(chǎn)品或方案去滿足等級的劃分,最終還需形成標準和體系。
從企業(yè)角度看,等級保護推廣的力度還不夠大,27號文件發(fā)布之后,等級保護被提高到了非常重要的地位,但是還存在等級保護由誰來推動的問題,這關(guān)系到等級保護如何落到實處,如何指導整個中國信息安全建設(shè)向健康軌道發(fā)展。此外,等級保護的實施涉及到產(chǎn)品、方案、服務(wù)、技術(shù)、用戶和教育等多個方面,主管部門如何去監(jiān)督、控制、管理,也是要著重解決的問題之一。
