【电脑商网专稿】在进行等级保护系列报道的过程中，接触的厂商、渠道商越多，越觉得思路混乱，各厂商都在寻找适合于自己的方法论，而各厂商基于自身优势和现有产品提出的解决方案又都不尽相同。

赵呈东：同样的功能可以在防火墙中实现，也可以在IPS中实现。

其实，这正反映出市场的现状，在统一的框架标准下，各种流派力量都在八仙过海、各显其能。

八仙过海，各显其能。长于检测类产品的厂商，其将等级保护的技术要点融入检测类产品，而长于防火墙的厂商，可以将同样的技术要点融入防火墙。这使各厂商提出的解决方案不尽相同。

条例是细还是粗？

之所以形成目前流派纷呈的市场现状还要从规则的制定说起。各类标准从起草到最终定稿，大多遵循了由粗到细，由框架到完善细节的基本思路，而等级保护标准的出台恰恰相反，曾经一度标准被定得很细，但在试点过程中，反映出一些问题。国家相关部门在听取各方意见后，最终出台的43号文件又相对粗线条。

为什么等级保护标准反其道而行之？先来看一下等级保护现行标准的产生脉络。1999年，为切实加强重要领域信息系统安全的规范化建设和管理，公安部组织制订了《计算机信息系统安全保护等级划分准则》（以下简称准则）国家标准。从《准则》可以看出，初期等级保护的实施对象是PC终端。在2002年之后，相关主管部门又出台了针对数据库、操作系统、网络的等级标准。目前，执行的定级标准是针对企业信息系统，这其中就涵盖了服务器、数据库、网络系统、PC终端以及一系列管理制度。

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（以下简称“27号文件）明确要求我国信息安全保障工作实行等级保护制度。对于等级保护而言，27号文件的出台是一个里程碑式的事件。2004年9月发布的《关于信息安全等级保护工作的实施意见》（以下简称66号文件）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

启明星辰公司首席等级保护专家赵呈东参与了等级保护标准的制定工作。赵呈东表示，早期出台的定级文件详细设定了信息系统中各个子系统的参数因子，通过一套相对复杂的计算公式，最终计算出信息系统的安全等级。2006年，部分地区开始等级保护试点，试点过程中发现经常是人为的因素决定因子数值。例如某省级银行经过多次测算都将自己的信息系统定为四级，而通常惯例银行总部也只有部分系统应定为四级。

其实上述问题并不难理解，各信息主管部门一定认为自己所负责的业务系统相对重要，在自定级时自觉或不自觉地抬高因子参数。

在试点过程中，主管部门看到类似问题，在2007年出台的43号文件大幅度瘦身，定级标准文件便于操作，定级因素只涉及信息系统服务等级和业务信息等级。43号文件的出现也使企业自定级难度大幅度下降，而且利于各个单位准确地确定信息系统等级。