[等级保护建设方法分析] 等级保护建设工程师

　　如何跨出等级保护建设的第一步？中国的关键行业用户都面临着这一难题，中国长城资产管理公司同样如此。 　　 　　对系统自我定级 　　 　　长城资产管理公司是国有独资的金融企业，在业务高速发展的同时，一直非常重视信息安全体系的建设，早期已经部署了 “老三样”信息安全产品，即网络防病毒、防火墙和网络入侵检测产品，对保障业务系统的安全正常运转起到了重要作用。
　　公司综合经营管理系统经过四期建设，实现了数据集中和管理集中，为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。
　　根据《信息系统安全等级保护定级指南》中对信息系统的要求，长城资产管理公司考虑到综合经营管理系统是公司的核心业务系统，一旦受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，因此，公司确定首要的工作是设定系统的保护级别。经过综合审核，最终将系统保护级别定为3级，并形成了等级保护定级报告，这在资产管理公司里属于首家。
　　
　　对定级进行测评
　　
　　系统定级之后，公司做了备案，同时申请等级保护的主管单位进行现场测评。北京等级保护办公室作为这次测评的主管和实施单位，根据等级保护3级基本要求对综合经营管理系统进行测评。现场测评工作主要包括跟综合经营管理系统相关的各个层面，在网络层面进行网络设备安全配置检查和安全系统部署；在主机层面进行主机系统的安全配置检查和数据库系统安全检查；在数据安全方面进行了数据完整性、机密性和可用性的检查;在管理方面进行安全策略、安全组织以及人员的检查，同时对信息部门领导和相关人员以及公司的人力资源部门相关人员做了详细的访谈。涉及方面之广，检查粒度之细都是其他专门的安全项目所无法比拟的，对公司整个信息安全建设指明了方向，细化了要求，加强了安全体系建设，提升了人员的信息安全意识，规范了信息安全工作流程。
　　但是，在现场的测评工作当中也出现了一些问题，主要来自两方面：一是发现了公司在信息安全建设中的“短板”，明确了工作重点和方向；二是发现基本要求中的个别条款的要求过于“苛刻”――单纯从技术上来看是可行的，但是如果结合公司的业务，就不是特别合理，因为需要对现有运行的业务进行很大的改造,甚至涉及到对底层操作系统的改造。
　　最后，在北京等级保护办公室的监督、指导下，公司加强了安全管理，调整个别不符合项目，最终通过了等级保护3级测评。
　　
　　建设等级保护平台
　　
　　在2008年的《信息系统安全等级保护基本要求（报批稿）》中，对3级系统明确规定“需要建立监控管理和安全管理中心”，总体目标是按照国家对信息系统实行等级保护的政策要求，利用安管平台实现风险管理。
　　长城资产公司信息系统风险监控与等级保护平台建设完成后主要取得了两大成效：第一，根据等级保护的3级基本要求，公司有选择地部署了入侵检测防御系统、多功能安全网关、网络安全审计、漏洞扫描系统和网络防病毒系统等，通过平台实现对异构系统的统一事件收集存储和管理，该平台完全符合3级等级保护的基本要求。第二，平台进行风险管理的过程和结果是“可知-可识-可知识”风险管理方法论的最佳实践。通过平台可以及时发现风险，然后才能进一步识别风险，得到关键资产和业务域的高风险清单，之后利用已有知识或借助外援降低风险到可以接受的水平，最后将成功经验入库，作为以后进行风险管理的参考，这样就完成了对风险的螺旋式上升管理。