四、系統(tǒng)特點和成效

目前，借助啟明星辰公司提供的信息安全等級保護平臺，公司可以通過IP資產(chǎn)與業(yè)務(wù)域管理、信息安全事件管理、IP資產(chǎn)脆弱性管理、信息安全風險監(jiān)控、用戶與權(quán)限管理、信息安全知識庫管理等模塊實現(xiàn)信息安全事件的集中響應(yīng)和處理，并高效整合各種安全設(shè)備和系統(tǒng)。

長城資產(chǎn)公司信息系統(tǒng)風險監(jiān)控與等級保護平臺建設(shè)完成后主要取得了兩大成效。

第一，根據(jù)等級保護的3級基本要求，公司有選擇地部署了入侵檢測防御系統(tǒng)、多功能安全網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計、漏洞掃描系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等，通過平臺實現(xiàn)的對異構(gòu)系統(tǒng)的統(tǒng)一事件收集存儲和管理，該平臺跟等級保護要求具有很高的符合度，在很大程度上滿足了等級保護3級基本要求。

第二，平臺進行風險管理的過程和結(jié)果是"可知-可識-可知識"風險管理方法論的最佳實踐。通過平臺可以及時發(fā)現(xiàn)風險，然后才能進一步識別風險，得到關(guān)鍵資產(chǎn)和業(yè)務(wù)域的高風險清單，之后利用已有知識或借助外援降低風險到可以接受的水平，最后將成功經(jīng)驗入庫，作為以后進行風險管理的參考，這樣就完成了對風險的螺旋式上升管理。

五、結(jié)論

信息系統(tǒng)等級保護將是我國重點行業(yè)將來建設(shè)信息安全保障體系，進行風險管理的重要參考依據(jù)。

啟明星辰承建的長城資產(chǎn)信息系統(tǒng)風險監(jiān)控與等級保護平臺，將國家等級保護要求融入平臺建設(shè)實踐，結(jié)合自身特點，進行了有益嘗試。系統(tǒng)上線后，一直平穩(wěn)運行，基本實現(xiàn)了預期目標，提高了公司的風險管理力度，隨著項目建設(shè)的不斷深入，平臺也將更趨于完善。

yajing