亢龙有悔,取于《易经》乾卦:“亢龙,有悔”。《象》曰:“‘亢龙,有悔’,盈不可久也”。
关于等级保护制度,业界已经探讨有十几年之久了。上至国家,下至黎民,可谓全民动员,趋之若鹜。在这个跨了世纪的研究探索过程中,不凡诸多的真知灼见。其间,多少人黑发熬成了白发翁,青年熬成了中年,真可谓仁者见仁,智者见智。如今这一切还仍在继续..........
任何一件事情,当我们正在做的过程中不时的回过头来看一看,总会有所发现,有所收获。古人曰:“吾日三省乎己”,或曰:“温故而知新”。想来,信息安全的建设和等级保护工作更是如此。或许,此时该是我们停下思维的脚步深入再思考的时候了。停下来不意味着不前进,而是为了走的更远。那就让我们以历史的旁观者身份,再次审视安全,思考等保。
等级保护的本质和目的
首先,让我们简单回顾一下等级保护制度的发展过程。1994年2月,国务院147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。从此,等级保护制度进入了国家战略层面,而伴随着历史的发展,等级保护制度也逐渐成为国家意志。2003年底的中办发27号文以及2004年初的“全国信息安全保障工作会议”,作为我国信息安全发展过程中重要的里程碑式的文件和会议,再次明确实行信息安全等级保护,至此,信息安全等级保护制度进入发展的快车道。回过头来看,在十几年的发展过程中,等级保护在政策法规方面已经陆续出台了近10部法规和管理办法,与此同时,等级保护的技术工程建设标准也已经发布。从2001年正式发布的GB/17859--1999《计算机信息系统安全保护等级划分准则》开始,等级保护制度的技术标准体系正式拉开了序幕,GB/17859作为等保系列技术标准中唯一一部强制性国标,是整个等级保护技术标准体系的基石,此后,陆续出台了30余部技术标准。
我们不能不承认,等级保护制度作为国家信息安全保障体系中的基本管理制度,国家投入了大量的人力、物力和财力。无论从政策法规、技术标准、人才培养,到测评体系,再到工程实践等等,等级保护积累了相当宝贵的各方面信息安全资源和财富,从根本上说,这是一项目复杂的社会系统工程,以往任何信息安全方面的建设和管理工作,从未像等级保护制度这样系统化、体系化、工程化。那么,我们不禁要问,实行等级保护制度的本质和目的到底是什么呢?一方面来讲,这就是国家意志的体现,体现了国家对信息安全的高度重视,体现了党中央在新的历史发展时期,新技术条件下面对各种挑战和复杂国际国内形势下的战略抉择;另一方面,以现实社会等级化的组织管理科学原理和方法,来营造信息社会环境和信息系统及其网络信息化业务安全应用环境,保障信息系统及其网络安全涉及的国家安全、社会秩序与稳定、公民和法人及其他组织的合法权益,促进各个领域的发展。其三,等级保护制度的推行,第一次将信息安全保障工作纳入到了长效管理的机制之中,有利于信息系统安全的健康、有序、长远、和谐发展。
等级保护是否是万灵之药
任何一项制度的出台和发展,都要经历艰难的历程和苦苦的探索,都是一个不断完善和不断发展的过程,等级保护制度同样如此,应该说,等级保护没有终点,只有不断的完善和发展。一项推动了十几年的制度,在保障信息安全发展过程中到底能起多大的作用,到底能不能解决日益出现的各类信息安全问题和敌对势力的攻击,是我们必须要面对的。通过十年的调研、论证、建设等等工作,等级保护已经深入人心了,人们不禁还要问,这么庞大的一个系统工程,是不是就可以彻底解决了信息安全的所有问题呢?显然,答案是否定的。等级保护不是万灵之药,不是神仙大力丸。它作为信息系统安全整体保护的基本制度,能够相对的更大限度的来提升信息系统安全的防护能力,有谁又敢说“一等保就安全呢”?哪个人和哪个部门或机构能这样放下豪言呢?事物不可能是绝对的。从方法论的角度来看,信息安全等级保护制度就是信息安全整体保障的一种方法而已,只不过这种方法更科学、更严谨、更体系、更合理。无论是从法律法规体系,技术标准体系,还是从测评标准体系、人才建设培养体系、或者是监督检查体系、科学度量体系,等等,所有这些,让我们有信心对等级保护产生信任。
因此,怀有正确的心态来看待等级保护,有利于我们从更高的角度来认识和分析信息安全问题,真正的解决信息安全威胁和隐患。信息系统是动态的,信息安全也是动态的过程,同样,等级保护也是动态的,更是发展的、完善的。世间没有灵丹妙药,对于信息系统安全同样如此,有的只是相对科学的防护和管理制度。
等级保护建设之路
从神秘到开放,从象牙塔到市场,等级保护制度最终还是要落地,也就是在所有准备工作都基本到位的情况下(包括政策、法规、标准、测评等方面的工作)开始建设了,这才是等级保护制度的根本所在,要真正发挥等级保护制度的功效,为信息系统安全保驾护航,为社会稳定经济发展贡献力量。那么,怎么建设呢?有了政策上的要求和保障,就一定能够落地吗?就一定能够完全建设好吗?等级保护出台了几十部的技术标准和管理办法,这些都是建设的现实依据,最起码,给我们提供了建设的技术要求范本,但是,问题是,我们能够完全按照技术标准来建设吗?恐怕情况有所不同。一方面,我们要合规,另一方面我们又无法合规,定级工作结束了,备案工作也结束了,下一步就是建设整改阶段,怎么建设整改?完全按照技术规范要求来做就算达到标准了吗?我们恰恰又忘掉了等级保护的初衷,我们不是单纯为了合规而合规,不是为了要求和大范围的投入建设,我们的目的就是要保证我们的信息系统最大化的安全可靠。所以说,信息安全等级保护的建设整改之路一定要辩证的看待,要看实际的应用、实际的业务特点和行业特点、也要看不同的应用需求,只有这样,建设出来的信息安全系统才会发挥它更好的运行效率。
在以前,我们不知道如何建设整改,对于建设整改之后的系统,也不清楚到底是否达到了相应的级别要求。系统的测评能够满足系统对安全的合规性吗?即使某年某月某日某时某刻某秒达到了相应系统级别要求,过了这一刻它还是三级系统,还是四级系统吗?如何对待这个问题,还是要辩证的看待,建设整改是长期的、动态的、发展的。三级系统就一定要完全达到所有的三级技术指标要求吗?我看未必,三级和四级之间的那部分又该怎么办?三点几的问题如何处理,这个度要放给用户自己把握。标准是死的,而系统和人却都是活的,用死的东西约束活的东西不符合客观规律,一定要用活的东西去适应相对的标准,这样才会纲举目张,和谐相处。
如何辩证的看待等级保护制度
前面提到,对于等级保护制度要辩证的看待,既不能无限夸大,也不能不予重视,等级保护的出台和推广,为我们国家对于信息安全的管理和用户对于提升信息系统安全提供了科学的方法论,以这样的态度来对待等级保护,本身就是对客观事实和规律的尊重。一个事物的发展,最终要走向民众,走向共同,等级保护制度也要最终走下神坛,面对市场,还原等级保护制度的真实面目,对所有用户来说至关重要,我们希望,深刻认识和理解等级保护就是对信息安全工作的最好的推动。
“亢龙有悔”就是让我们能够用辩证的眼光来看待事物的发展,在等级保护建设过程中,亢龙有悔这一招最为基础,也最为上乘。因此,从现在做起,我们不要追求绝对的安全,用科学方法来保障信息系统的安全可靠才是明智之举。
(责任编辑:)
