等级化安全体系:信息安全产业的催化剂

时间: 2005-06-06 09:23:18    来自:科技日报
 

   世界上没有百分之百的安全。怎样才能采取性能价格比较好的措施,既保护关键财产,又降低投资成本呢?如何界定信息安全的综合成本?如何评估信息安全风险?如何使二者达到平衡?这些困扰了用户多年的问题,在经过公安部、信息产业部、保密局、中办机要局近10年的努力后,目前再次获得国家的高度重视,形成了一个宏观的国家政策指导,并成为信息化用户和产业界共同关注的焦点——这就是实施信息安全等级保护制度。

  据了解,中国的信息安全等级保护的源头最早可以追溯到1994年国务院发布的147号令。按照当时的条例,规定计算机信息系统必须实行等级保护。等级的管理办法和等级的划分标准,由公安部门和有关部门制定。

  1998年,公安部制定了等级保护制度建设的纲要,对等级标准划分做了一个基本规划。1999年,公安部会同信息产业部、保密局、中办机要局、军队和地方的专家,正式制定了计算机信息系统等级划分标准,并被国家技术监督局作为强制性的国家标准发布了。20039月发布的27号文件是国家信息安全建设方面最重要最全面的指导文件,其中明确提出了积极防御、综合防范的安全方针,2004 11月份发布的66号文件明确提出了等级保护是今后我们国家信息安全基本政策和根本方法

  事实上,国际上也一直在探索等级化安全标准的制定。早在1996年,国际标准组织综合一些国家的信息安全标准,如英国、法国、德国的信息安全标准,演变成CC通用标准。 1999年,21版本的CC通用标准已经出台,其中规定,计算机安全从高到低分为ABCD四类八个级别,共27条评估准则,由此可见,对信息安全进行等级保护也是一项具有国际化特征的课题。

  一位业内专家告诉记者,国家政策、国际标准都在主张和推动等级化保护,因而等级化保护可以说是一种信息安全技术和应用的潮流。

  等级化安全体系将成趋势

  随着信息化的快速发展,政府、企业等相关机构,屡屡遭到来势汹汹的病毒、网络入侵、数据盗取和黑客攻击等威胁,需要不断加大对网络安全体系建设的投入。但是相关数据表明信息安全产业近两年虽然发展迅速,但并没有预期增长得那么快,安全投入和增长率实际都低于预测。

  造成这种投资不足的现象主要基于两方面原因:一方面强制性政策支持不足,大部分目前还处于呼吁状态;另一方面安全建设有效性不足,客户在安全建设中还存在一些困惑。

  一位业内专家指出,等级化安全体系将是解决安全建设中的相关问题是一种比较行之有效的方法,为客户构建经济、安全、有效的等级化安全体系,可以帮助客户做到心中有数、建设有序、控制有力,从而提升客户利益、促进产业的快速发展。

  前不久,联想网御在国内安全厂商中率先以等级化安全体系作为业务的战略思想。这是在对国家等级保护相关政策及客户应用需求深入研究和探索的基础上,配合国家安全建设的步伐提出来的。据悉,联想网御2005财年的业务策略将以此为核心全面展开。

  联想网御总裁任增强告诉记者,等级化安全体系旨在根据不同用户在不同阶段的需求、业务特性及应用重点,利用等级化、体系化相结合的安全体系设计方法,在遵循国家等级保护制度的同时,将等级化安全理念融会到产品、方案及应用中。为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

  随着IT技术应用的深化、安全需求已发生结构性变化。等级化安全体系建设将会在以政府、电信、金融为代表的核心领域全面铺开。相信在以联想网御为代表的国内领先的信息安全厂商的带动下,中国信息安全的应用与防护水平将进一步与国际领先水平接轨。

 
期期必出30码网站