【电脑商网专稿】从2003年开始，部分厂商和方案商即开始跟踪等级保护项目，但围绕着等级保护的争论和误读就从来没有停止过。

初期的争论焦点集中在“标准”是否应以强制的方式执行。对这一话题的争论以《信息系统安全保护等级管理办法》（圈内称之为43号文件）的出台画上了句号。之前一系列文件中经常出现的“建议”等字眼，43号文件中统一变为“应该”，这也表明了政府对此问题的看法。老问题解决了，但新问题却又出现，由于对政策“吃不透”，用户和安全系统集成商在系统建设中出现了多种误读。

误区一：定级后就万事大吉

在采访中不难发现，现阶段用户和安全系统集成商对等级保护的大部分误读都围绕着定级产生。我们先来看看政策的原件。根据《计算机信息系统安全保护等级划分准则》，国家将计算机安全保护划分为以下五个级别：
第一级：用户自主保护级。该保护等级使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录。

第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

圣博润公司孟岗：法律法规是等级保护最强劲的助推剂。

第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

按照国家规定，2007年，用户陆续完成了自定级的工作。但完成等级保护定级工作并不是万事大吉，而是刚刚开始。套用一句广告词：“你才刚上路呢。” 联想网御公司安全服务事业部总监李文生表示，由于对政策的不理解，很多用户认为完成定级就是完成了等级保护。其实，自定级只是等级保护的入门工作。

对此问题，北京圣博润公司总经理孟岗表示，涉及等级保护的27号文件和43号文件已经明确提出，企业的安全问题遵循“谁建设谁维护”的原则。安全本身是动态的，这就决定了等级保护是长期、持续性的工作。为什么等级保护在第一阶段完成后迟迟没有进入第二阶段？这与政府的推动力度相关。等级保护最大的推动力是每半年或一年一次的系统检查，检查将统一用户对等级保护建设的认识。但相对于各地的等级保护项目建设速度，各地公安部门等级保护检查队伍建设还较匮乏。