ccxx

等级化安全体系，信息安全产业发展的催化剂  
  2005-5-31 10:27:13
    2005年5月11日，联想网御在国内安全厂商中率先以“等级化安全体系” 作为业务的战略思想。这是在对国家等级保护相关政策及客户应用需求深入研究和探索的基础上，配合国家安全建设的步伐提出来的。据悉，联想网御05财年的业务策略将以此为核心全面展开。等级化安全体系旨在根据不同用户在不同阶段的需求、业务特性及应用重点，利用等级化、体系化相结合的安全体系设计方法，在遵循国家等级保护制度的同时，将等级化安全理念融会到产品、方案及应用中。为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

    此举既出，不仅表达着联想网御以客户需求和应用为本的服务原则，以及作为国内信息安全领军厂商积极支持响应国家相关政策、助力等级保护建设，而且表明联想网御凭借强大的技术、服务和产业化能力，已站立在国际信息安全技术发展潮头，有力地推动着中国信息安全产业的快速发展。


提升客户利益，推动产业快速发展

    随着信息化的快速发展，政府、企业等相关机构，屡屡遭到来势汹汹的病毒、网络入侵、数据盗取和黑客攻击等威胁，需要不断加大对网络安全体系建设的投入。但是相关数据表明信息安全产业近两年虽然发展迅速，但并没有预期增长得那么快，安全投入和增长率实际都低于预测。

    造成这种投资不足的现象主要基于两方面原因：一方面强制性政策支持不足，大部分目前还处于呼吁状态；另一方面安全建设有效性不足，客户在安全建设中还存在一些困惑：不断加大的安全投入是否起到了最佳的安全防范效果？当前的安全体系是否满足业务顺利发展的需求？安全投资是否存在“大材小用”或“小材大用”等使用不当问题？

    也就是说，客户需要考虑如何以最佳性价比的投资，来获得最有效的保障和最大化的安全效益。信息安全建设的成本中，安全系统投资只是总体成本的一部分，或者叫做直接成本；如果选配的安全体系不完备、或者保护级别过低，导致客户的信息资产遭到不测的损害，其损失就构成间接成本，而且这种间接成本（风险损失）往往可能是数额巨大的、不可逆转的。

    往往客户在建设自己的信息安全系统时，很容易对直接投资做到心中账清，却不能正确地评估间接风险成本。长期以来，绝大多数企业并不清楚怎么建设系统才是经济合理的，同时在安全保障方面是最安全有效——投资时吝惜了一部分钱却造成日后痛心疾首的信息安全损失的案例也俯拾即是，但另一方面，“投资千万元保护百万元资产”的事情也比比皆是。安全投资在没有遇到问题之前，是无法客观显现出其实际效益的。正因为安全损失在许多情况上很难计入成本，然而不计成本的安全系统并不能给企业带来所期望的安全性（当98%以上的安全问题都解决了之后，剩下2%的安全问题，却要花98%的投资，究竟值不值？），这使得许多企业主管在投资安全项目显得犹犹豫豫，难以权衡取舍。即使经验丰富的IT主管也不能确定信息安全做到什么程度才最为合适？因此投资规模与安全程度问题、安全建设中内容、策略和方法的有效性问题、以及如何应对尚未处理的安全风险等问题已成为绝大多数用户的困惑。

    联想网御经过有益的理论研究和实践探索，发现等级化安全体系对于解决安全建设中的相关问题是一种比较行之有效的方法，它是基于对客户信息安全建设需求的准确把握，利用等级化、体系化相结合的安全体系评估和设计方法，使现状和目标之间的对应变得更加清晰，为客户构建经济、安全、有效的等级化安全体系，帮助客户做到心中有数、建设有序、控制有力。从而提升客户利益、促进产业的快速发展。


探索领先技术，助力等级保护建设

    世界上没有百分之百的安全。怎样才能采取性能价格比较好的措施，既保护关键财产，又降低投资成本呢？如何界定信息安全的综合成本？如何评估信息安全风险？如何使二者达到平衡？这些困扰了用户多年的问题，在经过公安部、信息产业部、保密局、中办机要局近10年的努力后，目前再次获得国家的高度重视，形成了一个宏观的国家政策指导，并成为信息化用户和产业界共同关注的焦点——这就是实施信息安全等级保护制度。

    中国的信息安全等级保护的源头最早可以追溯到1994年国务院发布的147号令。按照当时的条例，规定计算机信息系统必须实行等级保护。等级的管理办法和等级的划分标准，由公安部门和有关部门制定。1998年，公安部制定了等级保护制度建设的纲要，对等级标准划分做了一个基本规划。1999年，公安部会同信息产业部、保密局、中办机要局、军队和地方的专家，正式制定了计算机信息系统等级划分标准，并被国家技术监督局作为强制性的国家标准发布了。2003年9月发布的27号文件是国家信息安全建设方面最重要最全面的指导文件，其中明确提出了“积极防御、综合防范”的安全方针，2004年11月份发布的66号文件明确提出了“等级保护是今后我们国家信息安全基本政策和根本方法。

    事实上，国际上也一直在探索“等级化安全标准”的制定。早在1996年，国际标准组织综合一些国家的信息安全标准，如英国、法国、德国的信息安全标准，演变成CC通用标准。1999年，2.1版本的CC通用标准已经出台，其中规定，计算机安全从高到低分为A、B、C、D四类八个级别，共27条评估准则。由此可见，对信息安全进行等级保护也是一项具有国际化特征的课题。

    国家政策、国际标准都在主张和推动等级化保护，因而等级化保护可以说是一种信息安全技术和应用的潮流，而联想网御正是在这一方面研究和探索的较早的参与者和推动者。

    作为国内领先的信息安全服务与产品提供商，自成立之初就一直在高速发展的道路上稳健前进。联想网御早在几年前就已在等级安全方面开始理论研究和实践探索，并拥有了具有国际竞争力的技术和服务能力，在电信、金融、政府等核心领域已拥有多个极具规模的服务案例，收到了很好的成效。另外还积极参与了相关国家政策的制定工作，这充分说明了联想网御在等级安全方面的权威已经得到了国家的认可和肯定。此次联想网御率先以“等级化安全体系” 作为业务的战略思想，表明了作为国内安全领军厂商积极支持响应国家相关政策、助力等级保护建设的决心，同时也体现了联想网御的技术领先性和战略前瞻性。


实施等级安全，信息安全产业发展的催化剂

    根据“定级—>管理要求—>建设方案”三步走的原则，联想网御这里所倡导的等级安全是在等级保护的工作方法和原则的基础上吸收应用了体系化设计方法，形成等级化安全体系，这样也可以满足大系统的复杂要求。是依据信息系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护。具有覆盖全面、重点突出、节约成本、持续运行四大特点。      

    对于一个安全工作，从客户角度来讲，包括评估体系，规划方案，实施建设和体系运行，联想网御等级化安全体系将全价值链产品和服务整合在一起，形成不同的解决方案。例如针对行业大客户以及中小型客户分别量身定制了等级化安全体系方案和等级保护应急化解决方案。同时还从技术和产品角度提出了如何以网御精品构建等级化安全体系，其中包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。

    联想网御可谓从方案、产品、技术角度将等级化安全体系落到了实处，并符合国家政策和客户的实际要求，它能够给出安全工作的目标和总体轮廓，促使安全内容适合不同的信息发展阶段、不同层次的要求，并给出适当的投资规模和结构，确保重点、总体上节省安全资金的投入。真正做到为信息安全用户“量体裁衣”，有效准确地解决安全问题。

    随着IT技术应用的深化、安全需求已发生结构性变化。等级化安全体系建设将会在以政府、电信、金融为代表的核心领域全面铺开。相信在以联想网御为代表的国内领先的信息安全厂商的带动下，中国信息安全的应用与防护水平将进一步与国际领先水平接轨。基于“等级化安全体系”这一核心业务策略，联想网御有能力有信心将以更大的投入，为客户构筑等级化安全体系，助力国家等级保护建设、推动产业快速发展。