二、 当前信息安全建设的重大缺陷

　　根据信息安全等级保护管理办法，各个信息安全厂商纷纷推出自己的信息安全等级保护解决方案。但是，这些解决方案都存在着先天性的缺陷，无法实现真正的等级保护和分级保护。

　　以北京某公司推出的等级保护解决方案为例，其主体内容如下图：

▲

　　上述信息安全体系出自中国最大的信息安全厂商。经过分析，可以看出上述的信息安全保障体系存在着重要的缺陷：

　　1. 采用的是传统的“边界保护”理论，使用“筑围墙”的方式来建立防护体系，无法做到等级保护。

　　传统信息安全架构核心思想是边界保护，也就是通过防火墙、VPN、安全网关等技术，把自己的信息隔离在一个相对封闭的区域里，如同在信息周围筑起一道高围墙。但是，随着互联网的普及，网络和信息系统不可避免地对外开放，要越来越多地同外界共享应用系统和信息。网络边界阻隔信息流动，从而限制了信息发挥作用。采用边界划分思想来保护信息安全，是把信息安全当做城堡，把信息当做城堡里的人，这样设计的信息安全系统只能是粗放的，不能将安全防护贯穿到信息本身;实际上，真正要保护的对象是城堡里的人，而拥有城堡的是城堡的主人，因此需要因人而异，设定重点保护对象，而不是一视同仁。

　　等级保护就是要把信息资产分为不同等级、根据信息资产不同的重要等级，采用不能的措施进行防护，它的出发点就是要突出重点，分级负责，分层实施，是对信息安全细粒度划分的体现，打破了传统信息安全保护“一刀切”的做法。

　　2. 在安全管理方面采用的是“木桶短板”理论，完全将信息(文档和数据)与信息安全隔离。

　　“木桶短板理论”是对信息安全实践起到重要指导作用的典型信息安全理论。该理论认为，信息安全的防护强度取决于“木桶”中最短的那块“木板”。以此理论为基础，必须导致安全管理实践上的诸多不足：发现病毒危害大，就买最好的反病毒软件，发现边界不安全，就部署最强的防火墙，发现黑客入侵，就采用非常先进的IDS。从实质上讲，这是一种“头痛医头，脚痛医脚”的做法，是治标不治本的方法。该理论的隐性的假设是：信息安全是用来保护信息的“桶”，信息则是被保护的“水”。这个理论将信息(文档和数据)和信息安全割裂开来，其结果必然是信息安全实践中，只注重堆积信息安全技术，而忽视要保护的对象——信息(文档和数据)。

　　等级保护和分级保护，强调层次化，立体防护。按此观念，信息安全和信息绝不是桶和水的关系，而是紧密结合在一起的有机体。信息安全依存于信息和信息系统中，要做到整体信息安全，不能孤立去研究信息安全技术，而应该将信息、信息系统和信息安全技术作为一个整体考虑。只有这样，信息安全建设才不至于走向偏离。

　　3. 主要考虑物理安全、系统安全、应用安全和网络安全，忽视了信息自身(文档和数据)的安全。

　　在传统的信息安全架构中，由于采用的边界保护和“木桶短板”理论，信息安全技术的研究重点就放在了边界的安全性和木桶木板的等高性方面。这种架构直接导致的后果是，对信息系统中的信息(文档和数据)放任不理。不做防护。一旦边界被攻破，木桶某个木板被锯短，信息安全就全面失守。

　　等级保护和分级保护不仅要求对信息系统的物理安全、系统安全、网络安全和应用安全进行保护，还要求直接针对信息(文档和数据)自身的安全进行保护。尤其是分级保护，直接要求将涉及国家秘密的信息分级分类进行保护，这是传统信息安全保障体系的空白。