第一篇:习酒等级保护整改要求
习酒等级保护整改要求 一、目的习酒公司官网、OA 办公系统、分销系统、营销系统和防伪溯源系统,5 套系统已分别做二级、三级等级保护评定检测。专业机构通过网络、应用、主机、物理和数据方面检测后,达到网络安全等保测评标准有一定差距。现公司拟对外公开邀标系统集成商做解决方案投标。
二、要求 1、网络的核心部分需用双链路冗余设计,核心交换机和出口防火墙等关键节点采用双节点的方式,保证系统运行的稳定性,从而满足业务高峰的需求。
2、网络内部用户实行上网行为监测管理,要求系统能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查;对内网用户的上网行为进行行为审计,并具备在发现有用户违规访问外部网络时能及时定位用户并阻断其访问的能力。
3、完善入侵检测防御,要求网络能在网络边界处监视各种恶意攻击,并实时记录各种攻击的类型、发生的时间、源 IP 等信息。
4、审计日志要求可进行分析生成报表,且数据至少能留存 6 个月以上。
第二篇:水利部(部机关)等级保护建设整改案例
一、概述
信息系统安全等级保护工作是我国信息安全建设的必要工作,是我国信息安全保障的大势所趋。水利部高度重视网络与信息安全工作,2007年9月初便组织开展水利行业信息系统安全等级保护定级工作,同年12月底全面完成了信息系统等级备案工作。信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查等环节,现已完成定级、备案工作,下一步主要工作是建设整改。根据《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)和水利部工作的实际情况,水利部将水利网络与信息安全系统建设作为水利信息化八大重点工程之一,并列入《全国水利信息化十二五规划》。为此,水利部于2009年开始启动水利部本级政务外网信息系统等级保护整改工作,进一步提高水利部政务外网信息系统的安全保障能力和防护水平,确保网络与信息系统的安全运行。
二、整改目标
完善水利部电子政务外网安全防护体系,不断提高水利部电子政务外网信息系统的安全保障能力和防护水平,确保网络与信息系统的安全稳定运行,达到国家信息安全等级保护相关标准要求。保证水利部业务信息和网络的机密性、完整性、可用性、可控性和可审计性,确保水利部整体达到信息系统第三级安全保护等级。
三、方案设计
(一)方案设计目标
水利部(部机关)等级保护建设整改是根据国家等级保护政策制度的工作方案思路,依照《信息安全技术 信息系统安全等级保护基本要求》(以下简称“《基本要求》”)、参照《信息安全技术 信息系统等级保护安全设计技术要求》(以下简称“《安全设计技术要求》”)等政策标准规范要求,结合水利部业务信息系统的实际情况以及水利部《关于印发水利网络与信息安全体系建设基本技术要求的通知》(水文[2010]190号)相关文件要求编制总体设计方案,用于指导水利部机关安全建设整改工作。方案的总体目标是设计符合水利部实际业务应用、实际网络信息系统运行模式和国家等级保护建设整改工作要求的总体方案,实现水利部机关政务外网的安全保护总体达到信息系统安全保护等级第三级基本要求。
(二)方案设计框架
水利部安全保障体系框架根据等级保护基本要求,参照国内外相关标准,并结合水利部已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。如下图所示:
图1:信息安全保障体系框架图
“三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把等级保护基本要求的控制点结合水利部实际情况形成相适应的体系结构框架;
“一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。
(三)方案编写思路 方案总体思路:
图2:方案编写总体思路
1.信息系统风险评估和等级保护差距
通过采用信息安全风险评估的方法,对水利部机关政务外网信息系统进行全面综合分析,并深化对已经定级、备案的信息系统进行资产、脆弱性、威胁和风险综合分析,在整体网络框架基础上,通过差距分析的方法与等级保护基本要求进行差距分析,形成信息系统等级保护建设整改的整体安全需求。
2.安全保障体系框架和总体安全策略
根据等级保护的整体保护框架,并结合水利部信息安全保障体系建设的实际情况,建立符合水利电子政务系统特性的安全保障体系,分别是安全管理体系、安全技术体系和安全运行体系,并制定各个体系必要的安全设计原则和安全策略。3.安全保障体系总体设计方案
结合水利部机关电子政务外网信息系统的实际应用情况,设计具体安全技术体系控制措施、安全管理体系控制措施和安全运行体系控制措施,其中:
安全管理体系的实现依据《基本要求》,设计了水利部机关政务外网的信息安全组织机构、人员安全管理、安全管理制度、系统建设管理及系统运维管理等控制措施;
安全技术体系的实现一方面重点落实《基本要求》,另一方面采用《安全设计技术要求》的思路和方法设计了安全计算环境、安全区域边界和安全通信网络的控制措施; 安全运行体系的实现根据《基本要求》,设计了符合系统全生命周期的安全需求、安全建设、安全设计与安全运维的运行体系要求,重点阐述了安全运维体系的框架和控制组成。 安全管理中心的实现根据《基本要求》和《安全设计技术要求》,结合水利部机关已经建立的运行保障平台,形成覆盖安全工作管理、安全运维管理、统一安全技术管理于一体的“自动、平台化”的安全管理中心。4.总体实施计划
根据总体设计方案的安全保障体系要求,结合水利部机关安全建设的实际情况,预计将水利部机关政务外网信息安全保障体系建设分成两个阶段,分别是基本整改和深化完善阶段。
四、整改效果
经过安全建设整改后,水利部本级政务外网信息系统将在统一的安全保护策略下,具有抵御大规模、较强恶意攻击的能力;具有抵抗较为严重的自然灾害的能力;具有防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置、并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,具有能快速恢复正常运行状态的能力;具有对系统资源、用户、安全机制等进行集中控管的能力。
水利等级保护整改方案采用了体系化设计思路,强化了“集中”安全管理,强调了安全运维工作。该设计方案得到了等级保护专家的一致认可。目前,根据该设计的全面实施已经完成,并顺利通过等级保护测评,其中三级系统最高符合度评分可达到89%(即89分),二级系统最高符合度评分可达到96%(即96分),成为截至目前国家测评机构部委备案系统等级保护测评分值最高的系统。
第三篇:习酒包装心得体会
包装心得体会
习酒包装四班余小英
我在习酒包装工作近两年,我知道我们的习酒已成为贵州浓香白酒第一品牌,特许品牌日愈壮大,各领风骚。新时代的习酒人执着地贯彻“无情不商”的经营理念和“诚信为本”的经营原则,发扬“励精图治、求实创新、高效守信、服务社会”的企业精神,坚持“以诚取信,以质取胜,创新服务,追求卓越”的质量方针,在茅台旗舰的引领下,为打造百亿茅台、创造习酒更加美好的明天而努力奋斗。然而我发现习酒目前在包装上还应当进一步改进,下面我谈谈对习酒包装的一些想法。
听社会上有的人说习酒包装太过追求精美。当然我认为这种情况未必就一定是过度包装。首先,比如说有些包装采用特制进口玻璃瓶,是为了保持瓶中酒的口味,酒瓶及纸盒成本。其次是要加强产品文化推广,在外包装盒上要突出了文化营销创意,这是建立习酒品牌产品所必需的。再次是市场效果好,能促进销售就是好包装。
前几年,一些品牌酒在包装上竞比奢华,有的用玉制或红木制的外包装盒,有的添加金杯玉盏,有的恨不得直接往内塞几十元钱,这些都是包装创意无计可施的窘相。具我所知,中国轻工业联合会等在上海投资6亿元兴建酒类信息展示交易中心,并首次推出酒包装设计大赛,就是要提高国产酒包装设计水平,用创意包装取代豪华包装,用适度包装改进过度包装。
佛靠金装人靠衣装,产品更要靠包装。反对过度包装,并不是说反对包装,而是不提倡把一些与习酒无关的东西放进包装中抬高产品价格。较为典型的例子是礼盒装中,加入锦盒、装饰物后,身价就达几百元甚至上千元,这些都是过度包装盲目竞争的结果。
我认为习酒包装应有二个功能,即收藏价值和观赏性了。当然这是要讲求两点的:一是要贴近老百姓,二是老百姓能接受。有没有收藏价值,有没有利用价值,这是我公司不得不面对的课题。我觉得要设计一款布袋装,虽然价位并不高,酒后布袋是可以持续利用的,而且又很美观。我想这样的包装,也许老百姓是比较喜欢的。产品的功能是多方面和多层次的,包括物质功能、实用功能、精神功能等,而在习酒包装上要体现观赏性、收藏性、实用性以及多用性。突破以往在习酒包装方面的单一功能,充分体现习酒的情趣性和文化性是习酒包装发展的趋势,也是我们从业者的追求。不过,强调包装功能的多样性,并不是什么功能都可以附加在习酒包装上的。
当前的习酒包装多以红、黄色调为主。包装色彩的确定首先是由市场与消费者的既有经验和感官需求决定的。实践证明红、黄、金等色系的包装投入市场后确实普遍得到了消费者认同,成为习酒包装设计当中使用最多的色调。其次,在包装色彩的应用上不能忽略品牌与产品的自身定位,以及产品的个性化特征。并不是所有的红、黄色调包装的产品都能畅销,红黄色系也并不是不可突破。我认为设计一些绿色系和蓝色系包装,视觉效果上不但没有什么障碍,反而显得更加生动和鲜活。因此,包装设计的关键还是在于对品牌文化的理解、提炼是不是到位,包装色彩与产品的自身定位及个性特征是不是吻合,我们要打造的,是属于自己特色的个性化色彩。
色彩的个性必然加强包装的视觉冲击力,起着促销的作用,大大提高其产品的市场竞争能力。对于习酒而言,要有独特的个性化色彩,这种包装才能在市场竞争中立于不败之地。事实上,红色与黄色都有很多种,在不同的材料上有时也可以恰如其分的表现品牌。不过,以此两种色调为基调,只是民族个性的认可,也就是说消费者一般都能接受,但不是品牌个性的体现。从这个意义上讲,如今的习酒包装在色彩上还应该大胆突破。值得一提的是,习酒品牌在大胆用色时,应贴近品牌个性,贴近消费者的习惯,否则会产生反作用的。
色彩有先声夺人之效。白酒包装色彩的用法目前是个颇受关注的问题。想要别人之不敢用的色彩来抢市场,因为我们的酒要勇于冒险要敢尝试,更应该拿出一定的勇气来!
单从包装设计方面看,我觉得以下几个方面值得尝试:
一、提升包装的防伪能力,增加假冒的难度,使原包装和回收包装形成明显的区别;设计包装的自毁装置,使包装打开后不可能再次以成品形式使用;开发不可回收包装。我们要有杜绝“回收名酒瓶装假酒”的设计上开辟新的思路。
习酒包装应做到“三防”,一是防止制假者利用旧的包装容器、标签等实施制假活动;二是防止制假者从黑市上买来新的包装容器、标签等实施制假活动;三是防止一些经济实力雄厚的规模较大的制假企业,仿制出习酒系列产品,大批量制假。在对习酒防伪包装设计时,一般应遵循以上设计原则。目前常用的方法比较多,比如说"茅台”内外包装瓶盖均使用红色扭断式防盗螺旋铝盖、“五粮液”采用金属扭断盖、“西凤”酒在瓶盖扭断连接处喷上出厂日期、批号,而“孔府家”则是对标识进行了加密、“酒鬼”使用电码防伪标识等。用专业的眼光来看,白酒包装只有在设计之初就从“防旧”、“防新”、“防大”这三个角度出发,才能有效解决习酒被假冒的问题,也才能使习酒包装真正起到防伪的作用。
习酒包装除了宣传和美化作用外,还有保护产品的重要功能。习酒被假冒一直是困扰我企业的一个主要问题。在包装上引入科学、高效的防伪设计。如果想把习酒品牌做长久做强大的话.就不得不在这方面下功夫。
其实在当前市场上,关注包装话题还有很多,比如说如何从包装上防止窜货,在包装上如何恰如其分地体现出习酒品牌档次等。以上是我个人的一些不成熟想法,以期引起公司领导们在包装上有着更深层次的思考。如有不妥之处还请多海涵!
第四篇:信息安全等级保护安全建设整改工作情况统计表
附件 1 信息安全等级保护安全建设整改工作情况统计表
01 单位名称 02 单位地址 姓 03 单位负责人 办公电话 姓 04 单位联系人 办公电话 05 信息系统总数 第二级系统 第四级系统 移动电话 06 未定级备案信息 系统数量 第三级系统 合 计 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三级系统 合 计 名 职务/职称 名 职务/职称
07 已定级备案信息系 统数量
(1)是否明确主管领导、责任部门和具体负责人员(2)是否对信息系统安全建设整改工作进行总体部署 08 信 息 系统安全 建设整改 工作情况(3)是否对信息系统进行安全保护现状分析(4)是否制定信息系统安全建设整改方案(5)是否组织开展信息系统安全建设整改工作(6)是否组织开展信息系统安全自查工作 09 已开展安全建设整 改的信息系统数量 10 已开展等级测评的 信息系统数量 11 信息系统发生安全事 件、事故数量 12 已达到等级保护要 求的信息系统数量 填表人: 第二级系统 第四级系统 第二级系统 第四级系统 第二级系统 第四级系统 第二级系统 第四级系统 审核人:
第三级系统 合 计
第三级系统 合 计
第三级系统 合 填表时间: 计 年 月 日
1
第五篇:等级保护保护整改与安全建设工作重要性
等级保护保护整改与安全建设工作重要性
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程
启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一)等级保护差距分析
1.等级保护风险评估
1)评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:
● 了解信息系统的管理、网络和系统安全现状;
● 确定可能对资产造成危害的威胁;
● 确定威胁实施的可能性;
● 对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
● 对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
● 明确信息系统的已有安全措施的有效性;
● 明晰信息系统的安全管理需求。
2)评估内容
● 资产识别与赋值
● 主机安全性评估
● 数据库安全性评估
● 安全设备评估
现场风险评估用到的主要评估方法包括:
● 漏洞扫描
● 控制台审计
● 技术访谈
3)评估分析
根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2.等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。
1)准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:
● 安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
● 安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
● 系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
● 物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2)现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间 的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
● 查验文档资料
● 人员访谈
● 现场测试
3)生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二)等级保护整改建议方案
1.整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2.总体框架
根据等保安全要求,启明星辰提出如下的安全整改建议,其中PMOT体系是信息安全保障总体框架模型。
图 信息安全PMOT体系模型
启明星辰根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系,具体内容包括:
● 建立和完善安全策略:最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
● 安全技术体系:安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
● 建立和完善安全管理体系:建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。● 安全运维体系:机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4 等级保护整改与安全建设总体框架 3.方案说明
● 信息安全策略
信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT信息安全体系的顶层,也是安全管理体系的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。● 安全技术体系
启明星辰根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要内容包括:网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。
● 安全管理体系
为满足等保基本要求,应建立和完善安全管理体系,包括:完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。
● 安全运维体系
为满足等保基本要求,应建立和完善安全运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
(三)等级保护整改实施
为了更好地协助客户落实等保的整改工作,启明星辰可以作为集成商、咨询方、或者监理方,协助客户落实整改实施方案,或协助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和安全建设工作。
1.制定整改实施方案
在确定整改实施的承建单位后,启明星辰会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖安全建设阶段的各项实施细节,主要有:
● 项目产品配置清单
● 实施设计方案
● 实施准备工作描述,实施工作步骤
● 实施风险规避方案
● 实施验证方案
● 现场培训方案
工程实施文档应经客户方的项目负责人确认后,方可进行实施。
2.整改建设实施
启明星辰承担项目实施的工作,确保落实客户信息系统的安全保护技术措施,建立健全信息安全管理制度,全面贯彻落实信息安全等级保护制度。
3.整改实施项目验收
整改实施工作完成后,启明星辰提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
4.等级保护运维
在整改建设与实施工作完成之后,启明星辰将协助用户完成安全运维策略的制定,协助用户培养专业人才,进行运行管理和控制、安全状态监控、安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检查的工作。