一、信息系统安全等级保护建设的必要性
信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
二、确定综合经营管理系统的保护级别
根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
三、建设目标
在今年的《信息系统安全等级保护基本要求(报批稿)》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。
1、总体目标
建设的总体目标是实现国家对信息系统实行等级保护的政策要求,利用平台实现风险管理从“可知到可识到可知识”的良性循环。
2、具体目标
平台建设的具体目标包括:
建立信息系统风险监控及等级保护平台,将平台作为维护和管理等级保护测评结果的有力工具。
能够对公司信息系统的风险进行实时监控。
有效贯彻公安部信息系统等级保护规范。
协助公司进一步提升信息安全水平,保障业务的良好运行。
利用平台实践“可知-可识-可知识”的风险管理方法论。
四、系统特点和成效
目前,借助启明星辰公司提供的信息安全等级保护平台,公司可以通过IP资产与业务域管理、信息安全事件管理、IP资产脆弱性管理、信息安全风险监控、用户与权限管理、信息安全知识库管理等模块实现信息安全事件的集中响应和处理,并高效整合各种安全设备和系统。
长城资产公司信息系统风险监控与等级保护平台建设完成后主要取得了两大成效。
第一,根据等级保护的3级基本要求,公司有选择地部署了入侵检测防御系统、多功能安全网关、网络安全审计、漏洞扫描系统和网络防病毒系统等,通过平台实现的对异构系统的统一事件收集存储和管理,该平台跟等级保护要求具有很高的符合度,在很大程度上满足了等级保护3级基本要求。
第二,平台进行风险管理的过程和结果是“可知-可识-可知识”风险管理方法论的最佳实践。通过平台可以及时发现风险,然后才能进一步识别风险,得到关键资产和业务域的高风险清单,之后利用已有知识或借助外援降低风险到可以接受的水平,最后将成功经验入库,作为以后进行风险管理的参考,这样就完成了对风险的螺旋式上升管理。
五、结论
信息系统等级保护将是我国重点行业将来建设信息安全保障体系,进行风险管理的重要参考依据。
启明星辰承建的长城资产信息系统风险监控与等级保护平台,将国家等级保护要求融入平台建设实践,结合自身特点,进行了有益尝试。系统上线后,一直平稳运行,基本实现了预期目标,提高了公司的风险管理力度,随着项目建设的不断深入,平台也将更趋于完善。