 |
企业是等级保护制度的宣传者和建设者 |
|
|
| 企业是等级保护制度的宣传者和建设者 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 12:36:52 |
|
每次新的政策法规出台,往往都会引起相应的产业调整,以适应游戏规则的变化。其实规则的改变就是要促使参与者进行资源整合,达到符合市场要求的最佳状态。随着等级保护制度的推广,来自信息安全业界的关注和声音越来越多,众多厂商都将此作为企业再发展的契机。
联想网御信息安全业务技术总监刘科全认为,企业是制定国家等级保护标准的参与者,是不同保护等级安全产品的研制者,是等级保护制度的宣传者,是等级划分与等级保护体系的建设者。
根据资产的价值划分,安全保护等级是信息安全产业发展内在规律的体现,也是国外的通行做法,做好这方面的工作,需要在标准准备、产品准备、制度准备等方面做大量的工作。
在制度方面,我们现在已经有了GB17859-1999《计算机信息系统安全保护等级划分准则》这样的国家标准,但还远远不够,我们还需要很多具体支持等级保护的子标准。以防火墙为例,我们目前有GB/T18019和GB/T18020这两个标准,但这两个标准不是完全按等级保护的思想制定的,我们需要根据不同的保护等级制定不同的产品标准。
在产品准备方面,需要厂家按照等级保护的思想进行产品设计。联想网御在最近两年的产品研发中,已经将等级保护的思想融入到产品定义与产品研发之中,等相应的产品标准出台后,我们很快就可以推出对应的产品系列。
在制度方面,关键是统一产品评测认证体系与宣贯监控体系。有很多厂商都担心,推行等级保护制度之后,同一类产品是不是需要从低等级到高等级的多次评测认证,担心是否会进一步加剧厂商在产品评测认证方面的经费和人力投入,担心有些政府部门利用等级保护制度进一步变相向企业收取费用。
谈到等级保护,就一定要提及中办27号文件和信息安全保障工作会议。刘科全认为,27号文件是有史以来,中国信息安全建设方面最重要最全面的指导文件。27号文件站在国家安全的高度,将网络空间视为国家和社会的神经系统与控制系统,认为保护网络空间安全是捍卫国家安全的重要组成部分。基于上述认识,明确提出了“积极防御、综合防范”的安全方针。27号文件针对我国信息安全防护水平不高、应急处理能力不强、管理和技术人才缺乏、关键技术比较落后、产业缺乏核心竞争力、法律法规和标准不完善、管理薄弱的状况,要求信息安全建设要立足国情、以我为主、管理与技术并重;以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作。总之,27号文件明确了国家、企业、个人在加强信息安全保障工作中的责任和义务,为信息安全建设规划、信息安全产业发展和信息安全学术研究指明了前进的方向。我们认为,27号文件是号召我国各行业加强信息安全保障工作的动员令,是推进信息安全保障工作的指南针,将开创中国信息安全产业的新纪元。
信息安全是一个政治性和技术性都非常强的产业,需要国家的整体推动。作为信息安全企业,一方面我们很高兴国家明确提出支持民族企业的发展,另一方面我们也将进一步加大在研发投入上的力度,在某些基础技术上不但要追赶国际先进水平,而且还要在安全性和可信赖方面为国家站好岗,为用户服好务。同时,企业会想方设法研制出符合高等级保护要求的产品,会更加重视与确定产品保护等级的“裁判员”的关系,说到底,国家如何制定等级保护的规则,将是推动等级保护制度成败的关键,也是广大行业用户和信息安全企业最终欢迎与否的关键。
近年来,国家陆续颁布了等级划分的相关指南,但是从产品、方案角度如何对等级保护进行支持,还需要有关主管部门和企业共同协商。在服务方面,企业一直在协助政府重要部门、金融、电信行业通过安全服务项目划定安全等级。但是,真正做到按照用户的要求划分等级,再用相应产品或方案去满足等级划分的要求,最终还需形成标准和体系。
从企业角度看,目前等级保护推广的力度还不够大,27号文件发布之后,等级保护被提高到非常重要的地位,但是还存在等级保护由谁来推动的问题,这关系到等级保护如何落实,如何指导整个中国信息安全建设向健康轨道发展。此外,等级保护的实施涉及到产品、方案、服务、技术、用户和教育等多个方面。主管部门如何去监督、控制、管理,也是要着重解决的问题之一。我们期待后续相关政策规范的出台。【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 十大网络危险行为 威胁企业安全
下一篇文章: 企业内部IT安全性风险需要长抓不懈 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
