等级保护瞄向内网安全

“堵漏洞、做高墙、防外攻，防不胜防。而等级保护政策的推行是现在信息安全保障的主要环节。”中国工程院院士、国家信息化专家咨询委员会委员沈昌祥这样概括目前信息安全的基本状况。

内网的安全风险

目前，整个信息安全状况存在日趋复杂和混乱的趋向：误报率增大，安全投入不断增加，维护与管理更加复杂和难以实施、信息系统使用效率大大降低，对新的攻击入侵毫无防御能力，尤其是对内部没有重视防范。

据美国FBI统计，83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。从这一数字可见，内网安全的重要性不容忽视。据公安部最新统计，70%的泄密犯罪来自于内部，电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。

中国科学院研究生院信息安全国家重点实验室赵战生教授表示，目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是攻击重点。

“当前的信息与网络安全研究，处于忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为，“要彻底解决这些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。目前，我们迫切需要根据国情，从安全体系整体着手，在建立全方位的防护体系的同时，完善法律体系并加强管理体系。只有这样，才能保证国家信息化的健康发展，确保国家安全和社会稳定。”

2003年，国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》（简称“27号文件”），明确要求我国信息安全保障工作实行等级保护制度，2007年出台《信息安全等级保护管理办法》（简称“43号文件”）。随着两项标志性文件的下发，2007年被称为等级保护的启动元年；由于要对现有信息安全系统进行加固，大量产品和服务采购即将开始，2008年则被普遍视为等级保护采购元年。

等级保护政策是信息安全保障的主要环节。在等级保护解决方案中，内网安全产品主要作用是对终端进行防护。

内网是核心

“事实上，信息安全等级保护的核心思想就是根据不同的信息系统保护需求，构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则（GB 17859-1999）》可以看出，信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系，是信息系统在安全等级保护工作中的一个重点。”郭启全说。

内网安全理论的提出主要基于两个根本要素，一是企事业单位业务工作的高度信息化，二是内网中主机数量的大量增加。由此可见，内网安全从其诞生之日起，对主机系统安全的关注就从来没有忽略过，采用了包括身份认证、授权管理和系统保护等手段对主机进行了多方面的防护。这与等级保护的思想也是相一致的。

鼎普科技股份有限公司总经理于晴认为，大多数用户网络拓扑结构相似，用户对网络的安全管理比较一致，但由于用户使用习惯的不同，对终端的管理则千差万别。

于晴认为，内网安全领域的关键技术主要有内部网络接入、桌面安全管理和内网安全审计等。这些本质上的问题，应该从系统层面来解决，以信息安全等级保护为基础。内部网络接入基于等级保护技术，分别从终端自身的安全性评估，到网络地址的合法性，让信息系统“对号入座”。桌面安全管理侧重于桌面使用者的行为安全，对终端用户的电脑行为进行监控、管理与控制，来保障终端的安全。内网安全审计从主机和网络两个方面对网络数据和系统操作进行记录和恢复，强调出现问题后的案情追溯。

“‘对号入座’是信息系统分级最重要的过程。现在我国提出五种级别、五种类型。其实各个类型里头也分不同的级别，应该科学考虑。同一个类型也可以采用不同级别的具体措施。像美国的做法是，提出保密性、完整性及可用性三性，并为每‘性’划出高、中、低三个等级。”沈昌祥说。

可以看出，信息安全等级保护主要是从信息系统安全管理的高度出发，对整个信息系统的安全提出要求；而内网安全理论则从技术角度出发，提出构建一个完整的内网信息安全体系的实现方法。不难理解，内网安全体系的建设是信息安全等级保护工作的技术实现，也是落实信息安全等级保护工作的关键。