四、系統(tǒng)特點(diǎn)和成效

目前，借助啟明星辰公司提供的信息安全等級保護(hù)平臺，公司可以通過IP資產(chǎn)與業(yè)務(wù)域管理、信息安全事件管理、IP資產(chǎn)脆弱性管理、信息安全風(fēng)險(xiǎn)監(jiān)控、用戶與權(quán)限管理、信息安全知識庫管理等模塊實(shí)現(xiàn)信息安全事件的集中響應(yīng)和處理，并高效整合各種安全設(shè)備和系統(tǒng)。

長城資產(chǎn)公司信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)控與等級保護(hù)平臺建設(shè)完成后主要取得了兩大成效。

第一，根據(jù)等級保護(hù)的3級基本要求，公司有選擇地部署了入侵檢測防御系統(tǒng)、多功能安全網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)、漏洞掃描系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等，通過平臺實(shí)現(xiàn)的對異構(gòu)系統(tǒng)的統(tǒng)一事件收集存儲和管理，該平臺跟等級保護(hù)要求具有很高的符合度，在很大程度上滿足了等級保護(hù)3級基本要求。

第二，平臺進(jìn)行風(fēng)險(xiǎn)管理的過程和結(jié)果是"可知-可識-可知識"風(fēng)險(xiǎn)管理方法論的最佳實(shí)踐。通過平臺可以及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，然后才能進(jìn)一步識別風(fēng)險(xiǎn)，得到關(guān)鍵資產(chǎn)和業(yè)務(wù)域的高風(fēng)險(xiǎn)清單，之后利用已有知識或借助外援降低風(fēng)險(xiǎn)到可以接受的水平，最后將成功經(jīng)驗(yàn)入庫，作為以后進(jìn)行風(fēng)險(xiǎn)管理的參考，這樣就完成了對風(fēng)險(xiǎn)的螺旋式上升管理。

五、結(jié)論

信息系統(tǒng)等級保護(hù)將是我國重點(diǎn)行業(yè)將來建設(shè)信息安全保障體系，進(jìn)行風(fēng)險(xiǎn)管理的重要參考依據(jù)。

啟明星辰承建的長城資產(chǎn)信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)控與等級保護(hù)平臺，將國家等級保護(hù)要求融入平臺建設(shè)實(shí)踐，結(jié)合自身特點(diǎn)，進(jìn)行了有益嘗試。系統(tǒng)上線后，一直平穩(wěn)運(yùn)行，基本實(shí)現(xiàn)了預(yù)期目標(biāo)，提高了公司的風(fēng)險(xiǎn)管理力度，隨著項(xiàng)目建設(shè)的不斷深入，平臺也將更趨于完善。

yajing