【51CTO.com 綜合消息】等級(jí)保護(hù)是當(dāng)前我國(guó)信息安全業(yè)界的熱點(diǎn)，盡管在實(shí)施的過程中部分用戶還存在著一些疑問，還有一些難點(diǎn)問題有待解決，但不可否認(rèn)，等級(jí)保護(hù)工作在我國(guó)上上下下各方的努力推動(dòng)下，正在積極的前進(jìn)中。“等級(jí)保護(hù)不僅是對(duì)信息安全產(chǎn)品或系統(tǒng)的檢測(cè)、評(píng)估以及定級(jí)，更重要的是，等級(jí)保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性工作。通過將等級(jí)化方法和安全體系方法有效結(jié)合，設(shè)計(jì)一套等級(jí)化的信息安全保障體系，是適合我國(guó)國(guó)情、系統(tǒng)化地解決大型組織信息安全問題的一個(gè)非常有效的方法。”這是啟明星辰經(jīng)過多年的實(shí)踐經(jīng)驗(yàn)積累對(duì)信息安全等級(jí)保護(hù)意義的解讀。

從1994年國(guó)務(wù)院發(fā)布的147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》首次提出計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)以來，多項(xiàng)國(guó)家文件和政策均提到了等級(jí)保護(hù)工作的重要性。1999年9月國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布了由公安部提出并組織制定的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》，為等級(jí)保護(hù)這一安全國(guó)策給出了技術(shù)角度的詮釋。

2003年中共中央辦公廳、國(guó)務(wù)院辦公廳聯(lián)合轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）明確指出“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2004年公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦聯(lián)合印發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)），明確了信息安全等級(jí)保護(hù)制度的主要工作方向和工作內(nèi)容，規(guī)定了等級(jí)保護(hù)實(shí)施的具體步驟和時(shí)間表。

2007年6月，四部委聯(lián)合下發(fā)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），標(biāo)志著等級(jí)保護(hù)的全面推廣落實(shí)。43號(hào)文明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)等。同時(shí)，四部委聯(lián)合下發(fā)了“關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知”（公信安[2007]861號(hào)），全面部署了全國(guó)范圍內(nèi)的重要信息系統(tǒng)定級(jí)工作。

近年來信息安全等級(jí)保護(hù)工作取得的了一定成效，初步建立了一系列執(zhí)行標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 ，《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》；《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》，《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 》；《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 ，《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南》等。

2007年下半年開始，全國(guó)范圍內(nèi)的重要信息系統(tǒng)普遍開展了信息安全等級(jí)保護(hù)定級(jí)工作，到現(xiàn)在為止定級(jí)工作基本上已經(jīng)在重要行業(yè)初步完成，全面進(jìn)入整改階段。

在國(guó)家大力推行信息安全等級(jí)保護(hù)制度的背景下，啟明星辰長(zhǎng)期深度參與、密切跟蹤國(guó)家等級(jí)保護(hù)相關(guān)政策，并作為信息安全企業(yè)的代表參與了等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的起草編制工作，在等級(jí)保護(hù)的定級(jí)、整改、評(píng)估等多項(xiàng)工作中積累了豐富的經(jīng)驗(yàn)。在此基礎(chǔ)上，啟明星辰推出了等級(jí)保護(hù)整體解決方案，為用戶提供等級(jí)保護(hù)咨詢服務(wù)，依據(jù)國(guó)家等級(jí)保護(hù)相關(guān)要求，結(jié)合信息系統(tǒng)安全建設(shè)最佳實(shí)踐，緊跟國(guó)家等級(jí)保護(hù)的具體實(shí)施步驟，為客戶提供多種類型的咨詢服務(wù)、安全審計(jì)產(chǎn)品、基于等級(jí)保護(hù)的安全管理平臺(tái)（SOC）、入侵檢測(cè)系統(tǒng)（IDS）等滿足不同客戶不同層次和不同階段的等級(jí)保護(hù)需求服務(wù)。#p#

啟明星辰等級(jí)保護(hù)整體解決方案

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度，等級(jí)保護(hù)的整體實(shí)施工作包括等級(jí)保護(hù)定級(jí)與備案、等級(jí)保護(hù)差距分析、系統(tǒng)安全建設(shè)與整改、等級(jí)測(cè)評(píng)等幾個(gè)階段。

定級(jí)是等級(jí)保護(hù)實(shí)施的基礎(chǔ)性工作，是進(jìn)行相應(yīng)等級(jí)安全建設(shè)的依據(jù)。定級(jí)工作是基于國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)文件的要求，結(jié)合客戶的組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)的實(shí)際情況，進(jìn)行重要信息系統(tǒng)的等級(jí)確定，并進(jìn)一步制定適合自身行業(yè)特點(diǎn)的信息系統(tǒng)定級(jí)指導(dǎo)意見。

用戶完成定級(jí)工作之后，更主要的是依據(jù)等級(jí)保護(hù)整改的相關(guān)要求，通過一套規(guī)范的等保整改過程，進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，進(jìn)行等級(jí)化安全體系的設(shè)計(jì)與建設(shè)，最終符合國(guó)家等級(jí)保護(hù)建設(shè)要求。用戶必須在深入理解定級(jí)的根本要求、充分調(diào)查評(píng)估信息資產(chǎn)價(jià)值和安全風(fēng)險(xiǎn)的基礎(chǔ)上才能完成形成合理的整改建議方案。   

等級(jí)保護(hù)的建設(shè)是個(gè)長(zhǎng)期的過程，需要花費(fèi)大量的時(shí)間、精力和財(cái)力，本著為用戶提供優(yōu)質(zhì)服務(wù)的態(tài)度，啟明星辰推出了等級(jí)保護(hù)專業(yè)服務(wù)和整體解決方案，提供包括定級(jí)備案、差距分析、整改方案制訂、等保實(shí)施、測(cè)評(píng)咨詢、檢查咨詢等各個(gè)環(huán)節(jié)的服務(wù)，協(xié)助用戶完成等級(jí)保護(hù)的實(shí)施和建設(shè)，為用戶信息安全保障體系“保駕護(hù)航”。

啟明星辰通過自身的安全產(chǎn)品、安全服務(wù)，可協(xié)助用戶完成等級(jí)保護(hù)各個(gè)階段的建設(shè)，確保用戶按照等級(jí)保護(hù)的過程規(guī)劃并建設(shè)符合自身信息系統(tǒng)特色和安全建設(shè)需求的安全保障體系，更好地支撐應(yīng)用和業(yè)務(wù)的開展，具體內(nèi)容見下圖： 

圖  啟明星辰等級(jí)保護(hù)工作流程圖

啟明星辰在等級(jí)保護(hù)各個(gè)階段將協(xié)助用戶完成上圖的任務(wù)和工作。具體包括：

等級(jí)保護(hù)定級(jí)備案   

對(duì)信息系統(tǒng)進(jìn)行劃分，并根據(jù)信息系統(tǒng)的價(jià)值確定信息系統(tǒng)的保護(hù)等級(jí)，等級(jí)確定后啟明星辰將協(xié)助用戶完成保護(hù)等級(jí)的備案工作。

等級(jí)保護(hù)差距分析   

通過風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差異，使信息系統(tǒng)的管理和使用單位可以在技術(shù)和管理方面進(jìn)行有針對(duì)性的加強(qiáng)和完善，使單位的信息系統(tǒng)安全工作有的放矢。

等級(jí)保護(hù)整改建議方案   

啟明星辰根據(jù)評(píng)估的結(jié)果和信息系統(tǒng)確認(rèn)的保護(hù)等級(jí)，結(jié)合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及其它相關(guān)整改標(biāo)準(zhǔn)中對(duì)各級(jí)別信息系統(tǒng)的技術(shù)、管理和運(yùn)維方面的要求，制定相應(yīng)的安全保護(hù)措施，完成等級(jí)保護(hù)整改建議方案的設(shè)計(jì)。

等級(jí)保護(hù)整改實(shí)施   

啟明星辰將依據(jù)規(guī)劃向用戶提供詳細(xì)設(shè)計(jì)和等級(jí)保護(hù)系統(tǒng)建設(shè)服務(wù)，確保保障等級(jí)能夠達(dá)到信息系統(tǒng)所要求的保護(hù)等級(jí)，或者協(xié)助用戶進(jìn)行等級(jí)保護(hù)的實(shí)施，對(duì)承建商的工作進(jìn)行監(jiān)理。

等級(jí)保護(hù)測(cè)評(píng)咨詢

在信息系統(tǒng)進(jìn)行完成定級(jí)和整改實(shí)施之后，需要通過測(cè)試手段對(duì)信息系統(tǒng)的安全技術(shù)和安全管理上各個(gè)層面的安全控制進(jìn)行整體性驗(yàn)證，啟明星辰提供的測(cè)評(píng)咨詢服務(wù)將協(xié)助用戶通過等級(jí)保護(hù)測(cè)評(píng)工作。

等級(jí)保護(hù)檢查咨詢   

在信息系統(tǒng)進(jìn)行完成定級(jí)和整改實(shí)施之后，國(guó)家主管機(jī)關(guān)將對(duì)信息系統(tǒng)的安全技術(shù)和安全管理各個(gè)層面的安全控制進(jìn)行檢查，啟明星辰將協(xié)助用戶準(zhǔn)備檢查所需要的文檔和資料，配合公安機(jī)關(guān)開展現(xiàn)場(chǎng)的檢查工作。#p#

啟明星辰在等級(jí)保護(hù)方面成功經(jīng)驗(yàn)案例

憑借扎實(shí)的技術(shù)，通過多年的不斷實(shí)踐和探索，啟明星辰的等級(jí)保護(hù)安全解決方案已經(jīng)成功運(yùn)用于不同的行業(yè)和領(lǐng)域，為企業(yè)和各類機(jī)構(gòu)提供了可靠穩(wěn)定及可持續(xù)性的安全保障，下面介紹一些典型的成功案例：

中國(guó)石油重要信息系統(tǒng)等級(jí)保護(hù)咨詢項(xiàng)目——隨著近年來世界經(jīng)濟(jì)的復(fù)蘇，全球石油需求量快速上升，石油供需矛盾進(jìn)一步加劇，能源方面的競(jìng)爭(zhēng)日趨激烈。作為中國(guó)經(jīng)濟(jì)支柱產(chǎn)業(yè)的骨干企業(yè)，中國(guó)石油為了加快與國(guó)際經(jīng)濟(jì)接軌，提升參與國(guó)際競(jìng)爭(zhēng)的實(shí)力，把信息化建設(shè)作為提升整體管理水平和企業(yè)核心競(jìng)爭(zhēng)力的重要手段。中國(guó)石油已經(jīng)完成企業(yè)信息化工作的基礎(chǔ)建設(shè)工作，更是走在信息化建設(shè)的前沿。結(jié)合中國(guó)石油實(shí)際的業(yè)務(wù)需求，信息系統(tǒng)實(shí)行分級(jí)、分區(qū)域、分類、分階段的安全保護(hù)。同時(shí)，中國(guó)石油根據(jù)國(guó)家有關(guān)規(guī)定加強(qiáng)企業(yè)信息安全保障工作，實(shí)行信息安全等級(jí)保護(hù)工作，重點(diǎn)保護(hù)企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)安全，抓緊安全等級(jí)保護(hù)建設(shè)。為此，中國(guó)石油高度重視信息安全保護(hù)工作。

2007年開始，啟明星辰依據(jù)國(guó)家等級(jí)保護(hù)政策幫助中國(guó)石油建立中國(guó)石油信息安全等級(jí)保護(hù)規(guī)范，進(jìn)行全面的信息系統(tǒng)摸底調(diào)查工作，協(xié)助完成對(duì)總部統(tǒng)一組織建設(shè)和應(yīng)用的重要信息系統(tǒng)的定級(jí)工作，制定中國(guó)石油重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施暫行意見。項(xiàng)目于2008年4月結(jié)束并驗(yàn)收，已順利完成公安部的備案工作，定級(jí)結(jié)果得到主管機(jī)關(guān)和各專家的好評(píng)。

長(zhǎng)城資產(chǎn)等級(jí)保護(hù)咨詢項(xiàng)目——中國(guó)長(zhǎng)城資產(chǎn)管理公司作為國(guó)有獨(dú)資金融企業(yè)，在業(yè)務(wù)高速發(fā)展的同時(shí)一直非常重視信息安全體系建設(shè)，早期已經(jīng)部署了“老三樣”，而且也對(duì)保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)轉(zhuǎn)起到了重要作用。在國(guó)家信息化快速發(fā)展的情況下，根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中對(duì)信息系統(tǒng)的要求，啟明星辰于2006年11月開始，對(duì)中國(guó)長(zhǎng)城資產(chǎn)管理公司的兩個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)保護(hù)的實(shí)施，并根據(jù)系統(tǒng)受到破壞之后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，將保護(hù)級(jí)別定為3級(jí)，并形成了等級(jí)保護(hù)定級(jí)報(bào)告，通過公安部一所的等級(jí)檢查評(píng)估。這在資產(chǎn)管理公司里屬于首家。本項(xiàng)目于2006年12月結(jié)束。

大連商品交易所等級(jí)保護(hù)咨詢項(xiàng)目——大連商品交易所成立于1993年，是經(jīng)國(guó)務(wù)院批準(zhǔn)的四家期貨交易所之一。隨著大商所自身業(yè)務(wù)的不斷提升，網(wǎng)絡(luò)的建設(shè)也變得更加重要和復(fù)雜。為迎合日益擴(kuò)大的系統(tǒng)及網(wǎng)絡(luò)需求，大連商品交易所安全建設(shè)需求越來越迫切。同時(shí)在國(guó)家等級(jí)保護(hù)政策的要求下，證監(jiān)會(huì)《證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》明確要求，金融機(jī)構(gòu)，證券公司、基金公司、期貨公司的信息系統(tǒng)安全保護(hù)能力必須達(dá)到一定的等級(jí)。

啟明星辰在完全符合國(guó)家等保政策和標(biāo)準(zhǔn)要求的前提下，依據(jù)證券行業(yè)信息安全的管理、技術(shù)、運(yùn)維的特殊情況，針對(duì)大商所的實(shí)際情況，于2008年7月，對(duì)大商所新大廈的信息系統(tǒng)建設(shè)中各個(gè)重要環(huán)節(jié)分別制定安全策略、技術(shù)要求及操作細(xì)則。同時(shí)，依據(jù)技術(shù)要求進(jìn)行等級(jí)保護(hù)差距分析，提供等級(jí)保護(hù)差距評(píng)估報(bào)告，并提供等級(jí)保護(hù)差距整改建議。

中國(guó)建設(shè)銀行等級(jí)保護(hù)咨詢項(xiàng)目——2008年9月項(xiàng)目啟動(dòng)，啟明星辰依據(jù)國(guó)家等保定級(jí)指南，協(xié)助建行完成全行的交易、渠道、辦公等重要信息系統(tǒng)的定級(jí)工作，并為建行制定適合自身行業(yè)特點(diǎn)的信息系統(tǒng)定級(jí)指導(dǎo)意見。