1.1背景
随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
等级保护工作的开展,存在信息系统管理弱,定级备案管理松散,整改建设落实不力,等级测评得不到有效管理等问题。此时迫切需要一个管理平台,作为信息系统等级保护开展的支撑工具,为信息系统运营单位、使用单位、安全服务机构、重要行业的主管部门以及国家信息安全监管机构等部门,提供展开常态化的等级保护工作支撑平台。
等级保护管理平台是一套用于信息系统等级保护工作全周期管理的基础平台。系统围绕我国等级保护相关政策及信息系统安全等级保护基本要求,实现对信息系统的定级备案、等级测评、建设整改、安全自查等核心标准等级保护工作环节的监督控制管理,是信息安全等级保护工作顺利开展和完成不可或缺的保障。
2.1严格遵循国家等级保护管理政策法规和标准
等级保护管理平台严格遵循国家制定关于等级保护管理相关的政策法规和标准,以《信息安全等级保护管理办法》为指导,遵照《信息安全技术-信息系统安全等级保护实施指南》、《信息安全技术-信息系统安全等级保护定级指南》、《信息安全技术-信息系统安全等级保护基本要求》、《信息安全技术-信息系统安全等级保护测评过程指南》,完全符合国家对等级保护相关工作的规定和要求。
2.2对等级保护工作周期管理
等级保护管理平台能对信息系统生命周期进行管理,包括信息系统在建、投运、变更、退运的管理;统一、集中企业所有信息系统数据;并围绕信息系统来开展等级保护工作。
图2:信息系统生命周期管理
2.3对等级保护工作周期管理
等级保护管理平台实现了对等级保护工作过程全周期管理。遵照国家有关信息安全等级保护政策规定和技术标准规范,紧密结合企业信息化发展,平台涵盖了等级保护工作过程中的定级、备案、整改建设、等级测评等各个环节,确保企业信息安全等级保护体系建设工作的有效推进。
图3:等级保护工作环节
2.4支撑等级保护工作开展的强有力工具
等级保护管理平台为等级保护工作的开展提供了一个有力的支撑工具:
通过定级备案管理,根据业务信息安全和系统服务安全级别,自动生成保护基线。经上级审批通过后,自动生成符合公安机关备案要求的《信息系统安全等级保护备案表》,可直接提交公安机关备案。
通过等级测评管理,可对测评机构、测评人员、测评活动进行管理。测评活动细化到每个信息系统所对应保护基线下的测评指标。
图4:等级保护测评指标
通过整改建设管理,依据测评结果,自动生成整改需求。不仅支持按信息系统进行整改,同时支持按安全域整改,自动合并多个系统需整改指标开展整改。
图5:按安全域进行整改
2.5等级保护工作查询与统计分析
等级保护管理平台提供系统定级情况、备案情况、测评情况、整改情况等条件的统计分析功能。通过信息数据的汇总分析,以图表形式直观展现企业的等级保护工作开展情况。
图6:信息系统定级情况
其中,在测评情况的统计功能中,可全局分析存在薄弱项、有待加固的安全域,并支持各安全域的部分符合/不符合明细项的下钻分析。
图7:等级测评情况统计
同时平台还支持集团统计汇总下级单位的等级保护情况,为集团指导和监督下级单位的定级备案、测评、整改等工作提供服务。
2.6支持分级管理,满足各种管理要求
等级保护管理平台支持分级管理功能。通过可配置的角色管理,对功能权限和数据权限进行划分;不同角色用户仅能调用相应的功能模块,访问授权的业务数据;针对不同级别的单位,分配不同的用户角色,以满足各类型企业单位对管理分级的要求。
图8:等级保护管理平台分级管理
2.7大集中化实施部署和管理
等级保护管理平台采用的是B/S富客户端架构,可以进行大集中化实施部署和管理,企业下属各单位可直接登录系统展开等级保护工作,满足等级保护自上而下的一体化的管理需求,实现等级保护自动化和一体化的目标。
图9:等级保护管理平台架构
等级保护管理平台实现了对企业所有信息系统生命周期的管理,围绕信息系统开展等级保护工作。对等级保护基础数据实现集中存储和管理,保证了数据的完整性和一致性,为等级保护工作的开展提供了可靠的数据支持。通过数据的集中管理与统计分析,使得数据处理和工作部署实施的自动化程度大大增强,有效提高了等级保护工作的效率。
