1.1背景

隨著信息技術的迅猛發(fā)展和廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強，信息網(wǎng)絡已成為國家和社會發(fā)展新的重要戰(zhàn)略資源。國務院法規(guī)和中央文件明確規(guī)定，要實行信息安全等級保護，重點保護基礎信息網(wǎng)絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度。信息安全等級保護是當今發(fā)達國家保護關鍵信息基礎設施、保障信息安全的通行做法，也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項事關國家安全、社會穩(wěn)定、國家利益的重要任務。

等級保護工作的開展，存在信息系統(tǒng)管理弱，定級備案管理松散，整改建設落實不力，等級測評得不到有效管理等問題。此時迫切需要一個管理平臺，作為信息系統(tǒng)等級保護開展的支撐工具，為信息系統(tǒng)運營單位、使用單位、安全服務機構、重要行業(yè)的主管部門以及國家信息安全監(jiān)管機構等部門，提供展開常態(tài)化的等級保護工作支撐平臺。

等級保護管理平臺是一套用于信息系統(tǒng)等級保護工作全周期管理的基礎平臺。系統(tǒng)圍繞我國等級保護相關政策及信息系統(tǒng)安全等級保護基本要求，實現(xiàn)對信息系統(tǒng)的定級備案、等級測評、建設整改、安全自查等核心標準等級保護工作環(huán)節(jié)的監(jiān)督控制管理，是信息安全等級保護工作順利開展和完成不可或缺的保障。

2.1嚴格遵循國家等級保護管理政策法規(guī)和標準

等級保護管理平臺嚴格遵循國家制定關于等級保護管理相關的政策法規(guī)和標準，以《信息安全等級保護管理辦法》為指導，遵照《信息安全技術-信息系統(tǒng)安全等級保護實施指南》、《信息安全技術-信息系統(tǒng)安全等級保護定級指南》、《信息安全技術-信息系統(tǒng)安全等級保護基本要求》、《信息安全技術-信息系統(tǒng)安全等級保護測評過程指南》，完全符合國家對等級保護相關工作的規(guī)定和要求。

2.2對等級保護工作周期管理

等級保護管理平臺能對信息系統(tǒng)生命周期進行管理，包括信息系統(tǒng)在建、投運、變更、退運的管理;統(tǒng)一、集中企業(yè)所有信息系統(tǒng)數(shù)據(jù);并圍繞信息系統(tǒng)來開展等級保護工作。

圖2：信息系統(tǒng)生命周期管理

2.3對等級保護工作周期管理

等級保護管理平臺實現(xiàn)了對等級保護工作過程全周期管理。遵照國家有關信息安全等級保護政策規(guī)定和技術標準規(guī)范，緊密結合企業(yè)信息化發(fā)展，平臺涵蓋了等級保護工作過程中的定級、備案、整改建設、等級測評等各個環(huán)節(jié)，確保企業(yè)信息安全等級保護體系建設工作的有效推進。

圖3：等級保護工作環(huán)節(jié)

2.4支撐等級保護工作開展的強有力工具

等級保護管理平臺為等級保護工作的開展提供了一個有力的支撐工具：

通過定級備案管理，根據(jù)業(yè)務信息安全和系統(tǒng)服務安全級別，自動生成保護基線。經上級審批通過后，自動生成符合公安機關備案要求的《信息系統(tǒng)安全等級保護備案表》，可直接提交公安機關備案。

通過等級測評管理，可對測評機構、測評人員、測評活動進行管理。測評活動細化到每個信息系統(tǒng)所對應保護基線下的測評指標。

圖4：等級保護測評指標

通過整改建設管理，依據(jù)測評結果，自動生成整改需求。不僅支持按信息系統(tǒng)進行整改，同時支持按安全域整改，自動合并多個系統(tǒng)需整改指標開展整改。

圖5：按安全域進行整改

2.5等級保護工作查詢與統(tǒng)計分析

等級保護管理平臺提供系統(tǒng)定級情況、備案情況、測評情況、整改情況等條件的統(tǒng)計分析功能。通過信息數(shù)據(jù)的匯總分析，以圖表形式直觀展現(xiàn)企業(yè)的等級保護工作開展情況。

圖6：信息系統(tǒng)定級情況

其中，在測評情況的統(tǒng)計功能中，可全局分析存在薄弱項、有待加固的安全域，并支持各安全域的部分符合/不符合明細項的下鉆分析。

圖7：等級測評情況統(tǒng)計

同時平臺還支持集團統(tǒng)計匯總下級單位的等級保護情況，為集團指導和監(jiān)督下級單位的定級備案、測評、整改等工作提供服務。

2.6支持分級管理，滿足各種管理要求

等級保護管理平臺支持分級管理功能。通過可配置的角色管理，對功能權限和數(shù)據(jù)權限進行劃分;不同角色用戶僅能調用相應的功能模塊，訪問授權的業(yè)務數(shù)據(jù);針對不同級別的單位，分配不同的用戶角色，以滿足各類型企業(yè)單位對管理分級的要求。

圖8：等級保護管理平臺分級管理

2.7大集中化實施部署和管理

等級保護管理平臺采用的是B/S富客戶端架構，可以進行大集中化實施部署和管理，企業(yè)下屬各單位可直接登錄系統(tǒng)展開等級保護工作，滿足等級保護自上而下的一體化的管理需求，實現(xiàn)等級保護自動化和一體化的目標。

圖9：等級保護管理平臺架構

等級保護管理平臺實現(xiàn)了對企業(yè)所有信息系統(tǒng)生命周期的管理，圍繞信息系統(tǒng)開展等級保護工作。對等級保護基礎數(shù)據(jù)實現(xiàn)集中存儲和管理，保證了數(shù)據(jù)的完整性和一致性，為等級保護工作的開展提供了可靠的數(shù)據(jù)支持。通過數(shù)據(jù)的集中管理與統(tǒng)計分析，使得數(shù)據(jù)處理和工作部署實施的自動化程度大大增強，有效提高了等級保護工作的效率。