三级等保方案

三级等保建设方案第第页目录1

概述 21.1

工程概况 21.2

方案说明 31.3

设计依据 42

方案总体设计 42.1

设计目标 42.2

设计原那么 62.3

设计思路 73

需求分析 163.1

系统现状 163.2

现有措施 163.3

具体需求 164

平安策略 184.1

总体平安策略 184.2

具体平安策略 195

平安解决方案 195.1

平安技术体系 205.1.1区域边界 205.1.2通信网络 215.1.3计算环境 225.2

平安管理体系 245.3

平安运维体系 276

方案总结 281

概述1.1

工程概况随着我国信息技术的快速开展，计算机及信息网络对促进国民经济和社会开展发挥着日益重要的作用。加强对重要领域内计算机信息系统平安保护工作的监督管理，打击各类计算机违法犯罪活动，是我国信息化顺利开展的重要保障。为加大依法管理信息网络平安工作的力度，维护国家平安和社会安定，维护信息网络平安，使我国计算机信息系统的平安保护工作走上法制化、标准化、制度化管理轨道，1994年国务院公布了?中华人民共和国计算机信息系统平安保护条例?。条例中规定：我国的“计算机信息系统实行平安等级保护。平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定。〞1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999?计算机信息系统平安保护等级划分准那么?，为等级保护这一平安国策给出了技术角度的诠释。2023年的?国家信息化领导小组关于加强信息平安保障工作的意见?〔27号文〕中指出：“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息平安等级保护的管理方法和技术指南〞。根据国家信息化领导小组的统一部署和安排，我国将在全国范围内全面开展信息平安等级保护工作。1.2

方案说明本方案是在信息系统经过平安定级之后，根据信息系统平安等级保护的根本要求和平安目标，针对相应的平安等级而提出的等级保护系统设计方案。本方案依赖于对系统及其子系统进行的准确定级，即需要定级结果作为平安规划与设计的前提与根底。本方案应当作为进行信息系统等级保护工作部署的指南和依据。可以根据本方案对于网络架构、威胁防护、策略、区域划分、系统运维等多方面的平安进行设计、审查、改良和加强，是进行信息系统等级保护规划和建设的参考性和实用性很强的文档。本方案的应用建议：在进行某个等级保护的具体工作规划时，可以参考方案中各个框架的描述来筹划平安策略、需求分析、平安措施选择等各个局部的工作。在考虑某一项平安建设时，可以依据本方案中对于相关的技术和管理的根本要求和平安目标进行分析。在具体的信息系统使用到本方案进行规划、设计和建设时，也将用作相关部门进行等级保护测评和备案时的文档资料。本方案的读者包括等级保护方案的设计者、工程的承建方和用户方、信息系统的网络平安管理人员以及工程的评审者、监管方。

1.3

设计依据

——公安部?信息平安等级保护管理方法?

——公安部?信息系统平安等级保护实施指南?——公安部?信息系统平安等级保护定级指南?——公安部?信息系统平安等级保护根本要求?——公安部?信息系统平安等级保护测评准那么?——?北京市党政机关网络与信息系统平安定级指南?——?北京市电子政务信息平安保障技术框架?——?北京市公共效劳网络与信息系统平安管理规定?(市政第163令〕——DB11/T171-2023?党政机关信息系统平安测评标准?——ISO/IEC17799信息平安管理标准——ISO/IECTR13335系列标准——信息系统平安保障理论模型和技术框架IATF——?信息平安等级保护管理方法?〔公通字[2023]43号〕2

方案总体设计2.1

设计目标信息平安等级保护，是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行平安保护，对信息系统中使用的信息平安产品实行按等级管理，对信息系统中产生的信息平安事件分等级响应、处置。本方案侧重于实现对信息、信息系统的分等级平安保护的设计目标。总体设计目标：以信息系统的实际情况和现实问题为根底，遵照国家的法律法规和标准标准，参照国际的平安标准和最正确实践，依据相应等级信息系统的根本要求和平安目标，设计出等级化、符合系统特点、融管理和技术为一体的整体平安保障体系，指导信息系统的等级保护建设工作。不同级别的信息系统应具备不同的平安保护能力，3级的信息系统应具备的根本平安保护能力要求〔具体设计目标〕如下：应具有能够对抗来自大型的、有组织的团体〔如一个商业情报组织或犯罪组织等〕，拥有较为丰富资源〔包括人员能力、计算能力等〕的威胁源发起的恶意攻击、较为严重的自然灾难〔灾难发生的强度较大、持续时间较长、覆盖范围较广〔地区性〕等〕以及其他相当危害程度〔内部人员的恶意威胁、设备的较严重故障等〕威胁的能力，并在威胁发生后，能够较快恢复绝大局部功能。上述对3级的信息系统的根本平安保护能力要求是一种整体和抽象的描述。信息系统所应该具有的根本平安保护能力将通过表达根本平安保护能力的平安目标的提出以及实现平安目标的具体技术要求和管理要求的描述得到具体化。2.2

设计原那么

在进行等级保护系统解决方案设计时将遵循以下设计原那么：清晰定义模型的原那么：在设计信息平安保障体系时，首先要对信息系统进行模型抽象，这样既能相对准确地描述信息体系的各个方面的内容及其平安现状，又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与平安相关的属性抽取出来，参照IATF〔美国信息平安保障技术框架〕，建立“保护对象框架〞、“平安措施框架〞、“整体保障框架〞等平安框架模型，从而相对准确地描述信息系统的平安属性和等级保护的逻辑思维。分域防护、综合防范的原那么：任何平安措施都不是绝对平安的，都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统，需要合理划分平安域和综合采用多种有效措施，进行多层和多重保护。需求、风险、代价平衡的原那么：对任何类型网络，绝对平安难以到达，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到平安性与可用性相容，做到技术上可实现，经济上可执行。技术与管理相结合原那么：信息平安涉及人、技术、操作等各方面要素，单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息平安时，必须将各种平安技术与运行管理机制、人员思想教育、技术培训、平安规章制度建设相结合。动态开展和可扩展原那么：随着网络攻防技术的进一步开展，网络平安需求会不断变化，以及环境、条件、时间的限制，平安防护一步到位，一劳永逸地解决信息平安问题是不现实的。信息平安保障建设可先保证根本的、必须的平安性和良好的平安可扩展性，今后随着应用和网络平安技术的开展，不断调整平安策略，加强平安防护力度，以适应新的网络平安环境，满足新的信息平安需求。2.3

设计思路2.3.1

保护对象框架保护对象是对信息系统从平安角度抽象后的描述方法，是信息系统内具有相似平安保护需求的一组信息资产的组合。

依据信息系统的功能特性、平安价值以及面临威胁的相似性，信息系统保护对象可分为计算区域、区域边界、网络根底设施、平安措施四类。建立了各层的保护对象之后，应按照保护对象所属信息系统或子系统的平安等级，对每一个保护对象明确保护要求、部署适用的保护措施。保护对象框架的示意图如下：图1.

保护对象框架的示意图

2.3.2

整体保障框架就平安保障技术而言，在体系框架层次进行有效的组织，理清保护范围、保护等级和平安措施的关系，建立合理的整体框架结构，是对制定具体等级保护方案的重要指导。

根据中办发[2023]27号文件，“坚持积极防御、综合防范的方针，全面提高提高信息平安防护能力〞是国家信息保障工作的总体要求之一。“积极防御、综合防范〞是指导等级保护整体保障的战略方针。信息平安保障涉及技术和管理两个相互紧密关联的要素。信息平安不仅仅取决于信息平安技术，技术只是一个根底，平安管理是使平安技术有效发挥作用，从而到达平安保障目标的重要保证。平安保障不是单个环节、单一层面上问题的解决，必须是全方位地、多层次地从技术、管理等方面进行全面的平安设计和建设，积极防御、综合防范〞战略要求信息系统整体保障综合采用覆盖平安保障各个环节的防护、检测、响应和恢复等多种平安措施和手段，对系统进行动态的、综合的保护，在攻击者成功地破坏了某个保护措施的情况下，其它保护措施仍然能够有效地对系统进行保护，以抵御不断出现的平安威胁与风险，保证系统长期稳定可靠的运行。整体保障框架的建设应在国家和地方、行业相关的平安政策、法规、标准、要求的指导下，制订可具体操作的平安策略，并在充分利用信息平安根底设施的根底上，构建信息系统的平安技术体系、平安管理体系，形成集防护、检测、响应、恢复于一体的平安保障体系，从而实现物理平安、网络平安、系统平安、数据平安、应用平安和管理平安，以满足信息系统全方位的平安保护需求。同时，由于平安的动态性，还需要建立平安风险评估机制，在平安风险评估的根底上，调整和完善平安策略，改良平安措施，以适应新的平安需求，满足平安等级保护的要求，保证长期、稳定、可靠运行。

整体保障框架的示意图如下：

图2.

整体保障框架的示意图

2.3.3

平安措施框架

平安措施框架是按照结构化原理描述的平安措施的组合。本方案的平安措施框架是依据“积极防御、综合防范〞的方针，以及“管理与技术并重〞的原那么进行设计的。

平安措施框架包括平安技术措施、平安管理措施两大局部。平安技术措施包括平安防护系统〔物理防护、边界防护、监控检测、平安审计和应急恢复等子系统〕和平安支撑系统〔平安运营平台、网络管理系统和网络信任系统〕。平安技术措施、平安管理措施各局部之间的关系是人〔平安机构和人员〕，按照规那么〔平安管理制度〕，使用技术工具〔平安技术〕进行操作〔系统建设和系统运维〕。

平安措施框架示意图如下：图3.

平安措施框架示意图2.3.4

平安区域划分不同的信息系统的业务特性、平安需求和等级、使用的对象、面对的威胁和风险各不相同。如何保证系统的平安性是一个巨大的挑战，对信息系统划分平安区域，进行层次化、有重点的保护是有保证系统和信息平安的有效手段。按数据分类分区域分等级保护，就是按数据分类进行分级，按数据分布进行区域划分，根据区域中数据的分类确定该区域的平安风险等级。目的是把一个大规模复杂系统的平安问题，分解为更小区域的平安保护问题。这是实现大规模复杂信息的系统平安等级保护的有效方法。随着平安区域方法的开展，发现力图用一种大一统的方法和结构去描述一个复杂的网络环境是非常困难的，即使描述出来其可操作性也值得疑心。因此，我公司提出了“同构性简化的方法〞，其根本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元进行拼接、递归等方式构造出一个大的网络。可以说，结构性简化好似将网络分析成一种单一大分子组成的系统，而同构性简化就是将网络看成一个由几种小分子组成的系统。“3+1同构性简化〞的平安域方法就是一个非常典型的例子，此方法是用一种3+1小分子构造来分析venuscustomer的网络系统。〔注：除了3+1构造之外，还存在其他形式的构造。〕具体来说信息系统按照其维护的数据类可以分为平安效劳域、平安接入域、平安互联域以及平安管理域四类。在此根底上确定不同区域的信息系统平安保护等级。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理平安特性等。信息系统可以划分为以下四个大的平安域〔3+1同构法〕：平安接入域：由访问同类数据的用户终端构成平安接入域，平安接入域的划分应以用户所能访问的平安效劳域中的数据类和用户计算机所处的物理位置来确定。平安接入域的平安等级与其所能访问的平安效劳域的平安等级有关。当一个平安接入域中的终端能访问多个平安效劳域时，该平安接入域的平安等级应与这些平安效劳域的最高平安等级相同。平安接入域应有明确的边界，以便于进行保护。平安互联域：连接传输共同数据的平安效劳域和平安接入域组成的互联根底设施构成了平安互联域。主要包括其他域之间的互连设备，域间的边界、域与外界的接口都在此域。平安互联域的平安等级确实定与网络所连接的平安接入域和平安效劳域的平安等级有关。平安效劳域：在局域范围内存储，传输、处理同类数据，具有相同平安等级保护的单一计算机〔主机/效劳器〕或多个计算机组成了平安效劳域，不同数据在计算机的上分布情况，是确定平安效劳域的根本依据。根据数据分布，可以有以下平安效劳域：单一计算机单一平安级别效劳域，多计算机单一平安级别效劳域，单一计算机多平安级别综合效劳域，多计算机多平安级别综合效劳域。平安管理域：平安系统的监控管理平台都放置在这个区域，为整个IT架构提供集中的平安效劳，进行集中的平安管理和监控以及响应。具体来说可能包括如下内容：病毒监控中心、认证中心、平安运营中心等。平安区域3+1同构示意图如下：

图4.

平安区域3+1同构示意图

2.3.5

平安措施选择

27号文件指出，实行信息平安等级保护时“要重视信息平安风险评估工作，对网络与信息系统平安的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息平安风险等因素，进行相应等级的平安建设和管理〞。由此可见，信息系统等级保护可视为一个有参照系的风险管理过程。等级保护是以等级化的保护对象、不同平安要求对应的等级化的平安措施为参照，以风险管理过程为主线，建立并实施等级保护体系的过程。平安措施的选择首先应依据我国信息系统平安等级划分的要求，设计五个等级的平安措施等级要求〔平安措施等级要求是针对五个等级信息系统的根本要求〕。不同等级的信息系统在相应级别平安措施等级要求的根底上，进行平安措施的调整、定制和增强，并按照一定的划分方法组成相应的平安措施框架，得到适用于该系统的平安措施。平安措施的调整主要依据综合平衡系统平安要求、系统所面临风险和实施平安保护措施的本钱来进行。信息系统平安措施选择的原理图如下：

图5.

平安措施选择的原理图3

需求分析3.1

系统现状3.2

现有措施目前，信息系统已经采取了下述的平安措施：1、在物理层面上，2、在网络层面上，3、在系统层面上，4、在应用层面上，5、在管理层面上，3.3

具体需求3.3.1

等级保护技术需求要保证信息系统的平安可靠，必须全面了解信息系统可能面临的所有平安威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因；威胁虽然有各种各样的存在形式，但其结果是一致的，都将导致对信息或资源的破坏，影响信息系统的正常运行，破坏提供效劳的有效性、可靠性和权威性。任何可能对信息系统造成危害的因素，都是对系统的平安威胁。威胁不仅来来自人为的破坏，也来自自然环境，包括各种人员、机构出于各自目的的攻击行为，系统自身的平安缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有：

图6.

威胁的主要来源视图

威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。被动攻击威胁与风险：网络通信数据被监听、口令等敏感信息被截获等。主动攻击威胁与风险：扫描目标主机、拒绝效劳攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码〔如：特洛依木马、病毒、后门等〕、越权访问、篡改数据、伪装、重放所截获的数据等。邻近攻击威胁与风险：毁坏设备和线路、窃取存储介质、偷窥口令等。分发攻击威胁与风险：在设备制造、安装、维护过程中，在设备上设置隐藏的的后门或攻击途径。内部攻击威胁与风险：恶意修改数据和平安机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。3.3.2

等级保护管理需求平安是不能仅仅靠技术来保证，单纯的技术都无法实现绝对的平安，必须要有相应的组织管理体制配合、支撑，才能确保信息系统平安、稳定运行。管理平安是整体平安中重要的组成局部。信息系统平安管理虽然得到了一定的落实，但由于人员编制有限，平安的专业性、复杂性、不可预计性等，在管理机构、管理制度、人员平安、系统建设、系统运维等平安管理方面存在一些平安隐患：——管理机构方面:——管理制度方面:——人员平安方面:——系统建设方面:——系统运维方面:4

平安策略4.1

总体平安策略——遵循国家、地方、行业相关法规和标准；——贯彻等级保护和分域保护的原那么；——管理与技术并重，互为支撑，互为补充，相互协同，形成有效的综合防范体系；——充分依托已有的信息平安根底设施，加快、加强信息平安保障体系建设。——第三级平安的信息系统具备对信息和系统进行基于平安策略强制的平安保护能力。——在技术策略方面：——在管理策略方面:4.2

具体平安策略4.2.1

平安域内部策略略4.2.2

平安域边界策略

略4.2.3

平安域互联策略略5

平安解决方案不同的平安等级要求具有不同的根本平安保护能力，实现根本平安保护能力将通过选用适宜的平安措施或平安控制来保证，可以使用的平安措施或平安控制表现为平安根本要求，依据实现方式的不同，信息系统等级保护的平安根本要求分为技术要求和管理要求两大类。技术类平安要求通常与信息系统提供的技术平安机制有关，主要是通过在信息系统中部署软硬件并正确的配置其平安功能来实现；管理类平安要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、标准、流程以及记录等方面做出规定来实现。根据威胁分析、平安策略中提出的根本要求和平安目标，在整体保障框架的指导下，本节将就具体的平安技术措施和平安管理措施来设计平安解决方案，以满足相应等级的根本平安保护能力。5.1

平安技术体系5.1.1区域边界5.1.1.1边界访问控制网络区域边界通常是整个网络系统中较为容易受到攻击的位置，很多来自外部的攻击都是通过边界的薄弱环节攻击到网络内部的。而平安域的边界也需要做平安防御，以保证平安域内的信息平安以及平安域内与其他平安域间的数据的受控的访问。因此网络及平安域边界需要进行着重的平安防御设计。本方案在核心交换机旁路部署2台防火墙提供网络内部横向边界的访问控制，实现大二层网络三级系统云效劳应用区、数据存储区、平安管理区等的平安隔离。在外网区部署2台防火墙为互联网边界、外部专网边界提供边界访问控制。在云平台资源效劳器上部署虚拟防火墙系统，实现资源池内部虚拟效劳器之间的横向边界访问控制。5.1.1.2边界协议过滤本方案在核心交换机旁路部署1台入侵检测系统提供网络内部各域之间访问的入侵检测。在外网区部署2台入侵防护系统〔含防病毒模块〕为互联网边界、外部专网边界提供边界入侵防护、恶意代码过滤。5.1.1.3区域边界平安审计本方案在核心交换机旁路部署1台网络审计设备〔含数据库审计功能模块〕，实现全网行为审计、实现数据存储区数据访问记录审计5.1.1.4区域边界完整性保护本方案在旁路部署区域部署了1台入侵检测系统，能够实现探测入侵等行为，完成对区域边界的完整性保护。在平安管理运维区部署终端管理系统，能够有效探测终端的非法外联、非法内联行为。5.1.2通信网络5.1.2.1通信网络平安审计在核心交换机旁路部署1台网络审计系统，收集、记录通信网络的相关平安事件，上报平安管理中心。5.1.2.2网络数据传输完整性保护在核心交换机旁路部署1台SSLVPN设备，对于重要数据的远程访问行为进行平安加密，提供完整性保护。5.1.2.3网络数据传输保密性保护在核心交换机旁路部署1台SSLVPN设备，对于重要数据的远程访问行为进行平安加密，提供保密性防护。5.1.2.4网络可信接入通过在平安管理运维区域部署网络平安准入系统，通过开启平安准入控制功能，确保经过认证的主机才能接入到网络，实现网络可信接入控制。5.1.3计算环境5.1.3.1操作系统平安优化操作系统是承载业务应用、数据库应用的根底载体，是业务应用平安的主要防线，一旦操作系统的平安性出现问题，将对整体业务数据平安造成严重威胁，对于业务系统的效劳器操作系统平安，可通过操作系统加固优化实现。5.1.3.2数据库系统平安优化数据库是业务系统数据的承载体，通常都保存着重要的数据，包括敏感的业务数据，如：交易记录、商业事务和帐号数据等。对于三级业务系统的数据库系统平安，应采取相应的平安加固手段。5.1.3.3效劳器和客户端病毒防护系统在网络中所有适用的效劳器〔WINDOWS、LINUX〕和客户端〔WINDOWS〕计算机上部署相应平台的网络版防病毒软件，并配置防病毒系统管理效劳器对所有主机上的防病毒软件进行集中管理、监控、统一升级、集中查杀毒。按照等保三级要求，主机上部署的网络版防病毒软件应采用与网络边界部署的病毒过滤网关异构〔边界防病毒过滤网关目前集成到入侵防护系统上〕的病毒代码库，以提高整体病毒查杀能力。5.1.3.4Web应用防护控制在外网区域部署web应用防护系统，来防御专门针对WEB应用的攻击行为。5.1.3.5网络审计系统〔数据库审计系统〕本方案在核心交换机旁路部署1台网络审计设备〔含数据库审计功能模块〕，实现全网行为审计、实现数据存储区数据访问记录审计5.1.3.6系统平安审计在平安管理运维区部署1套集中日志审计系统，收集全网计算环境中产生的日志信息，包括WEB效劳器的操作系统和应用系统，数据库效劳器以及局部网络设备和平安设备。5.1.3.7漏洞扫描部署在平安管理运维区的漏洞扫描系统实现全网网络设备、效劳器等漏洞扫描，并提供平安建议和改良措施等功能，帮助用户控制可能发生的平安事件，最大可能的消除平安隐患。5.1.3.8堡垒主机在平安管理运维区域部署1套内控堡垒主机，在系统运维人员和信息系统〔网络、主机、数据库、应用等〕之间搭建一个唯一的入口和统一的交互的界面，针对信息系统中关键软硬件设备运维的行为进行管控及审计。5.1.3.9数据库防火墙在数据库存储区域部署一套数据库防火墙系统，数据库防火墙不但具有传统数据库审计的能力，而且在串联模式下可具有SQL防火墙、访问权限控制、虚拟补丁等功能。通过部署数据库防火墙可以实现从事前预防、事中控制、事后审计的全方位的数据库防护，补充当前平安方案中对数据库的防护缺乏。5.1.3.10数据备份和恢复核心业务数据就是生命线，当故障或灾难发生时，能否有一份可用的数据，是决定其存亡的关键。建议对数据采取本地备份和恢复措施或建立同城灾备中心。5.2

平安管理体系针对等级保护的管理要求，建议通过平安咨询及平安规划，实现包括平安管理机构、平安管理制度、人员平安、系统建设管理和系统运维管理在内的平安管理体系，使符合等级保护的管理要求，另外从定级的角度，由于信息系统最高定级为3级，因此其平安管理方面应当按照3级要求进行总体建设，平安管理体系制度局部清单例如如下：?信息平安组织体系和职责?：规定组织平安组织机构的职责和工作。?信息平安岗位人员管理方法?：加强内部人员平安管理，依据最小特权原那么清晰划分岗位，在所有岗位职责中明确信息平安责任，要害工作岗位实现职责别离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的平安审查。?信息平安员工平安管理方法?：员工在录用、调动、离职过程中的信息平安管理，提出对信息平安培训及教育、奖励和考核的要求。?信息平安培训及教育管理方法?：组织各层面信息平安培训的要求和主要内容。?信息平安第三方人员平安管理方法?：必须加强第三方访问和外包效劳的平安控制，在风险评估的根底上制定平安控制措施，并与第三方组织和外包效劳组织签署平安责任协议，明确其平安责任。?平安检查及考核管理方法?建立平安检查制度和平安处分制度，对违反规章制度的部门和人员按照规定进行处分。?信息平安体系管理方法?：建设完整平安体系，实现从设计、实施、修改和维护生命周期的平安体系自身保障。?信息平安策略管理方法?：平安策略本身应标准从创立、执行、修改、到更新、废止等整个生命周期的维护保障。?信息平安平安现状评估管理方法?：组织信息平安体系的建设和维护，要通过及时获知和评价信息平安的现状，通过对于平安现状的评估，实施信息平安建设工作，减少和降低信息平安风险，提高信息平安保障水平。?信息平安信息资产管理方法?：必须加强信息资产管理，建立和维护信息资产清单，维护最新的网络拓扑图，建立信息资产责任制，对信息资产进行分类管理和贴标签。?信息平安IT设备弱点评估及加固管理方法?：增强主机系统和网络设备的平安配置，应定期进行平安评估和平安加固。?信息平安预警管理方法?：对平安威胁提前预警，及时将国内外平安信息通知组织各级信息平安管理人员及员工，确保能够及时采取应对措施，以此降低组织的信息平安风险。?信息平安平安审计及监控管理方法?：应部署网络层面和系统层面的访问控制、平安审计以及平安监控技术措施，保障业务系统的平安运行。?信息平