《中華人民共和國計算機信息系統安全保護條例》規定“計算機信息系統實行安全等級保護，安全等級劃分標準和安全等級保護的具體辦法由公安部會同有關部門制定”。由黨中央和國務院批準發布的《國家信息化領導小組關于加強信息安全保障工作的意見》特別強調，國家實行信息安全等級保護，要抓緊信息安全等級保護制度建設，重點是保障國家基礎信息網絡和重要信息系統安全，進一步明確并落實了《中華人民共和國計算機信息系統安全保護條例》中關于實行信息安全等級保護的有關規定。信息安全等級保護是國家基本政策和戰略措施。

多年來，有關部門、專家、企事業單位都在積極探索搞好我國信息安全保護的思路、方法、途徑，取得了十分可喜的成果。公安部也自1980年以來組織就國家信息安全保護問題，對國內外情況和發展趨勢，從立法、管理、科學技術等方面做了長期深入的調查研究，探索解決信息化社會的安全問題的方法。基本結論：

（１）信息安全問題是由計算機技術的產生和廣泛應用而引起的一系列的國家主權與安全、社會穩定與安全、發展與安全等問題。隨著社會信息化的發展，以計算機為核心的信息技術的發展和應用，信息系統日趨發達，國家各個部門、社會各個領域、各個行業日趨依賴網絡化信息系統，互聯互通和信息共享已經是必然趨勢，計算機已成了人們工作和生活離不開的必需品。同時，信息安全問題已經直接關系到國家主權、政治、經濟、國防、社會安全以及公民合法權益的保障。

（２）信息安全問題必須綜合、整體地進行治理。信息安全是信息化時代的社會問題，國家要采取綜合措施，特別是要以法律規范和技術規范建立適合信息社會的強有力的安全保護制度，規范人們在信息系統建設和應用安全方面必須遵守的社會行為，防止和遏制各種危害，保障信息系統安全，進而保障國家主權、政治、經濟、國防、社會安全以及公民合法權益，保障并促進信息化社會發展。

（３）信息安全保護必須遵循科學、經濟、有效、符合社會客觀存在、符合國情的基本原則。實行信息安全等級保護制度，實現分級保護，多級保護，綜合立體防范，縱深防護，分類指導，推進信息安全等級保護工作制度化，規范化、法制化，是科學、經濟、有效的解決信息安全保護的辦法。信息安全等級保護制度建設符合社會組織形式，符合客觀存在。分級、分類保護可以避免資金投入、建設與管理、科研開發、監督檢查等方面的盲目性。國家實行信息安全等級保護制度，有利于國家宏觀上把握和解決復雜的信息安全問題，對涉及國計民生的信息系統進行分級保護，綜合立體防范，縱深防護，分類指導；有利于使信息系統建設、管理、使用者知道自己應該用哪一級的信息系統才能滿足安全需求，如何進行自管、自查、自評；有利于使政府信息安全監督管理部門對如何進行監督、檢查知道心中有數；有利于使科研開發部門可以按標準并有目的地開發市場所需產品；有利于使國家信息安全科學技術水平迅速得以提高，促進信息安全產業發展，而不像目前大家都開發同一檔次的同樣的產品，都來做防火墻、病毒檢測與防護入侵檢測市場。

需要特別說明的是，為了是增強《中華人民共和國計算機信息系統安全保護條例》對信息化、網絡化發展所出現的社會問題的適應性，該法規的制定工作采取了宜原則不宜細的方法，所列規定都比較原則。目的是為給以后出現的新情況新問題采取新對策留下余地。實踐證明這種做法是正確的。信息安全保護必須有一套管理和技術規范，因此，公安部組織起草，國家技術監督局發布了我國第一部信息安全保護強制性國標――《計算機信息系統安全保護劃分準則》GB17859—1999。該標準同樣采取了宜原則不宜細的制定方法，目的是為安全產品的開發、具體標準的制定、安全系統的建設與管理、相關法律法規及其執法的提供技術指導和基礎。《信息系統安全等級保護管理辦法》中提出的等級保護要求就是以GB17859—1999為基礎的，一些配套標準已經出臺，等級保護標準體系也基本形成。

信息安全等級保護制度是國家信息安全保護的基本制度。縱觀國內外的信息安全經驗和教訓，特別是我們近10年的經驗，信息安全保障工作幾乎所有的重要方面都與等級劃分有著密切的關系。因此，信息和信息系統分等級采取安全保護措施，實行等級保護制度是國家客觀解決信息安全問題的科學辦法，是信息安全保障在管理上的根本制度。

信息安全等級保護制度的特點：

首先信息安全等級保護是《中華人民共和國計算機信息系統安全保護條例》規定的法定保護制度，具有強制性；

第二是以國家制度推進信息和信息系統安全保護責任的落實；
第三是符合客觀實際，具有科學性；
第四是具有自我保護與國家保護相結合的長效保護機制；
第五是突出保護重點，國家優先重點保護涉及國計民生的信息系統，國家基礎信息網絡和重要信息系統內分級重點保護三級以上的局域網和子系統安全；
第六是具有整體保護性，在突出重點，兼顧一般的原則下，著重加強重點、要害部位,由點到面進行保護，逐步實現信息安全整體保障。

等級保護制度的主要內容：信息安全等級保護是國家法定信息安全保護的基本制度。信息安全等級保護制度的核心思想是，國家對信息與信息系統、信息安全產品按標準實行五級保護，并逐級加大保護力度；優先保護重要領域的高級別的信息系統，特別要保護國家基礎信息網絡和重要信息系統安全；信息系統安全事件實行五級響應與處置；國家信息安全等級保護實行自我保護與國家保護相結合，國家、組織、個人負責共同負責的保護原則，國家制定法律、管理與技術標準規范，各級政府部門負責組織貫徹實施，信息安全保護法定事權部門按職能嚴格履行監督管理職責；信息安全等級保護總目標是實現安全保護制度化、規范化、法制化。

等級保護制度的總要求：大型信息系統內按等級保護標準，實行小區防范、分級保護，突出重點、兼顧一般，科學規劃、效費合理，信息系統內在確保重點部位、重要信息資源安全，實現多級防護，保障互連互通和信息共享。

等級保護制度的具體要求：不同等級的信息系統提供不同等級的保護能力；不同等級的保護能力的信息系統保障不同級別的信息安全；不同安全等級的信息系統必須由相應安全級別功能的產品構建，國家重要領域的信息系統所需安全等級功能產品是國家信息安全保障的基礎和關鍵，沒有安全等級保護功能的產品就不可能建立安全等級的網絡和系統，安全產品失控就等于安全系統失控，安全等級保護制度也就不可能推行，因此，信息安全等級保護功能產品同樣受國家保護，必須納入國家信息安全職能部門的行政管理；對不同安全等級的信息系統事件必須具有相應等級的響應處置能力；對不同安全保護等級的信息系統侵害應當按級給予處罰，國家第三級以上的信息系統不容侵犯；不同安全等級的信息系統建設按相應等級的實際需求保障人力、財力投入；國家以等級保護制度促進民族信息安全科學技術和產業發展；國家以等級保護制度推進信息安全建設與管理實現制度化、規范化、法制化。

為了貫徹《國家信息化領導小組關于加強信息安全保障工作的意見》文件精神，進一步落實《中華人民共和國計算機信息系統安全保護條例》規定的信息安全等級保護制度，有關方面、有關方面的有識之士，可以繼續探索搞好我國的信息安全等級保護工作的一些思路、方法和有效措施，進一步理清思路，找到共識點，少走彎路。特別是對以下一些關鍵問題及其關系，值得我們進一步探討、理清。

一、信息安全等級保護與信息保密

信息系統安全等級保護是指，國家對涉及國家安全和社會穩定與安全，公民、法人和其他組織的合法權益的信息系統，按其重要程度和實際安全需求，分級、分類、縱深采取保護措施，保障信息系統安全正常運行和信息安全。特別是要對基礎信息網絡和重要信息系統按其重要程度和實際安全需求，分級進行保護，分類指導開展安全等級保護，分小區（局域）縱深多級防護，分階段推進安全等級保護工作，提高國家信息安全綜合防護能力，進而保障國家安全，維護信息社會秩序和穩定，促進信息安全和基礎信息科學技術發展與產業化，促進經濟發展，提高綜合國力。

信息安全等級保護的基本內涵中包含了下述基本概念：“保護信息系統，防止未授權的訪問、使用、泄露、中斷、修改或破壞，以保護：信息完整性：必須保護信息免遭到破壞、未授權或偶然、不當的修改，包括確保信息的不可否認性和真實性；資源可用性：系統資源（系統、信息數據）必須能及時滿足事務處理任務需求，確保合法用戶能及時、可靠地訪問信息的要求，避免實質性損失；信息保密性：受系統安全策略保護的各類信息內容的敏感性要求得到有效保護，即對信息的訪問權限加以約束，包括保護個人隱私和專屬信息免被未授權泄露，其中包括但不限于國家秘密、機密、絕密信息。

應當注意的是，我們容易習慣性的將信息系統中的信息的保密性單純地理解為國家秘密信息的保密問題。在信息系統安全保護方面，完整性、可用性、保密性三個基本特性要求是一個不可割裂的整體。絕大數信息系統中的信息（采集、處理、存儲、傳輸、使用）是綜合信息，且95%以上的屬內部信息，真正屬于涉及國家秘密的信息只占2-3%。在信息系統中，對信息安全特性之一的保密性的保護方法應當是，對信息資源進行科學、合理、有效的分類分級并加以明確的標識，建立嚴格的管理制度，采取訪問權限控制等措施，嚴格限定對這些信息的訪問。既要保障安全，又要有利于保障信息系統互聯互通，信息共享，電子政務建設和發展，信息化發展。

關于信息系統中國家秘密信息的保護問題。在信息化建設和發展中，國家秘密信息的保密問題確實很重要，必須認真研究采取適合信息化建設和發展的國家保密信息保護的新辦法，科學、有效地解決信息系統中國家秘密信息管理難題。筆者認為，解決國家秘密信息保護的關鍵問題的方法有三。一是在國家信息安全等級保護基本政策和總制度下提出適合信息化建設和發展要求的信息保密新政策和管理制度，建立國家秘密信息管理制度的運行機制，落實責任制，研究提出對信息系統中的國家秘密信息分類分級標識與管理方法，采取有效的監督措施等。真正的國家秘密信息是經過簽名蓋章標明國家密級的文件中的信息，信息等級保護制度是能夠解決國家信息保密問題。二是加強專用機要信息系統建設，專供國家秘密信息的處理、存儲、傳輸。三是高級別的國家秘密信息不上網，依舊采取傳統保密辦法。信息化建設中，信息化時代，網上與網下、外網與內網都有國家信息保密問題，需要有關方面進一步研究綜合、妥善、長效的解決辦法。信息安全保護應當有利于互連互通和信息共享，信息化發展，并從總體上保持全國信息安全等級保護工作一盤棋。

二、信息安全等級保護與安全平臺

目前出臺的一些安全解決方案，都是基于安全大平臺概念，安全措施基本差不多（主要是外防措施：防火墻、防入侵檢測、防病毒、密碼、物理隔離等），進入平臺里面大家都一樣，無級別之差。這樣的安全平臺，若被突破一點，就很可能就會突破全網，控制一點，就可能就會控制了整個系統。安全平臺實際上并不安全。因此，安全解決方案應當基于系統安全基本原理――訪問控制原理（access control），訪問（access）一詞包括訪問、接近、接觸、進入、存取、檢索、使用、通路等含義）。

信息系統構成的物理、操作系統、網絡、應用、管理五個層面的安全保護都有訪問控制。訪問控制的對象就是具有很高經濟、社會價值的信息資源和信息系統硬件與軟件資源。信息系統安全保護等級的劃分基于對信息資源的訪問控制原理，訪問控制原理也貫穿于分級保護、縱深防護、立體防護、綜合防范之中。信息安全等級保護特別是要加強系統內部的訪問控制，建立并實施系統資源管理、信息資源分類分級管理、保密信息分類分級標識與管理、密碼使用管理、用戶管理等信息系統安全等級保護關鍵管理制度，建立信息系統安全保護責任制，落實各級責任，采取有效的訪問控制技術措施。