企業網絡安全等級保護制度建設

前言：尋找寫作靈感？中文期刊網用心挑選的企業網絡安全等級保護制度建設，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:《網絡安全法》第二十一條規定：“國家實行網絡安全等級保護制度”。網絡安全等級保護制度從法律意義上成為國家網絡安全工作的基本制度?？辈煸O計集團企業在網絡安全等級保護方面做了大量實踐，對整個行業的信息安全工作起到了促進作用。本文簡要介紹了網絡安全等級保護制度重要性，通過勘察設計集團企業網絡安全等級保護工作實踐以及典型案例，總結經驗，分析不足并提出了相關建議，以期能對本行業信息系統安全防護的進一步研究應用提供參考。

關鍵詞:勘察設計集團企業;網絡安全等級;保護

1網絡安全等級保護制度重要性

近年來，在黨中央、國務院高度重視和各有關方面協調配合、共同努力下，我國信息安全等級保護工作取得了很大進展?？辈煸O計集團企業在信息化建設的同時，實行信息安全等級保護制度，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于明確企業信息系統管理部門和各個業務部門的安全責任，共同落實各項安全建設和安全管理措施，提高整體企業的安全保護水平，保障業務信息系統安全正常運行，保障信息安全，進而保障各部門和單位的職能安全、高速、高效地運轉；有利于提升企業在市場上的競爭力。

2勘察設計集團企業網絡安全等級保護制度建設

網絡安全等級保護是我國信息安全保障的基本制度，是網絡空間保障體系的重要支撐，是應對強敵APT的有效措施。通過對信息系統實行分等級安全防護、對信息安全產品實行按等級管理、對安全事件分等級響應來落地網絡安全等級保護制度。信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。某勘察設計集團企業認真貫徹國家信息安全等級保護制度，初步建立了實用的網絡安全保障體系，保障信息系統的安全穩定運行，使勘察設計集團企業的信息安全保障能力顯著提高。在網絡安全等級保護工作實踐中，我們開展了如下工作：

2.1以網絡安全等級保護工作為契機，積極梳理業務系統并定級備案

依據國資委相關信息化會議精神，某勘察設計集團企業對企業信息系統全面梳理并進行了定級備案、差距分析及安全整改等工作。參照國家規定的等級劃分標準，對鐵路專業知識庫管理系統等九個主要系統進行定級備案評，按照信息系統安全等級保護管理要求，確定整體信息系統的保護等級，并提出整改意見報告，實現對重要信息系統的重點安全保障，推進了信息安全保護工作的規范化、法制化建設，有效體現“適度安全、保護重點”的思想，將有限的財力、物力、人力投入到重要信息系統安全保護中，改變傳統的安全管理“頭痛醫頭、腳痛醫腳”的情況。同時，隨著集團企業的信息化發展，對定級過高、過低的情況進行糾正，并及時進行安全整改。

2.2以網絡安全等級保護工作為抓手，全面推動企業網絡安全風險評估

某勘察設計集團企業以網絡安全等級保護工作為抓手，定期開展信息系統安全風險評估，完善網絡安全整體解決方案，建立安全技術保障體系、安全管理保障體貼和安全運維保障體系。通過對系統的信息資產進行調查；參考國家、國資委及勘察設計行業標準對信息系統進行安全級別劃分；采用各種方式對信息系統進行全面評估；根據風險評估結果，參考通用標準基本要求設計短期解決方案及長期的安全規劃。

2.3以網絡安全等級保護工作為重點，建立重要信息系統應急處置預案，完善災難恢復機制

在網絡與信息安全領導小組的領導下，網監辦堅持日常管理與應急響應相結合，形成“統一指揮、協調聯動、專業處置、溝通順暢、反應靈敏、運轉高效”的保障和應急處置預案。制定一系列與網絡安全相關的應急預案。每年都組織信息安全相關的應急演練，根據預案模擬信息系統可能遇到的安全事故，按照應急響應流程對安全事故進行處理，在應急響應演練結束之后，針對應急響應工作過程中遇到的問題，分析應急響應預案的科學性和合理性，針對預案中的問題向網絡與信息安全領導小組提出修改建議。

2.4以網絡安全等級保護工作為基礎，強化網絡安全運維中心，建立安全運維監控機制

從運維的角度思考信息安全問題，以業務驅動為導向，堅持從實踐中來、到實踐中去的原則，探尋集團企業運行、管理中存在的信息安全問題。某勘察設計集團企業推行基于ITIL的安全運維體系，規范日常安全運維管理，建立健全信息安全監測預警體系，變"為運維而運維"為“為用戶而運維”的管理理念。適應新形勢對信息系統建設提出了“為員工提供更加優質安全運維”的新目標。通過維護熱線、信息技術人員電話方式及上門服務等方式為員工遇到的安全問題提供解答，并解決。通過網絡運行狀態、信息系統安全數據匯集、安全監測分析功能和安全管理流程的有機結合，實現某勘察設計集團企業信息安全事件分析、風險分析、應急響應處理一體化的技術支撐能力。通過將安全管理組織、安全運維流程和安全監測三方面有機結合，實現事前預警、事中處置、事后追溯的信息安全閉環運行機制，為某勘察設計集團企業信息安全保障奠定了良好基礎。

3勘察設計集團企業網絡安全等級保護工作典型案例

近年來，某勘察設計集團企業進一步重視企業網信工作，尤其在局域網建設和海外項目信息安全方面開展了卓有成效的工作。

3.1企業域網安全接入平臺建設

某勘察設計集團企業針對局域網接入控制手段的不足以及計算機終端不能集中管控的情況，通過對企業的局域網安全現狀進行分析，網絡安全部門對當前業界主流的網絡接入安全管理技術進行了研究，于2014年底購買引進了局域網安全接入平臺系統，能夠對終端設備的安全接入、安全使用、硬件資源配置和網絡訪問權限進行有效的管理。經過近2年時間的精心測試和細致準備，于2016年底在某勘察設計集團企業總部全面完成局域網安全接入管理系統的部署和應用，極大地提升了某勘察設計集團企業網絡及信息安全的整體防護能力。

3.2海外高鐵項目網絡信息安全建設管理

針對海外高鐵項目所面臨的網絡信息安全風險，某勘察設計集團企業向國安廳、中國電子科技集團等網絡安全相關單位和公司進行咨詢，為海外高鐵項目的設計工作提供信息安全保障。根據工作需要，基于大型集團企業的商業機密及國家安全戰略的高度考慮，需要對項目現場的辦公網絡及項目部與集團總部兩地的辦公通信業務進行安全保護，防止相關信息被竊聽、竊取。我們主要從管理和技術兩方面加強網絡安全防護。首先，從管理方面，由網絡安全部門派遣信息安全管理員加入項目部專門負責網絡安全防護工作。在信息安全管理員協助下，項目部制定并了《海外項目部信息安全保密管理制度》，并通過周例會等多種方式對制度進行宣貫，提升項目部全員的信息安全意識。其次，從技術方面，根據項目部辦公區分散在不同樓宇的實際情況，制定了單獨部署有線光纖局域網的方案。海外高鐵項目網絡信息安全管理的實施，助力海外高鐵項目安全穩定的推進，為某勘察設計集團企業海外項目信息安全體系建設進行了有益的探索，對于某勘察設計集團企業的核心商業機密的保護和“一帶一路”基礎建設的安全實施起到了積極有效的作用。

4網絡安全等級保護工作存在的不足及改進建議

進過幾年的努力，某勘察設計集團企業信息安全工作形成了以信息安全等級保護制度為核心、信息安全組織為保障，定期梳理信息安全現狀，促進信息安全建設的均衡發展和整體水平提高，做到信息安全工作制度化、規范化、體系化，網絡安全保障能力顯著提高。但是，也同時也存在一些不足。（1）對網絡安全等級保護工作的定位不夠高，對重要信息系統安全保護缺乏足夠的重視。建議把網絡安全等級保護工作定位為“一把手”工程，強化信息安全整體規劃，落實網絡安全責任部門，安全策略動態適時調整；設立網絡安全專項經費，避免重要信息系統安全加固和整改經費嚴重缺乏的問題。（2）重要信息系統未落實關鍵安全保護技術措施，尤其是未落實安全審計措施。建議對集團企業息安全監控審計的需求進行逐一梳理，主要包括網絡監控審計、應用系統監控審計和互聯網輿情監控處置等，并進行逐一落實。

5結束語

面對網絡安全和信息化不斷出現的新形勢和新問題以及勘察設計業務應用的新特點，勘察設計集團企業通過安全管理、安全技術、安全運維等方面保障信息系統安全，自始建至今未出現過大的安全事故，較好地完成了信息系統的安全保障要求，為勘察設計業務的發展提供一個堅實的信息化系統基礎保障的安全保障目標。同時，網絡安全是一個動態過程，不是一勞永逸的結果，即使我們做了很多安全保障工作，也不能確?，F在信息系統的絕對安全，這需要我們與時俱進，不斷加強網絡安全建設。網絡安全是手段，應用才是目的，我們將緊緊圍繞勘察設計核心業務，優化系統支持，深化數據應用，完善IT運維，強化信息安全，推進工作創新，不斷提高信息化安全管理水平，有效發揮職能作用，確保信息系統穩定高效安全運行，為促進勘察設計事業科學發展提供強有力的信息安全保障。

參考文獻

[1]姚洪磊,張彥.鐵路信息安全等級保護技術體系規劃與設計研究[J].警察技術,2014(S1).

[2]中央和國家機關有關部門信息安全等級保護工作經驗摘編[J].信息網絡安全,2011(03).

作者:周元德 龍云 楊曉斌 葉紅兵 劉海蓮 金博文 單位:中國中鐵二院工程集團有限責任公司