在昨日《金融电子化》杂志社和绿盟科技举办的“Security+ 2015金融信息安全峰会”上，中国工程院院士沈昌祥介绍了中国信息安全等级保护制度。沈院士指出，美国是全球第一个提出网络空间战略的国家，早在2003年就以等级划分的原则保护网络空间，并在2013年新增了基础网络设施的等级安全保护，实现网络全程保护监控。

中国的信息安全等级保护发展并不晚，早在上世纪80年代就起步，1994年国务院颁布了中华人民共和国计算机信息系统安全保护条令147号令，为我国实现等级保护提供了法律依据。根据147号令中国在1999年就制订了17859（强制性标准），这个对等级保护做了总体上的、规范性的规定。

中国信息化领导小组成立以后，在2003年制订了27号文件，关于加强信息安全保障工作的意见，进一步明确了信息安全等级保护制度，提出了要建立这个制度。为此国部委、国信办分两个系统，分别由国家保密局、公安部挑头，等级保护不只是公安部挑头的，密码由国家密码局统一负责。

斯诺登事件揭示了网络安全存在着极大隐患，因此加强对网络数据信息以及系统的保护势在必行。沈院士介绍，中国的等级保护制度是以整个网络空间的安全保护为对象，分三个层次：

层次一：个体的、公民的，以及小的法人单位，应该是一、二级。层次二：公众利益、社会秩序，有可能是三级。层次三：国家安全的，这个实际上是涉及主权问题，因此涉及到四级了。因此必须很严格，从单位提出来要评审，而且要逐个备案。

等级保护需要制订了一系列标准，中国要开始全面地建设，而且建完以后要严格测评，测评完了以后要整改，要采取各种的应急措施。等级保护不是静态的，也不是一个环节，是全过程的PDR（防护）检测、整改应急处理以及备份等，要做到主动应对、积极防御。总的看来要实现“三可”：

第一：可信。软硬件的计算资源的可信会被篡改。第二：可控。证明数据信息访问是授权控制的。第三：可管理。整个平台要有管理者，没有管理就没有安全，尤其是强调了原则（三权分离）很重要，早就体现中国等级保护里面了。

沈院士称，中国构建了科学的体系架构，按管理重心支撑寄生环境、区域便捷、通讯网络三个方面的体系安全。再比较一下，2008年美国总统小布什下台以前，急急忙忙地发布了总统令，要在美国联邦政府的联络加强安全建设，也是三种防护，都是以按斯坦（英文）命名，有统一支持平台，统一改制态势，也统一管理、信息共享，跟中国的标准非常等同。