● 摘要
信息系统安全等级保护是国家推行的信息安全保障基本制度之一。随着信息化建设不断深入,信息技术应用已渗透到企业的每一项业务,业务对信息系统的依赖程度越来越高,其基础性、全局性、全员性作用日益增强。信息化是一把“双刃剑”,为企业提高工作效率和管理水平、增强竞争能力等方面收到益处的同时,也为企业带来了安全风险。提升企业信息系统安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,成为信息化工作的新任务。本论文依据相关安全等级保护标准和规范,针对大型船企信息系统的系统资产、系统面临的威胁、系统自身的脆弱性、现有安全措施等进行了详细分析,从物理环境安全、网络安全改造、主机安全改造、应用安全改造、数据安全、商密网接口等方面提出了系统定级和评估意见。并通过安全需求、安全建设目标和系统分域保护框架等方面进行了研究与论证,系统地开展等级化安全防护,实施边界、网络、主机及应用逐层递进的纵深防御,规范部署基础安全技术防护措施,完成企业信息系统安全等级保护建设的详细设计及论文研究。整个信息安全等级保护设计方案已通过了企业信息安全负责人和安全专家的会议评审, 该项目的安全产品已基本完成了安装和调试工作,并实施了安全自评估,保证系统在安全技术方面达到等级保护三级的要求。该项目实施和自评估的完成,提高了大型船舶制造企业信息安全管理水平,提升了用户对IT服务的满意度,降低运维成本,对加快信息融合起到了促进作用。由于该项目实施周期短,本人认为大型船企核心应用系统安全改造和安全管理方面的前期调研有些不足,仍需进行细化设计,进一步以提高核心业务的连续可用性、不可否认性、完整性,有力保障业务系统拓展与经营管理。