等級保護(hù)與安全信息建設(shè)工作意義及

1、 /8、信息系統(tǒng)安全等級保護(hù)建設(shè)的必需性信息系統(tǒng)安全等級保護(hù)制度（以下簡稱“等級保護(hù)”）作為信息安全系統(tǒng)分級分類保護(hù)的一項(xiàng)國家標(biāo)準(zhǔn)，對于完美信息安全法例和標(biāo)準(zhǔn)系統(tǒng)，提升安全建設(shè)的整體水平，加強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對性和時效性擁有特別重要的意義。國家有關(guān)部門向來特別重視信息系統(tǒng)的等級保護(hù)工作，公布了一系列有關(guān)條例，如國務(wù)院公布的中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，公安部等四部委聯(lián)合簽發(fā)的對于信息安全等級保護(hù)工作的實(shí)行建議（公通字200466號）、信息安全等級保護(hù)管理方法（試行）（公通字20067號），公安部公布的公安部信息系統(tǒng)安全保護(hù)等級實(shí)行指南（試行稿）（2005年），以及北京市

2、實(shí)行的北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定（市政府第163命令）等。中國長城財產(chǎn)管理公司（以下簡稱“公司”），作為國有獨(dú)資本融公司，在業(yè)務(wù)高速發(fā)展的同時向來特別重視信息安全系統(tǒng)建設(shè)，初期已經(jīng)部署了“老三樣”，即網(wǎng)絡(luò)防病毒、防火墻和網(wǎng)絡(luò)入侵檢測，對保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)行起到了重要作用。公司綜合經(jīng)營管理系統(tǒng)經(jīng)過四期建設(shè)，實(shí)現(xiàn)了數(shù)據(jù)集中和管理集中，為公司收買、管理與處理政策性不良財產(chǎn)以及商業(yè)化經(jīng)營等業(yè)務(wù)的順利睜開供給了完好的業(yè)務(wù)操作平臺。為了更好地保全國有財產(chǎn)，促使國有公司改革，進(jìn)一步推進(jìn)公民經(jīng)濟(jì)連續(xù)、迅速、健康發(fā)展，公司希望進(jìn)一步完美信息系統(tǒng)安全系統(tǒng)建設(shè)，規(guī)范信息安全管理，提升信息安全保障

3、能力和水平，同時能夠?qū)π畔⑾到y(tǒng)安全整體進(jìn)行審查、評估與完美。二、確立綜合經(jīng)營管理系統(tǒng)的保護(hù)級別依據(jù)信息系統(tǒng)安全等級保護(hù)定級指南中對信息系統(tǒng)的要求，考慮到綜合經(jīng)營管理系統(tǒng)是公司的核心業(yè)務(wù)系統(tǒng)，一旦遇到損壞后，會對社會次序和公共利益造成嚴(yán)重傷害，或許對國家安全造成傷害，所以，將保護(hù)級別定為3級，并形成了等級保護(hù)定級報告，這在財產(chǎn)管理公司里屬于首家。三、建設(shè)目標(biāo)3級基本要在今年的信息系統(tǒng)安全等級保護(hù)基本要求（報批稿）中的求中明確規(guī)定需要成立“監(jiān)控管理和安全管理中心”，這說明公司的等級保護(hù)平臺建設(shè)走在了行業(yè)的前頭，為有關(guān)行業(yè)的等級保護(hù)測評工作供給了可貴的經(jīng)驗(yàn)。等級保護(hù)保護(hù)整頓與安全建設(shè)工作重要性依照公

4、通字200743號文的要求，信息系統(tǒng)定級工作達(dá)成后，營運(yùn)、使用單位第一要依照有關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整頓，使用切合國家有關(guān)規(guī)定、知足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或許改建工作。等級保護(hù)整頓的核心是依據(jù)用戶的實(shí)質(zhì)信息安全需求、業(yè)務(wù)特色及應(yīng)用要點(diǎn)，在確立不一樣系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行要點(diǎn)保護(hù)。整頓工作要依照國家等級保護(hù)有關(guān)要求，將等級保護(hù)要求表現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并的確聯(lián)合用戶信息安全建設(shè)的實(shí)質(zhì)需求，建設(shè)一套全面保護(hù)、要點(diǎn)突出、連續(xù)運(yùn)行的安全保障系統(tǒng)，將等級保護(hù)制度的確落實(shí)到公司的信息安全規(guī)劃、建設(shè)、評估、運(yùn)行和保護(hù)等各個環(huán)節(jié)，保障公司的信息

5、安全。啟明星斗等級保護(hù)整頓與安全建設(shè)過程啟明星斗等級保護(hù)整頓與安全建設(shè)是鑒于國家書息系統(tǒng)安全等級保護(hù)有關(guān)標(biāo)準(zhǔn)和文件的要求，針對客戶已定級存案的信息系統(tǒng)、或打算依照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，聯(lián)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)質(zhì)狀況，經(jīng)過一套規(guī)范的等保整悔過程，輔助客戶進(jìn)行風(fēng)險評估和等級保護(hù)差距剖析，擬訂完好的安全整頓建議方案，并依據(jù)需要輔助客戶對落實(shí)整頓實(shí)行方案或進(jìn)行方案的評審、招招標(biāo)、整頓監(jiān)理等工作，輔助客戶達(dá)成信息系統(tǒng)等級保護(hù)整頓和安全建設(shè)工作。啟明星斗等保整頓與建設(shè)過程主要包含等級保護(hù)差距剖析、等級保護(hù)整頓建議方案、等級保護(hù)整頓實(shí)行三個階段。（一）等級保護(hù)差距剖析等級保護(hù)風(fēng)險評估

6、1）評估目的對信息系統(tǒng)進(jìn)行安全等級評估是國家實(shí)行等級保護(hù)制度的一個重要環(huán)節(jié)，也是對信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要構(gòu)成部分。等級評估不一樣于依照等級保護(hù)要求進(jìn)行的等保差距剖析。風(fēng)險評估的目標(biāo)是深入、詳盡地檢查信息系統(tǒng)的安全風(fēng)險狀況，而差距剖析則是依照等保的全部要求進(jìn)行切合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的切合程度。能夠說，風(fēng)險評估的結(jié)果更能表現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距剖析結(jié)果在技術(shù)上更為深入。風(fēng)險評估的結(jié)果和差距剖析結(jié)果都是整頓建議方案的輸入。啟明星斗經(jīng)過專業(yè)的等級評估服務(wù)，輔助用戶達(dá)成以下的目標(biāo)：認(rèn)識信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確立可能對財產(chǎn)造成危害的威迫；

7、確立威迫實(shí)行的可能性；對可能遇到威迫影響的財產(chǎn)確立其價值、敏感性和嚴(yán)重性，以及相應(yīng)的級別，確立哪些財產(chǎn)是最重要的；對最重要的、最敏感的財產(chǎn)，確立一旦威迫發(fā)生其潛伏的損失或損壞；明確信息系統(tǒng)的已有安全舉措的有效性；清晰信息系統(tǒng)的安全管理需求。2）評估內(nèi)容財產(chǎn)辨別與賦值主機(jī)xx評估數(shù)據(jù)庫xx評估安全設(shè)施評估現(xiàn)場風(fēng)險評估用到的主要評估方法包含：破綻掃描控制臺審計(jì)技術(shù)訪談3）評估剖析依據(jù)現(xiàn)場采集的信息及對這些信息的剖析，評估小組形成定級信息系統(tǒng)的弱評論估報告、風(fēng)險評估報告等文檔，使客戶充分認(rèn)識信息系統(tǒng)存在的風(fēng)險，作為等保差距剖析的一項(xiàng)重要輸入，并作為后續(xù)整頓建設(shè)的重要依照。等保差距剖析經(jīng)過差距剖析，能

8、夠認(rèn)識客戶信息系統(tǒng)的現(xiàn)狀，確立目前系統(tǒng)與相應(yīng)保護(hù)等級要求之間的差距，確立不切合安全項(xiàng)。1）準(zhǔn)備差距剖析表項(xiàng)目組經(jīng)過準(zhǔn)備好的差距剖析表，與客戶確認(rèn)現(xiàn)場交流的對象（部門和人員），準(zhǔn)備相應(yīng)的檢查內(nèi)容。在整理差距剖析表時，整頓項(xiàng)目組會依據(jù)信息系統(tǒng)的安全等級從基本要求中選擇相應(yīng)等級的基本安全要求，依據(jù)及風(fēng)險評估的結(jié)果進(jìn)行調(diào)整，去掉不合用項(xiàng)，增添不可以知足客戶信息系統(tǒng)需求的安全要求。差距剖析表包含以下內(nèi)容：安全技術(shù)差距剖析：包含網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；安全管理差距剖析：包含安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理；系統(tǒng)運(yùn)維差距剖析：包含環(huán)境管理、財產(chǎn)管理、介質(zhì)管理、

9、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、歹意代碼防備管理、密碼管理、更改管理、備份與恢復(fù)管理、安全事件處理；物理安全差距剖析：包含物理地點(diǎn)的選擇、物理接見控制、防偷竊和防損壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供給、電磁防備。不一樣安全保護(hù)級其他系統(tǒng)所使用的差距剖析表的內(nèi)容也不一樣。2）現(xiàn)場差距剖析整頓項(xiàng)目組依照差距剖析表中的各項(xiàng)安全要求，對照信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確立不切合項(xiàng)?，F(xiàn)場工作階段，整頓項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個小組。在差距剖析階段，能夠經(jīng)過以下方式采集信息，詳盡認(rèn)識客戶信息系統(tǒng)現(xiàn)狀，并經(jīng)過剖析所采集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)

10、的建設(shè)能否切合該等級的安全要求，需要進(jìn)行哪些方面的整頓。檢驗(yàn)文檔資料人員訪談現(xiàn)場測試3）生成差距剖析報告達(dá)成現(xiàn)場差距剖析以后，整頓項(xiàng)目組概括整理、剖析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級保護(hù)安全要求之間的差距，明確不切合項(xiàng)，生成等級保護(hù)差距剖析報告。（二）等級保護(hù)整頓建議方案整頓目標(biāo)交流確認(rèn)經(jīng)過與客戶高層領(lǐng)導(dǎo)、有關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行寬泛的交流磋商，啟明星斗會依照風(fēng)險評估和差距剖析的結(jié)果，明確等級保護(hù)整頓工作的工作目標(biāo)，提出等級保護(hù)整頓建議方案。對臨時難以進(jìn)行整頓的部分內(nèi)容，將在議論后作為遺留問題，明確列在整頓建議方案中。整體框架依據(jù)等保安全要求，啟明星斗提出以下的安全整頓建議，此中PM

11、OT系統(tǒng)是信息安全保障整體框架模型。圖信息安全PMOT系統(tǒng)模型啟明星斗依據(jù)建議方案的設(shè)計(jì)原則，輔助客戶擬訂整體安全保障系統(tǒng)架構(gòu)，包含擬訂安全策略，聯(lián)合等級保護(hù)基本要乞降安全保護(hù)特別要求，來建立客戶信息系統(tǒng)的安全技術(shù)系統(tǒng)、安全管理系統(tǒng)及安全運(yùn)維系統(tǒng)，詳細(xì)內(nèi)容包含：成立和完美安全策略：最高層次的安全策略文件，說明安全工作的使命和意向，定義信息安全工作的整體目標(biāo)。安全技術(shù)系統(tǒng)：安全技術(shù)的保障包含網(wǎng)絡(luò)界限防守、安全通訊網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)系統(tǒng)、冗余與備份以及安全管理中心。成立和完美安全管理系統(tǒng)：成立安全管理制度，成立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理。安全運(yùn)維系統(tǒng)：機(jī)房安全，財產(chǎn)及

12、設(shè)施安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。睜開后的等級保護(hù)整頓與安全建設(shè)整體框架以下列圖所示，從信息安全整體策略Policy、安全管理系統(tǒng)Management、安全技術(shù)系統(tǒng)Technology、安全運(yùn)維Operation四個層面落實(shí)等級保護(hù)安全基本要求。圖4等級保護(hù)整頓與安全建設(shè)整體框架方案說明信息安全策略信息安全策略是最高管理層對信息安全的希望和許諾的表達(dá)，位于整個PMOT信息安全系統(tǒng)的頂層，也是安全管理系統(tǒng)的最高指導(dǎo)目標(biāo)，明確了信息安全工作整體目標(biāo)，對技術(shù)和管理各方面的安全工作擁有通用指導(dǎo)性。安全技術(shù)系統(tǒng)啟明星斗依據(jù)整頓目標(biāo)提出整頓方案的安全技術(shù)保障系統(tǒng)，將保障系統(tǒng)框架中要務(wù)實(shí)現(xiàn)的網(wǎng)

13、絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其詳細(xì)規(guī)范，并將產(chǎn)品功能特色整理成文檔。使得在信息安全產(chǎn)品采買和安全控制開發(fā)階段擁有依照，主要內(nèi)容包含：網(wǎng)絡(luò)界限護(hù)御、安全通訊網(wǎng)絡(luò)、主機(jī)與應(yīng)用防備系統(tǒng)、檢測響應(yīng)系統(tǒng)、冗余與備份、信息安全管理中心。安全管理系統(tǒng)為知足等?；疽?，應(yīng)成立和完美安全管理系統(tǒng)，包含：完美安全制度系統(tǒng)、完美安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。安全運(yùn)維系統(tǒng)為知足等保基本要求，應(yīng)成立和完美安全運(yùn)維系統(tǒng)，包含：環(huán)境管理、財產(chǎn)管理、介質(zhì)管理、設(shè)施管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、歹意代碼防備、更改管理、信息安全事件管理等。（三）等級

14、保護(hù)整頓實(shí)行為了更好地輔助客戶落實(shí)等保的整頓工作，啟明星斗能夠作為集成商、咨詢方、或許監(jiān)理方，輔助客戶落實(shí)整頓實(shí)行方案，或輔助進(jìn)行整頓實(shí)行方案的評審、招招標(biāo)、項(xiàng)目監(jiān)理等工作，以達(dá)成系統(tǒng)整頓和安全建設(shè)工作。1.擬訂整頓實(shí)行方案在確立整頓實(shí)行的承建單位后，啟明星斗會提交有關(guān)的工程實(shí)行文檔，包含參照整頓建議方案而編制的項(xiàng)目實(shí)行技術(shù)規(guī)劃等文檔，此中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)行細(xì)節(jié)，主要有：項(xiàng)目產(chǎn)品配置清單實(shí)行設(shè)計(jì)方案實(shí)行準(zhǔn)備工作描繪，實(shí)行工作步驟實(shí)行風(fēng)險躲避方案實(shí)行考證方案現(xiàn)場培訓(xùn)方案工程實(shí)行文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后，方可進(jìn)行實(shí)行。2.整頓建設(shè)實(shí)行啟明星斗擔(dān)當(dāng)項(xiàng)目實(shí)行的工作，保證落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)舉措，成立健全信息安全管理制