等级保护与安全信息建设工作意义及必要性

1、一、信息系统平安等级保护建设的必要性信息系统平安等级保护制度以下简称“等级保护 作为信息平安系统分级分类保护的一 项国家标准， 对于完善信息平安法规和标准体系， 提高平安建设的整体水平， 增强信息系统 平安保护的整体性、针对性和时效性具有非常重要的意义。国家相关部门一直非常重视信息系统的等级保护工作， 公布了一系列相关条例， 如国务院颁 布的?中华人民共和国电脑信息系统平安保护条例?，公安部等四部委联合签发的 ?关于信 息平安等级保护工作的实施意见?公通字 200466 号、?信息平安等级保护管理方法 试行?公通字 20067 号，公安部公布的?公安部信息系统平安保护等级实施指南 试行稿 20

2、05 年?，以及北京市实施的?北京市公共效劳网络与信息系统平安管理 规定?市政府第 163 号令等。中国长城资产管理公司以下简称“公司，作为国有独资金融企业，在业务高速开展的 同时一直非常重视信息平安体系建设，早期已经部署了 “老三样，即网络防病毒、防火 墙和网络入侵检测，对保障业务系统的平安正常运转起到了重要作用。公司综合经营管理系统经过四期建设， 实现了数据集中和管理集中， 为公司收购、 管理与处 置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。 为了更好 地保全国有资产，促进国有企业改革，进一步推动国民经济持续、快速、健康开展，公司希 望进一步完善信息系统平安体系

3、建设，标准信息平安管理，提高信息平安保障能力和水平， 同时能够对信息系统平安整体进行审核、评估与完善。二、确定综合经营管理系统的保护级别根据?信息系统平安等级保护定级指南? 中对信息系统的要求， 考虑到综合经营管理系统是 公司的核心业务系统， 一旦受到破坏后， 会对社会秩序和公共利益造成严重损害， 或者对国 家平安造成损害，因此， 将保护级别定为 3 级，并形成了等级保护定级报告，这在资产管理 公司里属于首家。三、建设目标在今年的?信息系统平安等级保护根本要求报批稿? 中的 3 级根本要求中明确规定需要建立“监控管理和平安管理中心， 这说明公司的等级保护平台建设走在了行业的前头，为相关行业的等

4、级保护测评工作提供了珍贵的经验。等级保护保护整改与平安建设工作重要性 依据公通字 200743 号文的要求，信息系统定级工作完成后，运营、使用单位 首先要按照相关的管理标准和技术标准进行平安建设和整改， 使用符合国家有关 规定、满足信息系统平安保护等级需求的信息技术产品， 进行信息系统平安建设 或者改建工作。等级保护整改的核心是根据用户的实际信息平安需求、 业务特点及应用重点， 在 确定不同系统重要程度的根底上， 进行重点保护。 整改工作要遵循国家等级保护 相关要求， 将等级保护要求表到达方案、 产品和平安效劳中去， 并切实结合用户 信息平安建设的实际需求， 建设一套全面保护、 重点突出、 持

5、续运行的平安保障 体系，将等级保护制度确实落实到企业的信息平安规划、建设、评估、运行和维 护等各个环节，保障企业的信息平安。启明星辰等级保护整改与平安建设过程启明星辰等级保护整改与平安建设是基于国家信息系统平安等级保护相关标准 和文件的要求， 针对客户已定级备案的信息系统、 或打算按照等保要求进行平安 建设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套 标准的等保整改正程， 协助客户进行风险评估和等级保护差距分析， 制定完整的 平安整改建议方案， 并根据需要协助客户对落实整改实施方案或进行方案的评审、 招投标、整改监理等工作，协助客户完成信息系统等级保护整改和平安建设工作。

6、启明星辰等保整改与建设过程主要包括等级保护差距分析、 等级保护整改建议方 案、等级保护整改实施三个阶段。一等级保护差距分析1. 等级保护风险评估1评估目的对信息系统进行平安等级评估是国家推行等级保护制度的一个重要环节， 也是对 信息系统进行平安建设和管理的重要组成局部。等级评估不同于按照等级保护要求进行的等保差距分析。 风险评估的目标是深入、 详细地检查信息系统的平安风险状况， 而差距分析那么是按照等保的所有要求进行 符合性检查， 检查信息系统现状与国家等保要求之间的符合程度。 可以说，风险 评估的结果更能表达是客户信息系统技术层面的平安现状， 比差距分析结果在技 术上更加深入。风险评估的结果

7、和差距分析结果都是整改建议方案的输入。启明星辰通过专业的等级评估效劳，协助用户完成以下的目标：了解信息系统的管理、网络和系统平安现状；确定可能对资产造成危害的威胁； 确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别， 确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明确信息系统的已有平安措施的有效性；明晰信息系统的平安管理需求。2) 评估内容资产识别与赋值主机平安性评估数据库平安性评估平安设备评估现场风险评估用到的主要评估方法包括：漏洞扫描控制台审计技术访谈3) 评估分析 根据现场收集的信息及对这些信息的分析， 评估

8、小组形成定级信息系统的弱点评 估报告、风险评估报告等文档， 使客户充分了解信息系统存在的风险， 作为等保 差距分析的一项重要输入，并作为后续整改建设的重要依据。2. 等保差距分析通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级要求之间的差距，确定不符合平安项。1) 准备差距分析表工程组通过准备好的差距分析表， 与客户确认现场沟通的对象 部门和人员 准备相应的检查内容。在整理差距分析表时，整改工程组会根据信息系统的平安等级从根本要求中选 择相应等级的根本平安要求，根据及风险评估的结果进行调整，去掉不适用项， 增加不能满足客户信息系统需求的平安要求。差距分析表包含以下内容：平安

9、技术差距分析：包括网络平安、主机平安、应用平安、数据平安及备份恢 复； 平安管理差距分析：包括平安管理制度、平安管理机构、人员平安管理、系统 建设管理； 系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和平安管 理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管 理、备份与恢复管理、平安事件处置；物理平安差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、 防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。不同平安保护级别的系统所使用的差距分析表的内容也不同2) 现场差距分析 整改工程组依据差距分析表中的各项平安要求， 比照信息系统现状和

10、平安要求之 间 的差距，确定不符合项。现场工作阶段，整改工程组可分为管理检查组和技术检查组两个小组。在差距分析阶段， 可以通过以下方式收集信息， 详细了解客户信息系统现状， 并 通过分析所收集的资料和数据， 以确认客户信息系统的建设是否符合该等级的安 全要求，需要进行哪些方面的整改。查验文档资料人员访谈现场测试3) 生成差距分析报告 完成现场差距分析之后， 整改工程组归纳整理、 分析现场记录， 找出目前信息系 统与等级保护平安要求之间的差距， 明确不符合项， 生成?等级保护差距分析报 告?。(二) 等级保护整改建议方案1. 整改目标沟通确认 通过与客户高层领导、相关业务部门和信息平安管理部门进

11、行广泛的沟通协商， 启明星辰会依据风险评估和差距分析的结果， 明确等级保护整改工作的工作目标， 提出等级保护整改建议方案。对暂时难以进行整改的局部内容， 将在讨论后作为遗留问题， 明确列在整改建议、,> . r方案中。2. 总体框架根据等保平安要求，启明星辰提出如下的平安整改建议，其中 PMOT 体系是信 息平安保障总体框架模型。图 信息平安 PMOT 体系模型启明星辰根据建议方案的设计原那么， 协助客户制定总体平安保障体系架构， 包括 制定平安策略， 结合等级保护根本要求和平安保护特殊要求， 来构建客户信息系 统的平安技术体系、平安管理体系及平安运维体系，具体内容包括：建立和完善平安策

12、略： 最高层次的平安策略文件， 说明平安工作的使命和意愿， 定义信息平安工作的总体目标。平安技术体系：平安技术的保障包括网络边界防御、平安通信网络、主机和应用系统平安、检测响应体系、冗余与备份以及平安管理中心。建立和完善平安管理体系：建立平安管理制度，建立信息平安组织，标准人员 管理和系统建议管理。平安运维体系：机房平安，资产及设备平安，网络与系统平安管理、监控和安 全管理等。展开后的等级保护整改与平安建设总体框架如以下图所示， 从信息平安整体策略 Policy 、平安管理体系 Management 、平安技术体系 Technology 、平安运维 Operation 四个层面落实等级保护平安

13、根本要求。图 4 等级保护整改与平安建设总体框架3. 方案说明信息平安策略信息平安策略是最高管理层对信息平安的期望和承诺的表达，位于整个 PMOT 信息平安体系的顶层， 也是平安管理体系的最高指导方针， 明确了信息平安工作 总体目标，对技术和管理各方面的平安工作具有通用指导性。平安技术体系启明星辰根据整改目标提出整改方案的平安技术保障体系， 将保障体系框架中要 求实现的网络、 主机和应用平安落实到产品功能或物理形态上， 提出能够实现的 产品或组件及其具体标准， 并将产品功能特征整理成文档。 使得在信息平安产品 采购和平安控制开发阶段具有依据， 主要内容包括： 网络边界护御、 平安通信网 络、主

14、机与应用防护体系、检测响应体系、冗余与备份、信息平安管理中心。平安管理体系为满足等保根本要求，应建立和完善平安管理体系，包括：完善平安制度体系、完善平安组织、标准人员管理、标准系统建设管理。平安运维体系为满足等保根本要求， 应建立和完善平安运维体系， 包括：环境管理、资产管理、 介质管理、设备管理、网络与系统平安管理、系统平安管理、备份与恢复、恶意 代码防范、变更管理、信息平安事件管理等。三等级保护整改实施为了更好地协助客户落实等保的整改工作，启明星辰可以作为集成商、咨询方、 或者监理方， 协助客户落实整改实施方案， 或协助进行整改实施方案的评审、 招 投标、工程监理等工作，以完成系统整改和平安建设工作。1. 制定整改实施方案在确定整改实施的承建单位后， 启明星辰会提交相关的工程实施文档， 包括参照 整改建议方案而编制的工程实施技术规划等文档， 其中涵盖平安建设阶段的各项 实施细节，主要有：工程产品配置清单实施设计方案实施准备工作描述，实施工作步骤实施风险躲避方案实施验证方案现场培训方案工程实施文档应经客户方的工程负责人确认后，方可进行实施。2. 整改建设实施启明星辰承当工程实施的工作， 确保落实客户信息系统的平安保护技术措施， 建 立健全信息平安管理制度，全面贯