某大型国有企业对信息安全一直有较高的要求，目标是建成完善的资产监督管理信息系统，有效履行企业资产监督管理职责，提高资产监管质量；解决业务协同与信息共享；及时准确掌握资产整体状况，分析变动原因；从而更好地推进企业经济布局和战略性调整，实现资产的保值增值。

　　目前该大型国有企业已开展了一期建设，其阶段性目标为：通过整合已有资源，完善局域网，建设企业监督管理系统。

　　随着项目的进一步推进，根据总部的统一规划和设计，考虑总部的同步建设同时，也必须按照等级保护的思想和方法进行安全系统的设计。

　　方案背景

　　该项目是基于国务院和国有资产监督管理委员关于建成完善的国有资产监督管理信息系统，有效履行国有资产监督管理职责，使权利、义务与责任相统一，资产与管人、管事相结合，同时提高资产监管质量；解决国有资产监管过程中的业务协同与信息共享的大背景下推动成立的；它的建设为及时准确掌握国有资产整体状况，分析变动原因、判断经济发展走势；从而更好地推进国有经济布局和战略性调整，实现国有资产的保值增值打下坚实基础。

　　安全需求

　　作为国家重要的国有企业，该资产监管系统的安全建设必须遵循等级保护的建设方法和标准，同时还需要切实保障业务，提升应用的持续性和安全性。因此该企业的安全建设存在两个层面的安全需求；

　　从合规性的角度，必须按照等级保护的建设方法和标准，从网络安全、主机安全、应用安全和数据安全四个层面，进行全面的安全建设和规划，根据保护对象的等级，选择实施相对强度的技术措施。

　　从保障自身安全性的角度，应当重点考虑的威胁因素包括：互联网黑客的恶意攻击、恶意代码传播、对应用系统非法访问、数据意外破坏、内网与外网隔离交换等，需要从整体上进行设计和规划。

　　设计思路

　　针对以上信息系统的安全需求，和安全建设的总体框架，对该企业信息系统的安全保障主要集中在信息安全建设方面，信息系统的安全包含两个方面，一是信息安全，在本方案中就是对应用系统和数据方面的安全保障；二是信息系统的安全，即针对基础平台的安全防护，通过提升基础支撑平台的抗攻击能力，来提升信息系统的抗攻击能力，同时也满足信息系统对等级保护的基本技术要求和自身安全防护的需求。

　　按照"网络隔离、分域防护、多层保护、安全管理"的原则，确保系统安全、高效、可靠运行。

　　方案设计参考国内外主流标准及实践经验，遵循国家信息安全政策，本着整合化、立体化、经济化原则，注重先进性、实用性、扩展性和可操作性，采用技术、管理和服务三结合的方式，构建全方位、多层次、动态协同的整体性安全防护架构，满足未来长时间的业务发展信息保障战略要求。

　　方案设计

　　解决方案包含了基础防护系统、应用安全支撑系统以及安全管理三个方面。

　　-基础防护系统

　　常见的基础防护系统包括防火墙、入侵检测、入侵防护、防病毒、服务器核心防护、终端安全防护、漏洞扫描、网络审计、抗拒绝服务攻击系统等，实现从边界防护、到内网安全、到终端行为、到关键服务器的较为全面的安全保护，其目的是通过加强企业网络系统的安全强度，为网络支撑的应用系统提供安全、可靠的运行环境，从而最终保护应用系统的安全性，本方案依据该国有企业资产管理系统在企业内、外网物理分布和系统特点，以及各个区域的信息资产、运行状况的实际情况分别进行了设计。

　　-应用安全支撑系统

　　该安全支撑平台的核心内容就是建立完整的CA中心,实现身份的集中分发和统一鉴别,并且与应用系统紧密结合起来,实现高可靠的安全访问

　　-安全管理规划

　　本方案按照3级（定级对象的最高级别）组织并建设该国有企业资产管理信息系统的安全管理体系，从安全管理制度、安全管理机构、人员安全管理、系统建设管理和安全运维管理几个方面，全面提升系统的安全防护能力

　　部署措施

　　资产管理监控系统信息外网部署示意图

　　资产管理监控系统信息内网部署示意图

　　方案效果

　　满足公司等级保护的技术需要：本方案设计参照国家公安部关于《信息系统安全等级保护基本要求》，从物理环境、网络层、主机层、应用层等综合考虑设计，在重要的并且是容易发生安全事件的数据中心边界、互联网边界，综合采用了访问控制、监测和审计措施，形成多层次的保护。完全满足公司等级保护建设的技术需要。

　　满足公司等级保护的管理需要：根据定级建议和安全管理的"就高原则"，本方案我们总体按照3级的要求进行了规划，针对全网实现的安全管理保障包括：安全策略规划、安全组织规划、安全制度规划、安全运营系统规划建设。

　　符合自身安全防护需求：通过基础安全防护措施建设，如建设IDS监控系统，边界防火墙,统一的病毒防护系统以及CA集中认证系统，完全满足公司现阶段的业务安全防护需要。

文章作者：国脉电子政务网