如果(guo)說頂層設計對于信息安全(quan)行業的(de)發展(zhan)有(you)特別的(de)重要性(xing)(xing)，那么其中的(de)各種指導性(xing)(xing)或強(qiang)制性(xing)(xing)合規(gui)標準便(bian)是一種具體(ti)體(ti)現(xian)。

各種信息(xi)安全合規標準甫(fu)立(li)之時應該(gai)還(huan)沒有頂(ding)層(ceng)設計這個概念。但對于(yu)其(qi)(qi)中常(chang)見如(ru)等(deng)級(ji)保護制度和IS02700l標準這兩(liang)套(tao)成(cheng)熟體系(xi)，我雖然(ran)既沒有能力也沒有必要去對其(qi)(qi)指(zhi)手(shou)畫(hua)腳，但是想(xiang)一想(xiang)對于(yu)這種解決同一件事(shi)存在兩(liang)種相似方法還(huan)是很有趣(qu)的(de)。

因為一(yi)件(jian)事情(qing)，兩(liang)套標(biao)準，這首先讓我想(xiang)到(dao)“一(yi)國(guo)兩(liang)制(zhi)”。彼時(shi)，鄧公提出“一(yi)國(guo)兩(liang)制(zhi)”就是作為一(yi)種頂層設計去(qu)解決(jue)國(guo)家領土問題，兩(liang)種相異的制(zhi)度(du)共(gong)存卻(que)能換來和(he)諧(xie)，這個成功的政治策略是充滿辨證哲(zhe)學味道(dao)的。

所以我(wo)上面(mian)說的(de)有趣之處就是我(wo)擔心假(jia)以時日這(zhe)兩(liang)套同樣旨在提升安全(quan)水準的(de)體系是否會出現(xian)神仙(xian)打架的(de)局面(mian)，盡管我(wo)希(xi)望這(zhe)種擔心是我(wo)的(de)杞人憂天或(huo)者(zhe)庸人自擾。

信息安全(quan)等級(ji)保護(hu)制度和(he)IS0 27001信息安全(quan)管理(li)國(guo)際標(biao)準既存(cun)在著差(cha)異又有共性(xing)，等級(ji)保護(hu)是(shi)一個(ge)宏觀的(de)(de)信息安全(quan)政策，而IS0 27001標(biao)準是(shi)一個(ge)具體的(de)(de)信息安全(quan)管理(li)標(biao)準。可(ke)能是(shi)因(yin)為(wei)兩套標(biao)準的(de)(de)契(qi)合度較高且遵循的(de)(de)基本(ben)安全(quan)原理(li)和(he)措施都是(shi)相同的(de)(de)，所以迄今為(wei)止不(bu)但(dan)和(he)諧共存(cun)，而且在實踐中還總(zong)結出了(le)很多如何(he)把“兩套標(biao)準揉(rou)在一起”的(de)(de)方法。

我(wo)舉(ju)一個(ge)有趣的(de)(de)例子。等級(ji)保護(hu)對惡(e)意(yi)代碼(ma)防(fang)御的(de)(de)要求是在網絡(luo)和主機兩個(ge)層面，在應用(yong)層則沒有明確防(fang)范(fan)手(shou)段，而據ISO 27001在此處是要求具備應用(yong)層惡(e)意(yi)代碼(ma)防(fang)范(fan)的(de)(de)，這樣比如(ru)就需要在方案中配備一臺Web應用(yong)防(fang)火墻或(huo)防(fang)毒墻。

就像過度醫療一樣(yang)，如果此時我(wo)不憚以(yi)最壞的惡意(yi)來推測的話，為什么要把這(zhe)樣(yang)的欠缺“在(zai)設(she)計階段補充好”，以(yi)及為什么要把“兩套(tao)標準(zhun)揉在(zai)一起(qi)”的原因(yin)也許就可以(yi)找到部(bu)分解釋(shi)了。

當然，站(zhan)在(zai)行(xing)業的角度，不論是(shi)廠(chang)家為了追逐經濟利益向用戶多(duo)推設備還(huan)是(shi)考慮為用戶提供更嚴密的保護(hu)或滿足(zu)更苛刻的合規還(huan)是(shi)兼(jian)而(er)有之(zhi)都(dou)無可(ke)(ke)厚非。問題是(shi)，在(zai)這樣的“雙重標準”之(zhi)下(xia)執行(xing)這種(zhong)把“兩套標準揉在(zai)一起”的做法(fa)是(shi)不是(shi)具有可(ke)(ke)持續性?

等級保護制(zhi)度與ISO 2700l標(biao)準(zhun)體(ti)系的(de)區(qu)別(bie)決定了客戶會產生態度的(de)區(qu)別(bie)。IS0 27001強調(diao)過(guo)程，即要(yao)求通過(guo)PDCA(PLAN、DO、CHECK、ACTION)的(de)戴明(ming)環思想去(qu)不斷地(di)改進提升，所以該標(biao)準(zhun)的(de)實(shi)(shi)施往(wang)(wang)往(wang)(wang)會得到客戶主動(dong)迎(ying)合(he)和自發支持。等級保護正好(hao)相反，因(yin)為其(qi)強調(diao)結果(guo)，而且(qie)規定了具體(ti)的(de)強制(zhi)措施，因(yin)而現實(shi)(shi)中不乏為了監管(guan)部門合(he)規檢查的(de)迎(ying)合(he)者。

如(ru)果說等級保護是(shi)(shi)一個國產貨，那么ISO 27001體(ti)系則是(shi)(shi)地道的(de)舶來(lai)(lai)品。情理來(lai)(lai)說，能(neng)滿足(zu)更(geng)多的(de)安全合規(gui)標(biao)(biao)準肯定說明安全水準越高(gao)(gao)。從(cong)正面(mian)意義(yi)來(lai)(lai)說，如(ru)果能(neng)同時滿足(zu)等級保護和(he)IS027001標(biao)(biao)準體(ti)系的(de)信息系統安全水準肯定是(shi)(shi)足(zu)夠高(gao)(gao)的(de)。這(zhe)或許也(ye)是(shi)(shi)目前客戶(hu)、安全廠家和(he)監(jian)管方(fang)能(neng)在(zai)這(zhe)種“雙重標(biao)(biao)準”之下(xia)友(you)好生存的(de)邏輯前提。

可(ke)是這樣的(de)蜜月期能持續多(duo)久(jiu)?因(yin)為(wei)理性(xing)來看(kan)，隨著綜(zong)合國力不斷增強(qiang)，信(xin)息化程(cheng)度不斷加深，加上前期華為(wei)輸出受(shou)阻的(de)事例(li)以及信(xin)息安全本身(shen)的(de)特殊性(xing)表(biao)明，把信(xin)息安全主權提(ti)上議事日程(cheng)是早晚的(de)事。屆時(shi)我們可(ke)能就很難再以純(chun)技術(shu)觀點來審視這兩個安全標準了(le)。

當然這里我不是(shi)(shi)要暗示(shi)將來可能一(yi)定(ding)會有(you)未(wei)知的(de)麻(ma)煩(fan)，而是(shi)(shi)提醒大(da)家思考可能發生的(de)幾種可能性。

如果決策層——也就是(shi)頂層設計未(wei)來從信息安全(quan)主權(quan)的角度趨嚴思考，那么可能是(shi)將逐步摒棄(qi)泊來的ISO27001體系而代(dai)之以強(qiang)調等級保(bao)護標準(zhun)或者是(shi)吸納了ISO27001體系優點的等級保(bao)護標準(zhun)升級版，這是(shi)一種(zhong)自上而下的變化。

另一種(zhong)可(ke)能(neng)是頂層設計(ji)從純(chun)技(ji)術(shu)觀(guan)點來看認(ren)為兩種(zhong)標(biao)準可(ke)以維(wei)系現狀(zhuang)共存(cun)，而且也是為了(le)避(bi)免前(qian)者動作過(guo)大授人以柄說政策設置安全貿易壁壘。不過(guo)這樣(yang)人們最終不禁(jin)會追問兩種(zhong)標(biao)準究竟的優劣異同并(bing)最后(hou)引發一場自(zi)下而上的改變。