中国信息安全产业跨越鸿沟
来源:赛迪网 更新时间:2011-04-03

 从去年开始,信息安全等级保护制度就已经成为关键行业建立信息安全保障体系的基本制度。然而,用户在贯彻实施等级保护制度时,产业界却非常迷茫:等级保护制度强调的是用户根据自己信息的重要性划分不同的保护级别,那么,提供技术和产品的厂商能做什么呢?在应用和产业之间,似乎存在着难以跨越的鸿沟。

跨越鸿沟

联想是最早关注等级保护制度的厂商之一,从2003年开始,就投入了大量的人力物力研究等级保护制度,并积极参加国家信息安全等级保护标准的研究工作,根据等级保护制度原则和具体实践经验,最终研究出“等级化安全体系”框架,首次在制度与应用之间巨大的鸿沟上架起了一座桥梁:通过“等级化安全体系”的概念和方法,很好地将制度、产品和服务有机地整合在一起。

联想网域安全总监田野先生介绍,“等级化安全体系”是根据不同用户在不同阶段的需求、业务特性及应用重点,利用等级化与体系化相结合的安全体系设计方法,在遵循国家等级保护制度的同时,将等级化安全理念融会到产品、方案及应用中,建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。建立“等级化安全体系”要分三步走:“定级—>管理要求—>建设方案”。联想网御还分别针对行业及中小型用户量身定做了等级化安全体系方案和等级保护方案,用产品构建等级化安全体系,包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。可谓从方案、产品、技术角度将该体系落到了实处。

确定核心策略

5月11日,联想网御在北京发布了2005财年的业务策略,确定以“等级化安全体系”为核心全面展开。

联想网御总经理任增强介绍,之所以会把等级化安全体系作为业务的核心发展策略,一方面是积极支持和响应国家相关政策、紧随国家安全建设的步伐;另一方面也是基于长期对市场发展和客户应用需求的深入分析以及领先的技术积累。

一些数据表明,信息安全产业近两年虽然发展迅速,但并没有预期得那样快,安全投入和增长率低于预测。造成这种投资不足的现象主要基于两方面原因:一是强制性政策支持不足,另一方面是安全建设的有效性不足。人们在安全建设中还存在一些困惑,例如,对安全建设,投资多少是合适的?如何应对尚未处理的安全风险?等等。为此,在理解国家相应政策及标准的前提下,经过一些有益的研究和实践探索,认为等级化安全体系对于解决安全建设中的相关问题是一种行之有效的方法,能帮助人们做到心中有数、建设有序、控制有力。

推广试点

为了推广上述概念,5月18日,联想网御在广州拉开了历时3个多月,在全国的30个城市举办的主题为“等级安全 网御神州”的全国技术巡礼的帷幕。

这是国内第一家安全厂商在对国家等级保护相关政策及用户需求做了深入的理论研究和实践探索的基础上,配合国家安全建设的步骤,率先将该理论作为业务的战略思想,充分显示了联想网御在安全理念、方案、产品、技术方面的前瞻性。

据悉,今年国务院信息化办公室的重点工作之一就是推动等级保护工作的落实,并从试点开始。广东江门是中国第一个电子政务等级保护国家级试点单位,而它正是在联想网域“等级化安全体系”思路的帮助下完成的。我们将继续关注这一试点工程的进展情况。我们有理由预测,经过等级保护制度的建设,中国的信息安全产业必将迎来高速发展。