一、信息系統安全等級保護建設的必要性

信息系統安全等級保護制度（以下簡稱“等級保護”）作為信息安全系統分級分類保護的一項國家標準，對于完善信息安全法規和標準體系，提高安全建設的整體水平，增強信息系統安全保護的整體性、針對性和時效性具有非常重要的意義。

國家相關部門一直非常重視信息系統的等級保護工作，頒布了一系列相關條例，如國務院頒布的《中華人民共和國計算機信息系統安全保護條例》，公安部等四部委聯合簽發的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）、《信息安全等級保護管理辦法（試行）》（公通字[2006]7號），公安部頒布的《公安部信息系統安全保護等級實施指南（試行稿）（2005年）》，以及北京市實施的《北京市公共服務網絡與信息系統安全管理規定》（市政府第163號令）等。

中國長城資產管理公司（以下簡稱“公司”），作為國有獨資金融企業，在業務高速發展的同時一直非常重視信息安全體系建設，早期已經部署了 “老三樣”，即網絡防病毒、防火墻和網絡入侵檢測，對保障業務系統的安全正常運轉起到了重要作用。

公司綜合經營管理系統經過四期建設，實現了數據集中和管理集中，為公司收購、管理與處置政策性不良資產以及商業化經營等業務的順利開展提供了完整的業務操作平臺。為了更好地保全國有資產，促進國有企業改革，進一步推動國民經濟持續、快速、健康發展，公司希望進一步完善信息系統安全體系建設，規范信息安全管理，提高信息安全保障能力和水平，同時能夠對信息系統安全整體進行審核、評估與完善。

二、確定綜合經營管理系統的保護級別

根據《信息系統安全等級保護定級指南》中對信息系統的要求，考慮到綜合經營管理系統是公司的核心業務系統，一旦受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，因此，將保護級別定為3級，并形成了等級保護定級報告，這在資產管理公司里屬于首家。

三、建設目標

在今年的《信息系統安全等級保護基本要求（報批稿）》中的3級基本要求中明確規定需要建立“監控管理和安全管理中心”，這說明公司的等級保護平臺建設走在了行業的前頭，為相關行業的等級保護測評工作提供了寶貴的經驗。

1、總體目標

建設的總體目標是實現國家對信息系統實行等級保護的政策要求，利用平臺實現風險管理從“可知到可識到可知識”的良性循環。

2、具體目標

平臺建設的具體目標包括：

建立信息系統風險監控及等級保護平臺，將平臺作為維護和管理等級保護測評結果的有力工具。
能夠對公司信息系統的風險進行實時監控。
有效貫徹公安部信息系統等級保護規范。
協助公司進一步提升信息安全水平，保障業務的良好運行。
利用平臺實踐“可知-可識-可知識”的風險管理方法論。

四、系統特點和成效

目前，借助啟明星辰公司提供的信息安全等級保護平臺，公司可以通過IP資產與業務域管理、信息安全事件管理、IP資產脆弱性管理、信息安全風險監控、用戶與權限管理、信息安全知識庫管理等模塊實現信息安全事件的集中響應和處理，并高效整合各種安全設備和系統。

長城資產公司信息系統風險監控與等級保護平臺建設完成后主要取得了兩大成效。

第一，根據等級保護的3級基本要求，公司有選擇地部署了入侵檢測防御系統、多功能安全網關、網絡安全審計、漏洞掃描系統和網絡防病毒系統等，通過平臺實現的對異構系統的統一事件收集存儲和管理，該平臺跟等級保護要求具有很高的符合度，在很大程度上滿足了等級保護3級基本要求。

第二，平臺進行風險管理的過程和結果是“可知-可識-可知識”風險管理方法論的最佳實踐。通過平臺可以及時發現風險，然后才能進一步識別風險，得到關鍵資產和業務域的高風險清單，之后利用已有知識或借助外援降低風險到可以接受的水平，最后將成功經驗入庫，作為以后進行風險管理的參考，這樣就完成了對風險的螺旋式上升管理。

五、結論

信息系統等級保護將是我國重點行業將來建設信息安全保障體系，進行風險管理的重要參考依據。

啟明星辰承建的長城資產信息系統風險監控與等級保護平臺，將國家等級保護要求融入平臺建設實踐，結合自身特點，進行了有益嘗試。系統上線后，一直平穩運行，基本實現了預期目標，提高了公司的風險管理力度，隨著項目建設的不斷深入，平臺也將更趨于完善。