《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护，安全等级划分标准和安全等级保护的具体办法由公安部会同有关部门制定”。由党中央和国务院批准发布的《国家信息化领导小组关于加强信息安全保障工作的意见》特别强调，国家实行信息安全等级保护，要抓紧信息安全等级保护制度建设，重点是保障国家基础信息网络和重要信息系统安全，进一步明确并落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护的有关规定。信息安全等级保护是国家基本政策和战略措施。

多年来，有关部门、专家、企事业单位都在积极探索搞好我国信息安全保护的思路、方法、途径，取得了十分可喜的成果。公安部也自1980年以来组织就国家信息安全保护问题，对国内外情况和发展趋势，从立法、管理、科学技术等方面做了长期深入的调查研究，探索解决信息化社会的安全问题的方法。基本结论：

（１）信息安全问题是由计算机技术的产生和广泛应用而引起的一系列的国家主权与安全、社会稳定与安全、发展与安全等问题。随着社会信息化的发展，以计算机为核心的信息技术的发展和应用，信息系统日趋发达，国家各个部门、社会各个领域、各个行业日趋依赖网络化信息系统，互联互通和信息共享已经是必然趋势，计算机已成了人们工作和生活离不开的必需品。同时，信息安全问题已经直接关系到国家主权、政治、经济、国防、社会安全以及公民合法权益的保障。

（２）信息安全问题必须综合、整体地进行治理。信息安全是信息化时代的社会问题，国家要采取综合措施，特别是要以法律规范和技术规范建立适合信息社会的强有力的安全保护制度，规范人们在信息系统建设和应用安全方面必须遵守的社会行为，防止和遏制各种危害，保障信息系统安全，进而保障国家主权、政治、经济、国防、社会安全以及公民合法权益，保障并促进信息化社会发展。

（３）信息安全保护必须遵循科学、经济、有效、符合社会客观存在、符合国情的基本原则。实行信息安全等级保护制度，实现分级保护，多级保护，综合立体防范，纵深防护，分类指导，推进信息安全等级保护工作制度化，规范化、法制化，是科学、经济、有效的解决信息安全保护的办法。信息安全等级保护制度建设符合社会组织形式，符合客观存在。分级、分类保护可以避免资金投入、建设与管理、科研开发、监督检查等方面的盲目性。国家实行信息安全等级保护制度，有利于国家宏观上把握和解决复杂的信息安全问题，对涉及国计民生的信息系统进行分级保护，综合立体防范，纵深防护，分类指导；有利于使信息系统建设、管理、使用者知道自己应该用哪一级的信息系统才能满足安全需求，如何进行自管、自查、自评；有利于使政府信息安全监督管理部门对如何进行监督、检查知道心中有数；有利于使科研开发部门可以按标准并有目的地开发市场所需产品；有利于使国家信息安全科学技术水平迅速得以提高，促进信息安全产业发展，而不像目前大家都开发同一档次的同样的产品，都来做防火墙、病毒检测与防护入侵检测市场。

需要特别说明的是，为了是增强《中华人民共和国计算机信息系统安全保护条例》对信息化、网络化发展所出现的社会问题的适应性，该法规的制定工作采取了宜原则不宜细的方法，所列规定都比较原则。目的是为给以后出现的新情况新问题采取新对策留下余地。实践证明这种做法是正确的。信息安全保护必须有一套管理和技术规范，因此，公安部组织起草，国家技术监督局发布了我国第一部信息安全保护强制性国标――《计算机信息系统安全保护划分准则》GB17859—1999。该标准同样采取了宜原则不宜细的制定方法，目的是为安全产品的开发、具体标准的制定、安全系统的建设与管理、相关法律法规及其执法的提供技术指导和基础。《信息系统安全等级保护管理办法》中提出的等级保护要求就是以GB17859—1999为基础的，一些配套标准已经出台，等级保护标准体系也基本形成。

信息安全等级保护制度是国家信息安全保护的基本制度。纵观国内外的信息安全经验和教训，特别是我们近10年的经验，信息安全保障工作几乎所有的重要方面都与等级划分有着密切的关系。因此，信息和信息系统分等级采取安全保护措施，实行等级保护制度是国家客观解决信息安全问题的科学办法，是信息安全保障在管理上的根本制度。

信息安全等级保护制度的特点：

首先信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度，具有强制性；

第二是以国家制度推进信息和信息系统安全保护责任的落实；
第三是符合客观实际，具有科学性；
第四是具有自我保护与国家保护相结合的长效保护机制；
第五是突出保护重点，国家优先重点保护涉及国计民生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全；
第六是具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障。

等级保护制度的主要内容：信息安全等级保护是国家法定信息安全保护的基本制度。信息安全等级保护制度的核心思想是，国家对信息与信息系统、信息安全产品按标准实行五级保护，并逐级加大保护力度；优先保护重要领域的高级别的信息系统，特别要保护国家基础信息网络和重要信息系统安全；信息系统安全事件实行五级响应与处置；国家信息安全等级保护实行自我保护与国家保护相结合，国家、组织、个人负责共同负责的保护原则，国家制定法律、管理与技术标准规范，各级政府部门负责组织贯彻实施，信息安全保护法定事权部门按职能严格履行监督管理职责；信息安全等级保护总目标是实现安全保护制度化、规范化、法制化。

等级保护制度的总要求：大型信息系统内按等级保护标准，实行小区防范、分级保护，突出重点、兼顾一般，科学规划、效费合理，信息系统内在确保重点部位、重要信息资源安全，实现多级防护，保障互连互通和信息共享。

等级保护制度的具体要求：不同等级的信息系统提供不同等级的保护能力；不同等级的保护能力的信息系统保障不同级别的信息安全；不同安全等级的信息系统必须由相应安全级别功能的产品构建，国家重要领域的信息系统所需安全等级功能产品是国家信息安全保障的基础和关键，没有安全等级保护功能的产品就不可能建立安全等级的网络和系统，安全产品失控就等于安全系统失控，安全等级保护制度也就不可能推行，因此，信息安全等级保护功能产品同样受国家保护，必须纳入国家信息安全职能部门的行政管理；对不同安全等级的信息系统事件必须具有相应等级的响应处置能力；对不同安全保护等级的信息系统侵害应当按级给予处罚，国家第三级以上的信息系统不容侵犯；不同安全等级的信息系统建设按相应等级的实际需求保障人力、财力投入；国家以等级保护制度促进民族信息安全科学技术和产业发展；国家以等级保护制度推进信息安全建设与管理实现制度化、规范化、法制化。

为了贯彻《国家信息化领导小组关于加强信息安全保障工作的意见》文件精神，进一步落实《中华人民共和国计算机信息系统安全保护条例》规定的信息安全等级保护制度，有关方面、有关方面的有识之士，可以继续探索搞好我国的信息安全等级保护工作的一些思路、方法和有效措施，进一步理清思路，找到共识点，少走弯路。特别是对以下一些关键问题及其关系，值得我们进一步探讨、理清。

一、信息安全等级保护与信息保密

信息系统安全等级保护是指，国家对涉及国家安全和社会稳定与安全，公民、法人和其他组织的合法权益的信息系统，按其重要程度和实际安全需求，分级、分类、纵深采取保护措施，保障信息系统安全正常运行和信息安全。特别是要对基础信息网络和重要信息系统按其重要程度和实际安全需求，分级进行保护，分类指导开展安全等级保护，分小区（局域）纵深多级防护，分阶段推进安全等级保护工作，提高国家信息安全综合防护能力，进而保障国家安全，维护信息社会秩序和稳定，促进信息安全和基础信息科学技术发展与产业化，促进经济发展，提高综合国力。

信息安全等级保护的基本内涵中包含了下述基本概念：“保护信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护：信息完整性：必须保护信息免遭到破坏、未授权或偶然、不当的修改，包括确保信息的不可否认性和真实性；资源可用性：系统资源（系统、信息数据）必须能及时满足事务处理任务需求，确保合法用户能及时、可靠地访问信息的要求，避免实质性损失；信息保密性：受系统安全策略保护的各类信息内容的敏感性要求得到有效保护，即对信息的访问权限加以约束，包括保护个人隐私和专属信息免被未授权泄露，其中包括但不限于国家秘密、机密、绝密信息。

应当注意的是，我们容易习惯性的将信息系统中的信息的保密性单纯地理解为国家秘密信息的保密问题。在信息系统安全保护方面，完整性、可用性、保密性三个基本特性要求是一个不可割裂的整体。绝大数信息系统中的信息（采集、处理、存储、传输、使用）是综合信息，且95%以上的属内部信息，真正属于涉及国家秘密的信息只占2-3%。在信息系统中，对信息安全特性之一的保密性的保护方法应当是，对信息资源进行科学、合理、有效的分类分级并加以明确的标识，建立严格的管理制度，采取访问权限控制等措施，严格限定对这些信息的访问。既要保障安全，又要有利于保障信息系统互联互通，信息共享，电子政务建设和发展，信息化发展。

关于信息系统中国家秘密信息的保护问题。在信息化建设和发展中，国家秘密信息的保密问题确实很重要，必须认真研究采取适合信息化建设和发展的国家保密信息保护的新办法，科学、有效地解决信息系统中国家秘密信息管理难题。笔者认为，解决国家秘密信息保护的关键问题的方法有三。一是在国家信息安全等级保护基本政策和总制度下提出适合信息化建设和发展要求的信息保密新政策和管理制度，建立国家秘密信息管理制度的运行机制，落实责任制，研究提出对信息系统中的国家秘密信息分类分级标识与管理方法，采取有效的监督措施等。真正的国家秘密信息是经过签名盖章标明国家密级的文件中的信息，信息等级保护制度是能够解决国家信息保密问题。二是加强专用机要信息系统建设，专供国家秘密信息的处理、存储、传输。三是高级别的国家秘密信息不上网，依旧采取传统保密办法。信息化建设中，信息化时代，网上与网下、外网与内网都有国家信息保密问题，需要有关方面进一步研究综合、妥善、长效的解决办法。信息安全保护应当有利于互连互通和信息共享，信息化发展，并从总体上保持全国信息安全等级保护工作一盘棋。

二、信息安全等级保护与安全平台

目前出台的一些安全解决方案，都是基于安全大平台概念，安全措施基本差不多（主要是外防措施：防火墙、防入侵检测、防病毒、密码、物理隔离等），进入平台里面大家都一样，无级别之差。这样的安全平台，若被突破一点，就很可能就会突破全网，控制一点，就可能就会控制了整个系统。安全平台实际上并不安全。因此，安全解决方案应当基于系统安全基本原理――访问控制原理（access control），访问（access）一词包括访问、接近、接触、进入、存取、检索、使用、通路等含义）。

信息系统构成的物理、操作系统、网络、应用、管理五个层面的安全保护都有访问控制。访问控制的对象就是具有很高经济、社会价值的信息资源和信息系统硬件与软件资源。信息系统安全保护等级的划分基于对信息资源的访问控制原理，访问控制原理也贯穿于分级保护、纵深防护、立体防护、综合防范之中。信息安全等级保护特别是要加强系统内部的访问控制，建立并实施系统资源管理、信息资源分类分级管理、保密信息分类分级标识与管理、密码使用管理、用户管理等信息系统安全等级保护关键管理制度，建立信息系统安全保护责任制，落实各级责任，采取有效的访问控制技术措施。