新年伊始，信息安全圈的几个朋友小聚，谈到过去的一年，大家齐声喊累。“做信息安全太累了”，仿佛成了信息安全企业的一致感受。对于2011年，整个信息安全产业界显得沉闷无声，没有大的安全项目应用，没有新的独创技术出现，国家的信息安全相关政策也未见有何大的调整，用户对安全需求的方向和趋势更是不温不火。便是在这样的环境中，中国的信息安全行业度过了平静的一年。

日子再难也要过，市场再不好，也要继续做下去，况且，中国的信息安全市场也并非大家感受的如何难过。这个是客观事实，作为技术含量最高的行业，竞争也最为激烈，充分竞争的结果，就是所有参与方都会感觉到一股沉重的压力。毕竟，信息安全无小事，无论是个人的隐私安全，还是系统的运行安全，抑或是各类政务门户的内容安全，一旦出现了事故，对个人、对单位都是一件大事情。

纵观我国信息安全近几年的蓬勃兴起，首先得益于信息化的广泛应用和互联网的快速发展，信息安全成为建设系统和应用不可或缺的组成部分，从个人到企业，从行业再到国家，都给予了信息安全足够的关注和重视。其次，信息安全的意识在逐步提高。想想十年前有多少人知道防火墙呢，而现在，这些网络安全设备早已经成为系统建设的必需品。

诚然，信息安全不是绝对的，无论多严密的防护措施，多高深的技术手段，多完善的管理制度，想要完全避免信息安全事件的发生都是不可能的，因此，信息安全是个相对的事物，我们所追求的目标，便是相对的安全和可以承受的风险。

2012年，又将迎来一个充满机遇和坎坷的市场，在这一年里，我们真心的希望信息安全能迎来收获的季节，也企盼信息安全能够化蛹为蝶。

漫长等保十年路，何时落地可花开

在信息安全行业，提起信息系统安全等级保护制度可谓长路漫漫。从1999年的GB17859强制国标的出台，信息系统安全等级保护制度的建设工作开始正式启动了。回首十几年，等级保护历经风雨。曾有过轰轰烈烈，也有过黯然无声；曾有过思路清晰，也有过迷茫观望。无论是信息安全的主管部门（公安部），还是各个定级系统的几万系统用户，以及那些望眼欲穿的信息安全企业，都对等级保护给予了前所未有的关注和期待。

等级保护的问题之困

从等级保护推动开始至今，真正的等级保护落地工作一直在艰难的推行过程中。先期进行了部分行业和区域的试点工作，为的就是在全国范围内的推广做准备。然而，为什么一个推动了十几年的制度竟然如此之难呢？

首先，我国在信息安全管理方面存在着多头管理的局面。公共互联网信息安全由公安部牵头负责，涉密信息系统则由国家保密局牵头负责，密码则由国家密码管理局负责，而信息化则由工业信息化部牵头负责。众所周知，信息安全的整体管理是个复杂的社会系统工程，涉及到方方面面和各个部门，需要整体协调，一致推进，而现行的多头管理，则造成了政令多出、发展不均的问题。

其次，由公安部牵头的信息安全等级保护制度，在推行过程中更多缺乏的是法律上的有效依据，更多是靠相关主管部门的政策和行业标准。一项制度的推行，需要国家更高层面上的法律依据，公安部门在推动等级保护过程中，就面临着无权威法可依的尴尬局面；同时在很多方面也缺乏行政许可的有效支撑。

第三，等级保护制度不仅是一项高难度的社会系统工程，更是一项高技术含量的复杂技术工程，其中涉及到了信息安全的各个方面。然而，我国定级的大部分三级以上重要信息系统的软、硬件等核心技术，都掌握在国外的手中，用现行的技术规范要求去做，很难达到一个真正的安全效果，同时在标准合规性方面，就存在着表面合规，实际脱轨的情况。

第四，按照公安部门的要求，在2012年底基本完成三级以上重要信息系统的整改建设任务。现在看来，这个任务的实现恐怕难度重重。众多用户关注的问题是：信息系统按照等级保护的要求来做，就能够真正的安全吗？如果按照等级保护的标准去做了，而又无法避免信息安全问题的发生，根据“谁主管谁负责”的原则，出了问题后，仍然是需要用户负责任。那么，这种制度的必要性和权威性就存在着一定的质疑；由于信息系统是个动态的变化过程，当系统测评结束后，哪怕由于一个策略的变化都有可能导致整个系统安全状况的改变，这时候的信息系统还是达到测评标准要求的系统吗？据统计，全国现有定级的三级以上重要信息系统大约有2万多家，而二级以上系统则有3万多家。如此数量庞大的信息系统，在短时间内完成整改建设工作，是否现实呢？相关的配套政策、资金扶持、测评力量、技术实施、产品质量等等，是否全都准备妥当！

第五，在信息技术发展日新月异的今天，各种新技术、新应用不断的出现，使得原有的信息系统整体架构出现了改变，而等级保护的工程建设技术标准以及测评标准，都是建立在之前的系统架构基础之上的，伴随着诸如云计算等新技术的出现，已经有部分标准面临着落后修订的局面，在这种情况下，是否还是按照以前的标准执行，让广大的建设单位无从可依。

等保建设势在必行

从信息系统等级保护制度推行之初，就在业界普遍存在着不同的质疑之声。一方面是等级保护制度脱胎于美国的信息系统等级化防护政策，在加上了中国的一些管理制度后，形成了我们现在系统的等级保护制度。在效仿国外相关制度之时，我们忽略了一些现实：由于信息化的起步较晚，我们在基础的信息装备方面基本都是国外的，应该说是“缺芯少魂”，核心问题解决不掉，不管你的系统建设如何完备，在关键的时刻都是不堪一击。昔日微软公司的“黑屏事件”和近年来不断出现的信息安全事件，再次证明了没有自主知识产权就没有国家信息安全的道理。

但是，信息系统安全等级保护制度就此不推动了吗？答案是否定的，“ 等保制度没有退路&rdquo。

试问，一个推动了十几年的国家制度，一个寄托了国家战略的保障措施，能够有回头路可走吗？一方面，等级保护制度推行绝对不能失败，否则，相关的主管部门无法向国家交代、无法向几万的用户交代，更无法向所有纳税人交代。投入了那么多、那么大的人力、物力、财力，而整体的信息系统安全状况没有任何改变，这个结果，谁能够承受呢？

从1994年国家提出计算机信息系统等级保护制度以来，等级保护制度拥有了相对完备的配套措施和各类标准。应该讲，在我国，目前还没有任何一项信息安全方面的制度能够与等级保护制度媲美，没有任何一项信息安全制度像等级保护制度这样系统化、工程化、和社会化。等级保护制度经过十几年的磨练，已经深入到了管理、行业、企业、个人的心中，可以说，推行等级保护是万事俱备只欠东风！
国家的殷切期望，行业定级用户的焦急等待、信息安全企业的摇旗呐喊，等级保护就像一个巨大的风筝被放飞了。这其中，不仅有对国家整体信息安全保障的最大寄托，有信息安全产业发展壮大的希望和我国自主核心装备产业升级换代的历史机遇，从任何角度而言，信息安全等级保护制度都不能承受无法落地之痛。

对于信息安全行业的众多企业而言，等级保护就像一根救命稻草一样，牵动着企业的神经。试问，现在哪家信息安全企业不是紧盯等保呢？尤其在中国目前的现状之下，信息安全产业的主要拉动力在于政府行业（包括国有的企业），而等级保护又是信息安全建设的一面大旗，在这面国家大旗的感召之下，又蕴藏着怎样的市场商机啊。

然而，我们无法希冀于通过一个制度就能保障国家和众多信息系统的绝对安全，这只是一种选择的手段，一种公安部代表国家向广大信息系统提供的信息安全解决方案而已。

中国信息安全的根本出路，在于努力提高自身的技术实力，提高整体核心装备的国产化，真正实现“芯是自己的，魂也是自己的”，到那时，我们国家的信息安全整体实力和保障能力才会上到一个新的台阶，信息安全等级保护制度才会真正的花开落地！

(责任编辑：)