第一篇：習(xí)酒等級(jí)保護(hù)整改要求

習(xí)酒等級(jí)保護(hù)整改要求 一、目的習(xí)酒公司官網(wǎng)、OA 辦公系統(tǒng)、分銷系統(tǒng)、營銷系統(tǒng)和防偽溯源系統(tǒng)，5 套系統(tǒng)已分別做二級(jí)、三級(jí)等級(jí)保護(hù)評(píng)定檢測。專業(yè)機(jī)構(gòu)通過網(wǎng)絡(luò)、應(yīng)用、主機(jī)、物理和數(shù)據(jù)方面檢測后，達(dá)到網(wǎng)絡(luò)安全等保測評(píng)標(biāo)準(zhǔn)有一定差距?，F(xiàn)公司擬對外公開邀標(biāo)系統(tǒng)集成商做解決方案投標(biāo)。

二、要求 1、網(wǎng)絡(luò)的核心部分需用雙鏈路冗余設(shè)計(jì)，核心交換機(jī)和出口防火墻等關(guān)鍵節(jié)點(diǎn)采用雙節(jié)點(diǎn)的方式，保證系統(tǒng)運(yùn)行的穩(wěn)定性，從而滿足業(yè)務(wù)高峰的需求。

2、網(wǎng)絡(luò)內(nèi)部用戶實(shí)行上網(wǎng)行為監(jiān)測管理，要求系統(tǒng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查；對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行行為審計(jì)，并具備在發(fā)現(xiàn)有用戶違規(guī)訪問外部網(wǎng)絡(luò)時(shí)能及時(shí)定位用戶并阻斷其訪問的能力。

3、完善入侵檢測防御，要求網(wǎng)絡(luò)能在網(wǎng)絡(luò)邊界處監(jiān)視各種惡意攻擊，并實(shí)時(shí)記錄各種攻擊的類型、發(fā)生的時(shí)間、源 IP 等信息。

4、審計(jì)日志要求可進(jìn)行分析生成報(bào)表，且數(shù)據(jù)至少能留存 6 個(gè)月以上。

第二篇：水利部(部機(jī)關(guān))等級(jí)保護(hù)建設(shè)整改案例

一、概述

信息系統(tǒng)安全等級(jí)保護(hù)工作是我國信息安全建設(shè)的必要工作，是我國信息安全保障的大勢所趨。水利部高度重視網(wǎng)絡(luò)與信息安全工作，2007年9月初便組織開展水利行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，同年12月底全面完成了信息系統(tǒng)等級(jí)備案工作。信息系統(tǒng)安全等級(jí)保護(hù)工作主要分為定級(jí)、備案、建設(shè)整改、等級(jí)測評(píng)和監(jiān)督檢查等環(huán)節(jié)，現(xiàn)已完成定級(jí)、備案工作，下一步主要工作是建設(shè)整改。根據(jù)《關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安【2009】1429號(hào)）和水利部工作的實(shí)際情況，水利部將水利網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)作為水利信息化八大重點(diǎn)工程之一，并列入《全國水利信息化十二五規(guī)劃》。為此，水利部于2009年開始啟動(dòng)水利部本級(jí)政務(wù)外網(wǎng)信息系統(tǒng)等級(jí)保護(hù)整改工作，進(jìn)一步提高水利部政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。

二、整改目標(biāo)

完善水利部電子政務(wù)外網(wǎng)安全防護(hù)體系，不斷提高水利部電子政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行，達(dá)到國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求。保證水利部業(yè)務(wù)信息和網(wǎng)絡(luò)的機(jī)密性、完整性、可用性、可控性和可審計(jì)性，確保水利部整體達(dá)到信息系統(tǒng)第三級(jí)安全保護(hù)等級(jí)。

三、方案設(shè)計(jì)

（一）方案設(shè)計(jì)目標(biāo)

水利部（部機(jī)關(guān)）等級(jí)保護(hù)建設(shè)整改是根據(jù)國家等級(jí)保護(hù)政策制度的工作方案思路，依照《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡稱“《基本要求》”）、參照《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（以下簡稱“《安全設(shè)計(jì)技術(shù)要求》”）等政策標(biāo)準(zhǔn)規(guī)范要求，結(jié)合水利部業(yè)務(wù)信息系統(tǒng)的實(shí)際情況以及水利部《關(guān)于印發(fā)水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求的通知》（水文[2010]190號(hào)）相關(guān)文件要求編制總體設(shè)計(jì)方案，用于指導(dǎo)水利部機(jī)關(guān)安全建設(shè)整改工作。方案的總體目標(biāo)是設(shè)計(jì)符合水利部實(shí)際業(yè)務(wù)應(yīng)用、實(shí)際網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行模式和國家等級(jí)保護(hù)建設(shè)整改工作要求的總體方案，實(shí)現(xiàn)水利部機(jī)關(guān)政務(wù)外網(wǎng)的安全保護(hù)總體達(dá)到信息系統(tǒng)安全保護(hù)等級(jí)第三級(jí)基本要求。

（二）方案設(shè)計(jì)框架

水利部安全保障體系框架根據(jù)等級(jí)保護(hù)基本要求，參照國內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合水利部已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實(shí)際情況，最終形成依托于安全保護(hù)對象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心的“三個(gè)體系，一個(gè)中心，三重防護(hù)”的安全保障體系框架。如下圖所示：

圖1：信息安全保障體系框架圖

? “三個(gè)體系”：信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)行體系，把等級(jí)保護(hù)基本要求的控制點(diǎn)結(jié)合水利部實(shí)際情況形成相適應(yīng)的體系結(jié)構(gòu)框架；

? “一個(gè)中心”：信息安全管理中心，實(shí)現(xiàn)“自動(dòng)、平臺(tái)化”的安全工作管理、統(tǒng)一技術(shù)管理和安全運(yùn)維管理； ? “三重防護(hù)”：安全計(jì)算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施，把安全技術(shù)控制措施與安全保護(hù)對象相結(jié)合。

（三）方案編寫思路 方案總體思路：

圖2：方案編寫總體思路

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距

通過采用信息安全風(fēng)險(xiǎn)評(píng)估的方法，對水利部機(jī)關(guān)政務(wù)外網(wǎng)信息系統(tǒng)進(jìn)行全面綜合分析，并深化對已經(jīng)定級(jí)、備案的信息系統(tǒng)進(jìn)行資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)綜合分析，在整體網(wǎng)絡(luò)框架基礎(chǔ)上，通過差距分析的方法與等級(jí)保護(hù)基本要求進(jìn)行差距分析，形成信息系統(tǒng)等級(jí)保護(hù)建設(shè)整改的整體安全需求。

2.安全保障體系框架和總體安全策略

根據(jù)等級(jí)保護(hù)的整體保護(hù)框架，并結(jié)合水利部信息安全保障體系建設(shè)的實(shí)際情況，建立符合水利電子政務(wù)系統(tǒng)特性的安全保障體系，分別是安全管理體系、安全技術(shù)體系和安全運(yùn)行體系，并制定各個(gè)體系必要的安全設(shè)計(jì)原則和安全策略。3.安全保障體系總體設(shè)計(jì)方案

結(jié)合水利部機(jī)關(guān)電子政務(wù)外網(wǎng)信息系統(tǒng)的實(shí)際應(yīng)用情況，設(shè)計(jì)具體安全技術(shù)體系控制措施、安全管理體系控制措施和安全運(yùn)行體系控制措施，其中：

? 安全管理體系的實(shí)現(xiàn)依據(jù)《基本要求》，設(shè)計(jì)了水利部機(jī)關(guān)政務(wù)外網(wǎng)的信息安全組織機(jī)構(gòu)、人員安全管理、安全管理制度、系統(tǒng)建設(shè)管理及系統(tǒng)運(yùn)維管理等控制措施；

? 安全技術(shù)體系的實(shí)現(xiàn)一方面重點(diǎn)落實(shí)《基本要求》，另一方面采用《安全設(shè)計(jì)技術(shù)要求》的思路和方法設(shè)計(jì)了安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的控制措施； ? 安全運(yùn)行體系的實(shí)現(xiàn)根據(jù)《基本要求》，設(shè)計(jì)了符合系統(tǒng)全生命周期的安全需求、安全建設(shè)、安全設(shè)計(jì)與安全運(yùn)維的運(yùn)行體系要求，重點(diǎn)闡述了安全運(yùn)維體系的框架和控制組成。? 安全管理中心的實(shí)現(xiàn)根據(jù)《基本要求》和《安全設(shè)計(jì)技術(shù)要求》，結(jié)合水利部機(jī)關(guān)已經(jīng)建立的運(yùn)行保障平臺(tái)，形成覆蓋安全工作管理、安全運(yùn)維管理、統(tǒng)一安全技術(shù)管理于一體的“自動(dòng)、平臺(tái)化”的安全管理中心。4.總體實(shí)施計(jì)劃

根據(jù)總體設(shè)計(jì)方案的安全保障體系要求，結(jié)合水利部機(jī)關(guān)安全建設(shè)的實(shí)際情況，預(yù)計(jì)將水利部機(jī)關(guān)政務(wù)外網(wǎng)信息安全保障體系建設(shè)分成兩個(gè)階段，分別是基本整改和深化完善階段。

四、整改效果

經(jīng)過安全建設(shè)整改后，水利部本級(jí)政務(wù)外網(wǎng)信息系統(tǒng)將在統(tǒng)一的安全保護(hù)策略下，具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力；具有抵抗較為嚴(yán)重的自然災(zāi)害的能力；具有防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對安全事件進(jìn)行響應(yīng)處置、并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對于服務(wù)保障性要求高的系統(tǒng)，具有能快速恢復(fù)正常運(yùn)行狀態(tài)的能力；具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。

水利等級(jí)保護(hù)整改方案采用了體系化設(shè)計(jì)思路，強(qiáng)化了“集中”安全管理，強(qiáng)調(diào)了安全運(yùn)維工作。該設(shè)計(jì)方案得到了等級(jí)保護(hù)專家的一致認(rèn)可。目前，根據(jù)該設(shè)計(jì)的全面實(shí)施已經(jīng)完成，并順利通過等級(jí)保護(hù)測評(píng)，其中三級(jí)系統(tǒng)最高符合度評(píng)分可達(dá)到89%（即89分），二級(jí)系統(tǒng)最高符合度評(píng)分可達(dá)到96%（即96分），成為截至目前國家測評(píng)機(jī)構(gòu)部委備案系統(tǒng)等級(jí)保護(hù)測評(píng)分值最高的系統(tǒng)。

第三篇：習(xí)酒包裝心得體會(huì)

包裝心得體會(huì)

習(xí)酒包裝四班余小英

我在習(xí)酒包裝工作近兩年，我知道我們的習(xí)酒已成為貴州濃香白酒第一品牌，特許品牌日愈壯大，各領(lǐng)風(fēng)騷。新時(shí)代的習(xí)酒人執(zhí)著地貫徹“無情不商”的經(jīng)營理念和“誠信為本”的經(jīng)營原則，發(fā)揚(yáng)“勵(lì)精圖治、求實(shí)創(chuàng)新、高效守信、服務(wù)社會(huì)”的企業(yè)精神，堅(jiān)持“以誠取信，以質(zhì)取勝，創(chuàng)新服務(wù)，追求卓越”的質(zhì)量方針，在茅臺(tái)旗艦的引領(lǐng)下，為打造百億茅臺(tái)、創(chuàng)造習(xí)酒更加美好的明天而努力奮斗。然而我發(fā)現(xiàn)習(xí)酒目前在包裝上還應(yīng)當(dāng)進(jìn)一步改進(jìn)，下面我談?wù)剬α?xí)酒包裝的一些想法。

聽社會(huì)上有的人說習(xí)酒包裝太過追求精美。當(dāng)然我認(rèn)為這種情況未必就一定是過度包裝。首先，比如說有些包裝采用特制進(jìn)口玻璃瓶，是為了保持瓶中酒的口味，酒瓶及紙盒成本。其次是要加強(qiáng)產(chǎn)品文化推廣，在外包裝盒上要突出了文化營銷創(chuàng)意，這是建立習(xí)酒品牌產(chǎn)品所必需的。再次是市場效果好，能促進(jìn)銷售就是好包裝。

前幾年，一些品牌酒在包裝上競比奢華，有的用玉制或紅木制的外包裝盒，有的添加金杯玉盞，有的恨不得直接往內(nèi)塞幾十元錢，這些都是包裝創(chuàng)意無計(jì)可施的窘相。具我所知，中國輕工業(yè)聯(lián)合會(huì)等在上海投資6億元興建酒類信息展示交易中心，并首次推出酒包裝設(shè)計(jì)大賽，就是要提高國產(chǎn)酒包裝設(shè)計(jì)水平，用創(chuàng)意包裝取代豪華包裝，用適度包裝改進(jìn)過度包裝。

佛靠金裝人靠衣裝，產(chǎn)品更要靠包裝。反對過度包裝，并不是說反對包裝，而是不提倡把一些與習(xí)酒無關(guān)的東西放進(jìn)包裝中抬高產(chǎn)品價(jià)格。較為典型的例子是禮盒裝中，加入錦盒、裝飾物后，身價(jià)就達(dá)幾百元甚至上千元，這些都是過度包裝盲目競爭的結(jié)果。

我認(rèn)為習(xí)酒包裝應(yīng)有二個(gè)功能，即收藏價(jià)值和觀賞性了。當(dāng)然這是要講求兩點(diǎn)的：一是要貼近老百姓，二是老百姓能接受。有沒有收藏價(jià)值，有沒有利用價(jià)值，這是我公司不得不面對的課題。我覺得要設(shè)計(jì)一款布袋裝，雖然價(jià)位并不高，酒后布袋是可以持續(xù)利用的，而且又很美觀。我想這樣的包裝，也許老百姓是比較喜歡的。產(chǎn)品的功能是多方面和多層次的，包括物質(zhì)功能、實(shí)用功能、精神功能等，而在習(xí)酒包裝上要體現(xiàn)觀賞性、收藏性、實(shí)用性以及多用性。突破以往在習(xí)酒包裝方面的單一功能，充分體現(xiàn)習(xí)酒的情趣性和文化性是習(xí)酒包裝發(fā)展的趨勢，也是我們從業(yè)者的追求。不過，強(qiáng)調(diào)包裝功能的多樣性，并不是什么功能都可以附加在習(xí)酒包裝上的。

當(dāng)前的習(xí)酒包裝多以紅、黃色調(diào)為主。包裝色彩的確定首先是由市場與消費(fèi)者的既有經(jīng)驗(yàn)和感官需求決定的。實(shí)踐證明紅、黃、金等色系的包裝投入市場后確實(shí)普遍得到了消費(fèi)者認(rèn)同，成為習(xí)酒包裝設(shè)計(jì)當(dāng)中使用最多的色調(diào)。其次，在包裝色彩的應(yīng)用上不能忽略品牌與產(chǎn)品的自身定位，以及產(chǎn)品的個(gè)性化特征。并不是所有的紅、黃色調(diào)包裝的產(chǎn)品都能暢銷，紅黃色系也并不是不可突破。我認(rèn)為設(shè)計(jì)一些綠色系和藍(lán)色系包裝，視覺效果上不但沒有什么障礙，反而顯得更加生動(dòng)和鮮活。因此，包裝設(shè)計(jì)的關(guān)鍵還是在于對品牌文化的理解、提煉是不是到位，包裝色彩與產(chǎn)品的自身定位及個(gè)性特征是不是吻合，我們要打造的，是屬于自己特色的個(gè)性化色彩。

色彩的個(gè)性必然加強(qiáng)包裝的視覺沖擊力，起著促銷的作用，大大提高其產(chǎn)品的市場競爭能力。對于習(xí)酒而言，要有獨(dú)特的個(gè)性化色彩，這種包裝才能在市場競爭中立于不敗之地。事實(shí)上，紅色與黃色都有很多種，在不同的材料上有時(shí)也可以恰如其分的表現(xiàn)品牌。不過，以此兩種色調(diào)為基調(diào)，只是民族個(gè)性的認(rèn)可，也就是說消費(fèi)者一般都能接受，但不是品牌個(gè)性的體現(xiàn)。從這個(gè)意義上講，如今的習(xí)酒包裝在色彩上還應(yīng)該大膽突破。值得一提的是，習(xí)酒品牌在大膽用色時(shí)，應(yīng)貼近品牌個(gè)性，貼近消費(fèi)者的習(xí)慣，否則會(huì)產(chǎn)生反作用的。

色彩有先聲奪人之效。白酒包裝色彩的用法目前是個(gè)頗受關(guān)注的問題。想要?jiǎng)e人之不敢用的色彩來搶市場，因?yàn)槲覀兊木埔掠诿半U(xiǎn)要敢嘗試，更應(yīng)該拿出一定的勇氣來！

單從包裝設(shè)計(jì)方面看，我覺得以下幾個(gè)方面值得嘗試：

一、提升包裝的防偽能力，增加假冒的難度，使原包裝和回收包裝形成明顯的區(qū)別；設(shè)計(jì)包裝的自毀裝置，使包裝打開后不可能再次以成品形式使用；開發(fā)不可回收包裝。我們要有杜絕“回收名酒瓶裝假酒”的設(shè)計(jì)上開辟新的思路。

習(xí)酒包裝應(yīng)做到“三防”，一是防止制假者利用舊的包裝容器、標(biāo)簽等實(shí)施制假活動(dòng)；二是防止制假者從黑市上買來新的包裝容器、標(biāo)簽等實(shí)施制假活動(dòng)；三是防止一些經(jīng)濟(jì)實(shí)力雄厚的規(guī)模較大的制假企業(yè)，仿制出習(xí)酒系列產(chǎn)品，大批量制假。在對習(xí)酒防偽包裝設(shè)計(jì)時(shí)，一般應(yīng)遵循以上設(shè)計(jì)原則。目前常用的方法比較多，比如說"茅臺(tái)”內(nèi)外包裝瓶蓋均使用紅色扭斷式防盜螺旋鋁蓋、“五糧液”采用金屬扭斷蓋、“西鳳”酒在瓶蓋扭斷連接處噴上出廠日期、批號(hào)，而“孔府家”則是對標(biāo)識(shí)進(jìn)行了加密、“酒鬼”使用電碼防偽標(biāo)識(shí)等。用專業(yè)的眼光來看，白酒包裝只有在設(shè)計(jì)之初就從“防舊”、“防新”、“防大”這三個(gè)角度出發(fā)，才能有效解決習(xí)酒被假冒的問題，也才能使習(xí)酒包裝真正起到防偽的作用。

習(xí)酒包裝除了宣傳和美化作用外，還有保護(hù)產(chǎn)品的重要功能。習(xí)酒被假冒一直是困擾我企業(yè)的一個(gè)主要問題。在包裝上引入科學(xué)、高效的防偽設(shè)計(jì)。如果想把習(xí)酒品牌做長久做強(qiáng)大的話．就不得不在這方面下功夫。

其實(shí)在當(dāng)前市場上，關(guān)注包裝話題還有很多，比如說如何從包裝上防止竄貨，在包裝上如何恰如其分地體現(xiàn)出習(xí)酒品牌檔次等。以上是我個(gè)人的一些不成熟想法，以期引起公司領(lǐng)導(dǎo)們在包裝上有著更深層次的思考。如有不妥之處還請多海涵！

第四篇：信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表

附件 1 信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表
01 單位名稱 02 單位地址 姓 03 單位負(fù)責(zé)人 辦公電話 姓 04 單位聯(lián)系人 辦公電話 05 信息系統(tǒng)總數(shù) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 移動(dòng)電話 06 未定級(jí)備案信息 系統(tǒng)數(shù)量 第三級(jí)系統(tǒng) 合 計(jì) □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三級(jí)系統(tǒng) 合 計(jì) 名 職務(wù)/職稱 名 職務(wù)/職稱

07 已定級(jí)備案信息系 統(tǒng)數(shù)量

（1）是否明確主管領(lǐng)導(dǎo)、責(zé)任部門和具體負(fù)責(zé)人員（2）是否對信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署 08 信 息 系統(tǒng)安全 建設(shè)整改 工作情況（3）是否對信息系統(tǒng)進(jìn)行安全保護(hù)現(xiàn)狀分析（4）是否制定信息系統(tǒng)安全建設(shè)整改方案（5）是否組織開展信息系統(tǒng)安全建設(shè)整改工作（6）是否組織開展信息系統(tǒng)安全自查工作 09 已開展安全建設(shè)整 改的信息系統(tǒng)數(shù)量 10 已開展等級(jí)測評(píng)的 信息系統(tǒng)數(shù)量 11 信息系統(tǒng)發(fā)生安全事 件、事故數(shù)量 12 已達(dá)到等級(jí)保護(hù)要 求的信息系統(tǒng)數(shù)量 填表人： 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 審核人：

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 填表時(shí)間： 計(jì) 年 月 日
1

第五篇：等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

依據(jù)公通字[2007]43號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。

等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循國家等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)過程

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況，通過一套規(guī)范的等保整改過程，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對落實(shí)整改實(shí)施方案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。

啟明星辰等保整改與建設(shè)過程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。

(一)等級(jí)保護(hù)差距分析

1.等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估

1)評(píng)估目的

對信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。

等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度?？梢哉f，風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。

啟明星辰通過專業(yè)的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)：

● 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；

● 確定可能對資產(chǎn)造成危害的威脅；

● 確定威脅實(shí)施的可能性；

● 對可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；

● 對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；

● 明確信息系統(tǒng)的已有安全措施的有效性；

● 明晰信息系統(tǒng)的安全管理需求。

2)評(píng)估內(nèi)容

● 資產(chǎn)識(shí)別與賦值

● 主機(jī)安全性評(píng)估

● 數(shù)據(jù)庫安全性評(píng)估

● 安全設(shè)備評(píng)估

現(xiàn)場風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括：

● 漏洞掃描

● 控制臺(tái)審計(jì)

● 技術(shù)訪談

3)評(píng)估分析

根據(jù)現(xiàn)場收集的信息及對這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。

2.等保差距分析

通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距，確定不符合安全項(xiàng)。

1)準(zhǔn)備差距分析表

項(xiàng)目組通過準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場溝通的對象（部門和人員），準(zhǔn)備相應(yīng)的檢查內(nèi)容。

在整理差距分析表時(shí)，整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求，根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。

差距分析表包含以下內(nèi)容：

● 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；

● 安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理；

● 系統(tǒng)運(yùn)維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置；

● 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。

不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。

2)現(xiàn)場差距分析

整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求，對比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距，確定不符合項(xiàng)。

現(xiàn)場工作階段，整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。

在差距分析階段，可以通過以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改。

● 查驗(yàn)文檔資料

● 人員訪談

● 現(xiàn)場測試

3)生成差距分析報(bào)告

完成現(xiàn)場差距分析之后，整改項(xiàng)目組歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成《等級(jí)保護(hù)差距分析報(bào)告》。

(二)等級(jí)保護(hù)整改建議方案

1.整改目標(biāo)溝通確認(rèn)

通過與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行廣泛的溝通協(xié)商，啟明星辰會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改工作的工作目標(biāo)，提出等級(jí)保護(hù)整改建議方案。

對暫時(shí)難以進(jìn)行整改的部分內(nèi)容，將在討論后作為遺留問題，明確列在整改建議方案中。

2.總體框架

根據(jù)等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。

圖 信息安全PMOT體系模型

啟明星辰根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括：

● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。

● 安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全管理中心。

● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理?！?安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。

展開后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全基本要求。

圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架 3.方案說明

● 信息安全策略

信息安全策略是最高管理層對信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性?！?安全技術(shù)體系

啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測響應(yīng)體系、冗余與備份、信息安全管理中心。

● 安全管理體系

為滿足等?；疽?，應(yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。

● 安全運(yùn)維體系

為滿足等?；疽?，應(yīng)建立和完善安全運(yùn)維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。

(三)等級(jí)保護(hù)整改實(shí)施

為了更好地協(xié)助客戶落實(shí)等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實(shí)整改實(shí)施方案，或協(xié)助進(jìn)行整改實(shí)施方案的評(píng)審、招投標(biāo)、項(xiàng)目監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。

1.制定整改實(shí)施方案

在確定整改實(shí)施的承建單位后，啟明星辰會(huì)提交相關(guān)的工程實(shí)施文檔，包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)，主要有：

● 項(xiàng)目產(chǎn)品配置清單

● 實(shí)施設(shè)計(jì)方案

● 實(shí)施準(zhǔn)備工作描述，實(shí)施工作步驟

● 實(shí)施風(fēng)險(xiǎn)規(guī)避方案

● 實(shí)施驗(yàn)證方案

● 現(xiàn)場培訓(xùn)方案

工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后，方可進(jìn)行實(shí)施。

2.整改建設(shè)實(shí)施

啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作，確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施，建立健全信息安全管理制度，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。

3.整改實(shí)施項(xiàng)目驗(yàn)收

整改實(shí)施工作完成后，啟明星辰提出驗(yàn)收申請和工程測試驗(yàn)收方案，由客戶審批工程測試驗(yàn)收方案（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）的符合性及可行性。

4.等級(jí)保護(hù)運(yùn)維

在整改建設(shè)與實(shí)施工作完成之后，啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定，協(xié)助用戶培養(yǎng)專業(yè)人才，進(jìn)行運(yùn)行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進(jìn)、等級(jí)保護(hù)測評(píng)和等級(jí)保護(hù)監(jiān)督檢查的工作。