主持人:下面一个话题好象更应该对我们的用户来说,但我想在座的供应商和技术人员也是非常感兴趣的。大家我国的对
信息安全保障,它根据资源重要性来确定保护度应该达到的标准,这些不仅可以提高重要信息系统的安全防护能力和应急水平,而且能够最大限度的减少
信息安全事件造成的损失和危害。下面有请绿盟科技服务产品部高级安全顾问孙铁先生发表演讲,他演讲的题目是:
信息安全等级保护。有请孙铁,大家欢迎。
孙铁:大家好,很高兴今天有这么个机会能够利用这么短时间跟大家交流一下,就是目前我们国家正在推行的重要的
信息安全工作,就是
信息安全等级保护。因为大家提到等级保护,因为大家觉得在以前包括政府、厂商宣传这方面的概念应该是很多了,但是政府机构在宣布等级保护这部分工作的时候更多是包括对文件的解析和研读作为重要的目的,而厂商更多是用自己对产品的理解解读等级保护制度。
但等级保护工作是怎么完成的呢?实际上我们越来越感觉到等级保护不是一个产品,更不是一个项目,它应该是一个过程,所以我今天从另外一个角度跟各位交流一下等级保护,也就是从安全服务的角度跟各位交流一下等级保护方面的特点。
因为谈到等级保护,对用户来讲多少还是带有被动性质的,这不像一些用户从自身碰到的问题中产生一些需求,而这是国家颁布的一个个标准或者文件工作。94年通过国务院的147号令首先提出了等级保护的概念,147号令主要贡献有粮店,一个是国家信息工作要通过等级保护来完善,第二是把公安部作为等级保护的指导单位。03年发布了27号文,陆续出台了一系列相关文件,最重要的是去年6月底出的一次43号文,另外是相关等级保护定级工作的展开。也就是说等级保护工作的开展还局限于定级方面,所以等级保护工作在事实过程中遇到了一些比较难以解决的问题。所以今天我主要是从安全服务提供商的角度来讲,如何能让等级保护具体的落地,具体得让用户理解、让用户实施和保护用户系统的环境。08年又颁布了一个《公安机关
信息安全等级保护监督检查工作规范》,但是等会儿我们会介绍到这个文件对等级保护的意义。
|
服 务 CIO 推 进 信 息 化 
