一、等级保护的背景和意义

　　随着全球信息化进程的不断推进，我国政府部门和各行各业也在进行大量信息系统的建设。如何全面有效地解决信息化建设中的安全问题，是国内外信息安全界多年来一直关注的焦点。借鉴国外先进经验，结合我国国情，信息安全领域有关部门和专家学者普遍认为，计算机信息网络建设和使用单位应根据其单位的重要程度、网络的重要程度、信息的重要程度、系统遭到攻击破坏后造成的危害程度等因素，依据国家规定的等级划分标准设定其保护等级，自主进行网络安全建设和安全管理，提高安全保护的科学性、整体性、实用性。
　　经党中央和国务院批准，国家信息化领导小组正式提出加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，抓紧信息安全等级保护制度的建设。2004年，四部委联合签发的《关于信息安全等级保护工作的实施意见》标志着信息安全等级保护成为国家信息安全保障的一项基本制度，为了进一步落实等级保护制度，有效地提高我国信息和信息系统安全建设的整体水平，国家相关部门还发布了等级保护的政策法规，并制定了一系列技术标准。
为了全面贯彻落实信息安全等级保护制度，自2007年7月起，相关部门在全国范围内组织开展了重要信息系统安全等级保护定级工作，我国政府部门、企事业单位、研究机构以及国家重要行业中运营和使用的信息系统多被定级为等级保护中的二级、三级和四级信息系统。至2009年初，大多数信息系统已经完成定级备案工作，在此基础上，公安部要求在2012年完成已定级备案系统的建设整改工作。目前，大多数单位正处于按照国家政策要求和相关标准进行等级保护建设整改的阶段，需要解决包括信息系统安全调研、现状分析、安全评估、等级保护建设、等级保护整改、信息安全产品选择、信息安全管理制度建立和合理应用等诸多问题。

二、等级保护实施的基本流程

　　由于信息安全等级保护建设是一项国家强制性的基本制度，同时，建设过程有相应的政策法规和技术标准进行约束和指导，因此，必须按照一定的建设流程完成信息安全等级保护建设整改。

2.1 等级保护实施基本流程

　　等级保护实施的基本流程如下图所示。

2.2 等级保护实施基本流程

　　对应基本流程，等级保护建设整改的具体流程和各阶段的解决方法如下图所示。

三、信息系统建设整改解决方案设计

3.1 设计原则

　　中软华泰在进行等保建设整改方案设计时遵循以下原则：
1）严格遵循国家在等级保护方面的有关政策法规和技术标准；
2）通过对信息系统进行细致的调研，根据等级保护相关标准和系统的安全需求，建设满足系统自身实际要求的等保体系；
3）设计的整改方案必须要完整、有效、具有可操作性；
4）先整体规划建设流程，再分步实施；
5）为便于技术方案实施，确保建设整改过程对业务应用的影响最小化。

3.2 涵盖内容

　　中软华泰设计的建设整改方案中主要涵盖下图所示的内容。 方案的设计依据是国家等级保护的政策法规和技术标准。
整改需求分析过程需要先细致调研，分析系统安全现状，然后参照“信息系统安全等级保护基本要求”和实际安全需求进行写。

　　方案的总体规划是对整体建设方案的把握，我们以“信息系统等级保护安全设计要求”为指导进行总体设计。“设计要求”的核心是“一个中心，三重防护”体系，即构筑由安全管理中心统一管理下的安全计算环境、安全区域边界、安全通信网络三重防御体系，如下图所示。

　　方案详细设计部分主要参照信息系统组成部分的等级保护技术标准,如服务器,操作系统,数据库,网络基础等的安全技术要求。
　　管理体系设计主要参照“信息系统安全管理要求”。
　　在上述工作的基础上，最后考虑设备的选型和具体的工程实施设计。设备选型时应考虑采用具有我国自主知识产权，并具有相应安全资质的产品。我们公司以“主动防御、内外兼防”为防护理念，采用“以可信计算为基础，访问控制为核心”的先进技术体系，辅以安全管理，开发了一系列安全产品。这些产品能够实现授权用户“进不来”、“拿不走”、“看不懂”、“改不了”、“赖不掉”的安全效果，以防内为主，内外兼防，提高了计算结点自身的防护能力，并且易于部署，较好地符合等级保护建设整改的需求。

3.3 建设目标

　　中软华泰设计的信息系统建设整改方案用来指导系统的建设过程，主要实现两个建设目标：一是使建设整改后的系统能够满足“信息系统安全等级保护基本要求”，即满足国家对信息系统等级保护的统一规范要求；另一个重要目标是使整改后的信息系统能够满足实际的安全需求，能够应对越来越多的安全威胁，保护信息系统的机密性，完整性和可用性。
　　中软华泰在整改方案设计过程中，会尽量节约用户成本，充分利用用户单位已有的信息安全基础设施，形成一套完整的适合用户单位的信息安全等级保护建设整改方案，力争为用户单位有效落实等级保护建设要求、提出有建设意义的安全技术及管理制度，使其最终顺利通过国家要求的信息安全等级保护评测过程。