数据恢复过程而引发的商业泄密已经是司空见惯的新闻，由于缺乏相关的法律依据与公认评判标准，因此很多被泄密的企业单位都无处伸冤，有时候数据恢复服务商也会蒙受不白之冤。数据恢复已经是一个巨大的产业，不仅商业用户与个人用户会接触到，政府以及党政机关也不可避免地与之发生关系，毕竟信息化潮流已经不可阻挡。然而对于政府而言，一旦发生泄密事件就会造成难以估量的损失与危害。正是看到了这一危机，此次国家保密局将数据恢复作为涉密资质审核的单项业务，标志着政府职能部门对数据恢复涉密安全性的重视程度有了进一步提高。

　　根据新的管理办法规定，涉密系统集成资质分为甲级、乙级和单项三种，并引入了评估机制。甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质单位仅限在所批准的省、自治区、直辖市所辖行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。单项资质单位可在全国范围内开展业务，但仅限承接所批准的涉密系统集成单项业务。

　　国家保密局将涉密系统集成资质分为三类，这显然是为了解决以往存在的跨越范围操作和跨越地域操作的问题。据此次正式获得数据恢复单项资质的江民数据恢复事业部所属飞客数据恢复中心总经理高宁女士介绍，此前涉密数据恢复资质授权相对而言存在不少漏洞。得到甲级资质的单位并非数据恢复专业单位，在越权接手这一业务之后又不得不依赖“外协”合作方式，此时所谓的数据保密自然就是一纸空文，因为机密数据经过了非正规的合作方。而获得乙级资质的单位大打涉密旗号，企图混淆视听之后获得更大的业务量。

　　得到国家保密局单项资质授权是对数据恢复单位的一种肯定。更为重要的是，此次评审过程非常专业到位，杜绝了“走形式”、“靠关系”、“凑数字”等现象，获得资质授权的单位在管理、技术、设备方面真正达到涉密信息系统安全的要求。江民科技旗下飞客数据恢复中心不会将单项资质授权作为最终目标，而是务必在保密工作上做到职权清晰、严格执行、落实到人。有了政府职能部门的引导之后，涉密数据恢复业务才能更好地开展。

　　信息系统安全是一个整体安全的概念，一个信息系统的安全等级是由其最低的安全等级决定的。信息系统安全的基本要素包括：软件系统和硬件系统和使用这些系统的人等方面。信息系统中的软件系统的安全性包括操作系统的安全性和应用软件的安全。

　　由于目前的操作系统的日益庞大，结构越来越复杂，科技的不断发展，应用环境的日益多样，造成了操作系统的研发、生产权都掌握在国外人员的手中，从这点意义上讲，信息系统的操作系统的安全一个非常重要而迫切的问题。随着开源软件的日益发展，Linux等的流行，国产的信息系统安全部分的操作系统安全部分的形式得到了较好的改观。目前这种被国外软件垄断的局面正在被打破。一批拥有自主知识产权的操作系统正在逐步应用到一些关键的系统领域。

　　应用软件的安全性也是不可忽视的因素之一。建立在操作系统之上的应用系统的安全性至少包括应用软件的功能、设计功能以及地域、语言等等因素。我们在关注操作系统安全性的同时也需要注意审查这些应用软件的安全要素，至少应该了解应用软件的功能、适用范围、作者的归宿、是否支持中文、责任免责条款等项目。对于国产软件应该实行备案制度等，特别是涉及安全软件、数据修复软件、反病毒软件、防网络攻击等方面的软件。目前我们国家对部分安全软件实行销售许可证制度，建立了一套比较完善的管理制度，从国家的法律法规层面来落实了应用软件安全性的要求。从国家的这个管理体制中，我们可以初步察看到哪些 应用软件是全部国产和拥有自主知识产权的。从发展的眼光来看，我们不能简单地把国内软件和国外软件按照地域分隔开来，而且从实际上来讲，世界正在变得越来越小，各国的融合度也在不断增强，因此我们在注重安全保密性的同时还需要和世界最先进技术保持一致。

　　硬件的安全性是信息系统安全中非常关键的因素之一。硬件是一切软件运行的基础，如果硬件系统存在各种安全隐患的话，再健壮的软件系统也不可能达到保密的要求。因此对于特定的安全信息系统，还必须加强安全隔离措施、电磁隔离措施、使用环境的特定环境等。对于硬件系统的认证也需要进行国家层面的安全认证制度，对于一些安全参数、可能存在安全隐患的特殊功能部件，必须在国家相应部门备案、建立许可证制度。

　　信息系统安全中最具有决定意义的部分是人，使用这些信息系统的人。信息系统再保密，最后都是要为人们服务的。而恰当合适、分级别的适用这些信息系统则不仅仅是安全制度可以解决的问题，我们在处理这些信息安全系统的过程中，需要训练合适的人员，对合适的人员进行培训，考核。同时对使用该信息的人实行备案制度，建立一个国家的信息安全系统的维护人员库或者说专家库，为了国家的信息安全系统做技术储备。我们国家目前对进行反病毒研究和开发的技术专家实行备案制度，对从事反病毒、安全服务的企业实行安全等级和服务资质的认证制度，一定程序上解决了信息安全系统的安全性问题。

　　安全保密还可以通过将一个整体的信息系统分开建立的方式来保证其适用的安全，也就是非对称性，当然这造成了信息系统保密性和完整之间的矛盾。在实际应用过程中可能存在被重点保护的信息系统的级别很高，其保密性的要求很高没，这时很可能采用在不同区域或者不同系统中各自保存信息的方法，这样做的优点是即使一部分的信息系统出现丢失或者失密现象也不会导致整个系统的泄密。如果一个信息系统相对完整的话，那么这个系统的安全性可能没有分散的信息系统安全，这有点像现实生活中的保险柜钥匙一样，多人同时在现场才能开启一个大门有些相似之处；但是同时这样做也可能导致一些麻烦，引起工作效率的低下等问题。这就需要制定在紧急情况下的应急处理措施和严格的规章制度来限制和制约这些情况的发生，同时在实际运用过程中逐步来完善这些规章制度与管理条例。

　　在信息系统的安全保密制度过程还有一对矛盾就是安全性和可用性之间的矛盾问题。对于分散在各地的信息，或者为了安全对一些重要的信息进行特殊处理，这样恢复起来就可能比较麻烦。也可能导致如果某个环节出现问题，从而导致整个系统的不能正常使用，这就需要我们在将一些信息系统的各个部分相对独立同时还不至于互相之间有太大的影响。在安全性和可用性之间寻找最佳的平衡点和解决方案，比如可以建立独立的安全网络系统，这样能比较好的达到安全的目的，但是对于该系统的运行数据的大规模使用以及为公众服务方面可能就做不到很好。可以通过建立备份冗余系统的方式来解决本问题。