[构建等级保护体系]信息系统安全等级保护体系框架最新

　　等级保护是一种建立公司信息安全体系的方法，也是一个持续改进的过程，如何对公司的信息资产进行更合理的等级划分，进而制定切实可行的保护策略并贯彻实施，将是券商长期的工作。
　　证券业是无纸化的行业，证券业务完全是依赖信息系统完成的。中国证券市场从诞生、发展到现在仅仅十几年时间，但由于技术起点高，中国证券业的信息化建设已达到了较高水平。
　　随着我国证券业信息化的加速建设，信息系统规模越来越大，信息资产急剧增加，如何对这些资产进行有效管理，对其实施不同级别的安全保护将是证券业面临的巨大挑战。同时，信息系统内部采集、存储、传输、处理的信息量越来越大，对证券信息系统及其网络的依赖性更强，必须保证数据的安全采集、安全存储、安全传输和安全处理。来自互联网的威胁、网上交易潜在的威胁等都是值得我们关注的问题。
　　中国银河证券是国内大型券商之一，全国有167家营业部，分布在全国56个城市，客户达到300多万。可想而知，银河证券的信息系统也是十分庞大的。因此，银河证券的信息安全保障工作也是十分艰巨的。
　　
　　构建安全体系
　　
　　目前，银河证券的安全保障体系已经初步建立并在不断完善中。公司已经制定并发布了总体的安全策略文件。公司的信息安全体系文件是信息安全工作的内部“法规”、实际工作的标准、内部培训和审核的依据。信息安全体系建设过程中文件的创建工作是十分艰巨的，所以制定适合公司实际情况的信息安全体系文件是重点工作。策略文件包含建立信息安全体系的方针与目标文件、风险评估方法描述文件、文件控制程序、内部审核程序等文件。相关文件都应符和相应的标准。
　　信息安全体系是一个“人工系统”，需要组织管理才能运行。在安全组织体系建设中，银河证券建立了信息安全管理机构――信息安全工作领导小组。信息安全工作由主管公司信息系统的公司领导负责，工作小组由信息技术中心领导牵头，成员由各部门指定人员组成，形成了高层、中层、操作层的层次化管理。管理机构负责定义信息安全体系方针和目标、定义风险评估方法、创建体系文件、执行风险评估、制定风险处理计划、选择和实施控制措施、评审及改进等工作。
　　在信息安全体系建设的技术层面上，银河证券已具有了相当的技术实力。IDS、防病毒、补丁分发、网络加固、监控系统、垃圾邮件网关等技术的应用很好地保证了信息系统的安全。另外，公司聘请信息安全顾问服务提供厂商，提供7×24小时信息安全解决方案和应急服务。通过厂商的专业服务银河证券信息安全工作得到很大改观。
　　信息安全制度的实施十分关键，公司管理机构高度重视，加大了执行力度，并且计划将绩效考核与员工对相关制度的执行情况挂钩。同时，公司计划通过内部审核等手段来评估、完善相关制度。
　　
　　集中管理与分散交易
　　
　　银河证券在信息安全保证体系建设中注重对关键业务系统的高等级保护。
　　首先，对公司所有的信息资产进行彻底清查，为公司资产的等级化划分及制定、实施相应的保护策略提供了第一手资料，可以说这是对公司信息资产实施等级保护的基础工作。
　　第二，公司正在实施大集中项目建设。目前由于历史的原因，公司的业务模式一直是以营业部为中心运营，各营业部采用不同的软硬件平台和交易系统，客户的交易数据全放在营业部，客户的股票和资金全部由营业部自行管理，每个营业部直接将客户的委托上报交易所。应该讲，这种业务模式在市场发展的初级阶段是合理的、有效的。但随着证券市场业务多样化、监管规范化，市场竞争更加激烈，这种模式的弊端就日益显现出来，特别是这种模式存在资源分散、重复建设、安全漏洞和系统风险大、缺乏行之有效的管理和监控手段等问题。
　　证券公司的IT系统是推动业务转型、推动客户服务的重要基石，建立集约化管理、集中式证券交易系统已经成为业界共同的目标。
　　银河证券大集中交易总体目标是实现“集中管理、分散交易”。在总部设立集中的业务管理中心，承担所有营业部的业务管理、清算等职能。营业部剥离管理功能，形成以委托交易、营销服务为主的交易通道功能。
　　采用这种方案不仅实现了银河这样大型证券公司大集中交易的各项目标，同时又不受客户规模的影响，出现故障时能把损失减少到最小。各个交易中心可以在和总部通信中断的情况下，不影响进行本地委托交易。某个交易中心的故障不会影响到其他交易中心。简单地说，就是前台仅负责实时交易，后台负责统一清算、统一账户管理、统一客户管理、第三方存管等工作。
　　通过大集中项目，将公司的核心数据集中到总部统一管理，这样不仅做到了核心资产的集中管理和监控，同时也做到了风险控制点的集中管理，而且公司的集中模式并不会因为集中带来更大的风险。这样就突出了公司最核心的等级保护级别，从而制定了针对此核心保护级别的保护策略。
　　
　　实现两网分离
　　
　　另外，公司还实施了两网分离项目。在项目实施之前，办公网和业务网没有分开，办公网主机的问题很容易影响到业务网，例如办公网的主机感染病毒，就很容易影响业务主机。同时没有一个统一的IP地址规划，一旦病毒等问题出现，就很难快速地对病毒做控制，因为即使针对的是同一项业务，也不能做统一的策略，必须对各个营业部分别采取措施，这需要花费大量的时间，而且不易实施，往往在控制病毒的同时也将一些正常的业务控制住了，影响了正常的业务开展。
　　公司的业务网是公司的核心网络，它的安全等级要比办公网高得多，所以通过将业务网和办公网分离，实施对业务网更高的保护级别达到保障公司关键业务的安全稳定运行。这样，当公司办公网出现问题时，不会影响到业务网，而一旦业务网出现问题，可以切换到办公网，保证业务运行。通过两网分离，加强了业务网的安全性，同时在连接办公网的路由器上可以增加访问控制列表，使营业部的办公网只能访问总部的办公网，如果营业部的办公主机想访问本营业部的业务网，可以通过中间件来进行。
　　项目实施后，完全达到了项目的要求，有利于公司根据两网的不同特征制定不同的策略，实现不同的安全级别，从而使公司业务网达到了更高的保护级别，使业务系统运行更加稳定、安全，防止办公网的问题影响业务网。同时在实施过程中，通过及时调整业务网和办公网的划分及访问控制列表，达到了持续改进的目的。
　　链接：何为风险评估？
　　风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。
　　在风险评估中，考虑的主要因素包括: 信息资产及其价值、对这些资产的威胁、它们发生的可能性、薄弱点、已有的安全控制措施等。
　　风险评估的基本流程是: 首先，按照企业商务运作流程进行信息资产识别，并根据估价原则对信息资产进行估价; 然后，根据资产所处的环境进行威胁识别与评价; 接着，对应每一个威胁，对资产或组织存在的薄弱点进行识别与评价; 然后，对已采取的安全控制进行确认; 最后，建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。
　　风险评估的形式按照评估实施者的不同，可将风险评估形式分为自评估和检查评估两大类。 自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。 检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。