第一篇：習酒等級保護整改要求

習酒等級保護整改要求 一、目的習酒公司官網、OA 辦公系統、分銷系統、營銷系統和防偽溯源系統，5 套系統已分別做二級、三級等級保護評定檢測。專業機構通過網絡、應用、主機、物理和數據方面檢測后，達到網絡安全等保測評標準有一定差距。現公司擬對外公開邀標系統集成商做解決方案投標。

二、要求 1、網絡的核心部分需用雙鏈路冗余設計，核心交換機和出口防火墻等關鍵節點采用雙節點的方式，保證系統運行的穩定性，從而滿足業務高峰的需求。

2、網絡內部用戶實行上網行為監測管理，要求系統能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查；對內網用戶的上網行為進行行為審計，并具備在發現有用戶違規訪問外部網絡時能及時定位用戶并阻斷其訪問的能力。

3、完善入侵檢測防御，要求網絡能在網絡邊界處監視各種惡意攻擊，并實時記錄各種攻擊的類型、發生的時間、源 IP 等信息。

4、審計日志要求可進行分析生成報表，且數據至少能留存 6 個月以上。

第二篇：水利部(部機關)等級保護建設整改案例

一、概述

信息系統安全等級保護工作是我國信息安全建設的必要工作，是我國信息安全保障的大勢所趨。水利部高度重視網絡與信息安全工作，2007年9月初便組織開展水利行業信息系統安全等級保護定級工作，同年12月底全面完成了信息系統等級備案工作。信息系統安全等級保護工作主要分為定級、備案、建設整改、等級測評和監督檢查等環節，現已完成定級、備案工作，下一步主要工作是建設整改。根據《關于開展信息系統等級保護安全建設整改工作的指導意見》（公信安【2009】1429號）和水利部工作的實際情況，水利部將水利網絡與信息安全系統建設作為水利信息化八大重點工程之一，并列入《全國水利信息化十二五規劃》。為此，水利部于2009年開始啟動水利部本級政務外網信息系統等級保護整改工作，進一步提高水利部政務外網信息系統的安全保障能力和防護水平，確保網絡與信息系統的安全運行。

二、整改目標

完善水利部電子政務外網安全防護體系，不斷提高水利部電子政務外網信息系統的安全保障能力和防護水平，確保網絡與信息系統的安全穩定運行，達到國家信息安全等級保護相關標準要求。保證水利部業務信息和網絡的機密性、完整性、可用性、可控性和可審計性，確保水利部整體達到信息系統第三級安全保護等級。

三、方案設計

（一）方案設計目標

水利部（部機關）等級保護建設整改是根據國家等級保護政策制度的工作方案思路，依照《信息安全技術 信息系統安全等級保護基本要求》（以下簡稱“《基本要求》”）、參照《信息安全技術 信息系統等級保護安全設計技術要求》（以下簡稱“《安全設計技術要求》”）等政策標準規范要求，結合水利部業務信息系統的實際情況以及水利部《關于印發水利網絡與信息安全體系建設基本技術要求的通知》（水文[2010]190號）相關文件要求編制總體設計方案，用于指導水利部機關安全建設整改工作。方案的總體目標是設計符合水利部實際業務應用、實際網絡信息系統運行模式和國家等級保護建設整改工作要求的總體方案，實現水利部機關政務外網的安全保護總體達到信息系統安全保護等級第三級基本要求。

（二）方案設計框架

水利部安全保障體系框架根據等級保護基本要求，參照國內外相關標準，并結合水利部已有網絡與信息安全體系建設的實際情況，最終形成依托于安全保護對象為基礎，縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護”的安全保障體系框架。如下圖所示：

圖1：信息安全保障體系框架圖

? “三個體系”：信息安全管理體系、信息安全技術體系和信息安全運行體系，把等級保護基本要求的控制點結合水利部實際情況形成相適應的體系結構框架；

? “一個中心”：信息安全管理中心，實現“自動、平臺化”的安全工作管理、統一技術管理和安全運維管理； ? “三重防護”：安全計算環境防護措施、安全區域邊界防護措施和安全網絡通信防護措施，把安全技術控制措施與安全保護對象相結合。

（三）方案編寫思路 方案總體思路：

圖2：方案編寫總體思路

1.信息系統風險評估和等級保護差距

通過采用信息安全風險評估的方法，對水利部機關政務外網信息系統進行全面綜合分析，并深化對已經定級、備案的信息系統進行資產、脆弱性、威脅和風險綜合分析，在整體網絡框架基礎上，通過差距分析的方法與等級保護基本要求進行差距分析，形成信息系統等級保護建設整改的整體安全需求。

2.安全保障體系框架和總體安全策略

根據等級保護的整體保護框架，并結合水利部信息安全保障體系建設的實際情況，建立符合水利電子政務系統特性的安全保障體系，分別是安全管理體系、安全技術體系和安全運行體系，并制定各個體系必要的安全設計原則和安全策略。3.安全保障體系總體設計方案

結合水利部機關電子政務外網信息系統的實際應用情況，設計具體安全技術體系控制措施、安全管理體系控制措施和安全運行體系控制措施，其中：

? 安全管理體系的實現依據《基本要求》，設計了水利部機關政務外網的信息安全組織機構、人員安全管理、安全管理制度、系統建設管理及系統運維管理等控制措施；

? 安全技術體系的實現一方面重點落實《基本要求》，另一方面采用《安全設計技術要求》的思路和方法設計了安全計算環境、安全區域邊界和安全通信網絡的控制措施； ? 安全運行體系的實現根據《基本要求》，設計了符合系統全生命周期的安全需求、安全建設、安全設計與安全運維的運行體系要求，重點闡述了安全運維體系的框架和控制組成。? 安全管理中心的實現根據《基本要求》和《安全設計技術要求》，結合水利部機關已經建立的運行保障平臺，形成覆蓋安全工作管理、安全運維管理、統一安全技術管理于一體的“自動、平臺化”的安全管理中心。4.總體實施計劃

根據總體設計方案的安全保障體系要求，結合水利部機關安全建設的實際情況，預計將水利部機關政務外網信息安全保障體系建設分成兩個階段，分別是基本整改和深化完善階段。

四、整改效果

經過安全建設整改后，水利部本級政務外網信息系統將在統一的安全保護策略下，具有抵御大規模、較強惡意攻擊的能力；具有抵抗較為嚴重的自然災害的能力；具有防范計算機病毒和惡意代碼危害的能力；具有檢測、發現、報警、記錄入侵行為的能力；具有對安全事件進行響應處置、并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態的能力；對于服務保障性要求高的系統，具有能快速恢復正常運行狀態的能力；具有對系統資源、用戶、安全機制等進行集中控管的能力。

水利等級保護整改方案采用了體系化設計思路，強化了“集中”安全管理，強調了安全運維工作。該設計方案得到了等級保護專家的一致認可。目前，根據該設計的全面實施已經完成，并順利通過等級保護測評，其中三級系統最高符合度評分可達到89%（即89分），二級系統最高符合度評分可達到96%（即96分），成為截至目前國家測評機構部委備案系統等級保護測評分值最高的系統。

第三篇：習酒包裝心得體會

包裝心得體會

習酒包裝四班余小英

我在習酒包裝工作近兩年，我知道我們的習酒已成為貴州濃香白酒第一品牌，特許品牌日愈壯大，各領風騷。新時代的習酒人執著地貫徹“無情不商”的經營理念和“誠信為本”的經營原則，發揚“勵精圖治、求實創新、高效守信、服務社會”的企業精神，堅持“以誠取信，以質取勝，創新服務，追求卓越”的質量方針，在茅臺旗艦的引領下，為打造百億茅臺、創造習酒更加美好的明天而努力奮斗。然而我發現習酒目前在包裝上還應當進一步改進，下面我談談對習酒包裝的一些想法。

聽社會上有的人說習酒包裝太過追求精美。當然我認為這種情況未必就一定是過度包裝。首先，比如說有些包裝采用特制進口玻璃瓶，是為了保持瓶中酒的口味，酒瓶及紙盒成本。其次是要加強產品文化推廣，在外包裝盒上要突出了文化營銷創意，這是建立習酒品牌產品所必需的。再次是市場效果好，能促進銷售就是好包裝。

前幾年，一些品牌酒在包裝上競比奢華，有的用玉制或紅木制的外包裝盒，有的添加金杯玉盞，有的恨不得直接往內塞幾十元錢，這些都是包裝創意無計可施的窘相。具我所知，中國輕工業聯合會等在上海投資6億元興建酒類信息展示交易中心，并首次推出酒包裝設計大賽，就是要提高國產酒包裝設計水平，用創意包裝取代豪華包裝，用適度包裝改進過度包裝。

佛靠金裝人靠衣裝，產品更要靠包裝。反對過度包裝，并不是說反對包裝，而是不提倡把一些與習酒無關的東西放進包裝中抬高產品價格。較為典型的例子是禮盒裝中，加入錦盒、裝飾物后，身價就達幾百元甚至上千元，這些都是過度包裝盲目競爭的結果。

我認為習酒包裝應有二個功能，即收藏價值和觀賞性了。當然這是要講求兩點的：一是要貼近老百姓，二是老百姓能接受。有沒有收藏價值，有沒有利用價值，這是我公司不得不面對的課題。我覺得要設計一款布袋裝，雖然價位并不高，酒后布袋是可以持續利用的，而且又很美觀。我想這樣的包裝，也許老百姓是比較喜歡的。產品的功能是多方面和多層次的，包括物質功能、實用功能、精神功能等，而在習酒包裝上要體現觀賞性、收藏性、實用性以及多用性。突破以往在習酒包裝方面的單一功能，充分體現習酒的情趣性和文化性是習酒包裝發展的趨勢，也是我們從業者的追求。不過，強調包裝功能的多樣性，并不是什么功能都可以附加在習酒包裝上的。

當前的習酒包裝多以紅、黃色調為主。包裝色彩的確定首先是由市場與消費者的既有經驗和感官需求決定的。實踐證明紅、黃、金等色系的包裝投入市場后確實普遍得到了消費者認同，成為習酒包裝設計當中使用最多的色調。其次，在包裝色彩的應用上不能忽略品牌與產品的自身定位，以及產品的個性化特征。并不是所有的紅、黃色調包裝的產品都能暢銷，紅黃色系也并不是不可突破。我認為設計一些綠色系和藍色系包裝，視覺效果上不但沒有什么障礙，反而顯得更加生動和鮮活。因此，包裝設計的關鍵還是在于對品牌文化的理解、提煉是不是到位，包裝色彩與產品的自身定位及個性特征是不是吻合，我們要打造的，是屬于自己特色的個性化色彩。

色彩的個性必然加強包裝的視覺沖擊力，起著促銷的作用，大大提高其產品的市場競爭能力。對于習酒而言，要有獨特的個性化色彩，這種包裝才能在市場競爭中立于不敗之地。事實上，紅色與黃色都有很多種，在不同的材料上有時也可以恰如其分的表現品牌。不過，以此兩種色調為基調，只是民族個性的認可，也就是說消費者一般都能接受，但不是品牌個性的體現。從這個意義上講，如今的習酒包裝在色彩上還應該大膽突破。值得一提的是，習酒品牌在大膽用色時，應貼近品牌個性，貼近消費者的習慣，否則會產生反作用的。

色彩有先聲奪人之效。白酒包裝色彩的用法目前是個頗受關注的問題。想要別人之不敢用的色彩來搶市場，因為我們的酒要勇于冒險要敢嘗試，更應該拿出一定的勇氣來！

單從包裝設計方面看，我覺得以下幾個方面值得嘗試：

一、提升包裝的防偽能力，增加假冒的難度，使原包裝和回收包裝形成明顯的區別；設計包裝的自毀裝置，使包裝打開后不可能再次以成品形式使用；開發不可回收包裝。我們要有杜絕“回收名酒瓶裝假酒”的設計上開辟新的思路。

習酒包裝應做到“三防”，一是防止制假者利用舊的包裝容器、標簽等實施制假活動；二是防止制假者從黑市上買來新的包裝容器、標簽等實施制假活動；三是防止一些經濟實力雄厚的規模較大的制假企業，仿制出習酒系列產品，大批量制假。在對習酒防偽包裝設計時，一般應遵循以上設計原則。目前常用的方法比較多，比如說"茅臺”內外包裝瓶蓋均使用紅色扭斷式防盜螺旋鋁蓋、“五糧液”采用金屬扭斷蓋、“西鳳”酒在瓶蓋扭斷連接處噴上出廠日期、批號，而“孔府家”則是對標識進行了加密、“酒鬼”使用電碼防偽標識等。用專業的眼光來看，白酒包裝只有在設計之初就從“防舊”、“防新”、“防大”這三個角度出發，才能有效解決習酒被假冒的問題，也才能使習酒包裝真正起到防偽的作用。

習酒包裝除了宣傳和美化作用外，還有保護產品的重要功能。習酒被假冒一直是困擾我企業的一個主要問題。在包裝上引入科學、高效的防偽設計。如果想把習酒品牌做長久做強大的話．就不得不在這方面下功夫。

其實在當前市場上，關注包裝話題還有很多，比如說如何從包裝上防止竄貨，在包裝上如何恰如其分地體現出習酒品牌檔次等。以上是我個人的一些不成熟想法，以期引起公司領導們在包裝上有著更深層次的思考。如有不妥之處還請多海涵！

第四篇：信息安全等級保護安全建設整改工作情況統計表

附件 1 信息安全等級保護安全建設整改工作情況統計表
01 單位名稱 02 單位地址 姓 03 單位負責人 辦公電話 姓 04 單位聯系人 辦公電話 05 信息系統總數 第二級系統 第四級系統 移動電話 06 未定級備案信息 系統數量 第三級系統 合 計 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三級系統 合 計 名 職務/職稱 名 職務/職稱

07 已定級備案信息系 統數量

（1）是否明確主管領導、責任部門和具體負責人員（2）是否對信息系統安全建設整改工作進行總體部署 08 信 息 系統安全 建設整改 工作情況（3）是否對信息系統進行安全保護現狀分析（4）是否制定信息系統安全建設整改方案（5）是否組織開展信息系統安全建設整改工作（6）是否組織開展信息系統安全自查工作 09 已開展安全建設整 改的信息系統數量 10 已開展等級測評的 信息系統數量 11 信息系統發生安全事 件、事故數量 12 已達到等級保護要 求的信息系統數量 填表人： 第二級系統 第四級系統 第二級系統 第四級系統 第二級系統 第四級系統 第二級系統 第四級系統 審核人：

第三級系統 合 計

第三級系統 合 計

第三級系統 合 填表時間： 計 年 月 日
1

第五篇：等級保護保護整改與安全建設工作重要性

等級保護保護整改與安全建設工作重要性

依據公通字[2007]43號文的要求，信息系統定級工作完成后，運營、使用單位首先要按照相關的管理規范和技術標準進行安全建設和整改，使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品，進行信息系統安全建設或者改建工作。

等級保護整改的核心是根據用戶的實際信息安全需求、業務特點及應用重點，在確定不同系統重要程度的基礎上，進行重點保護。整改工作要遵循國家等級保護相關要求，將等級保護要求體現到方案、產品和安全服務中去，并切實結合用戶信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，將等級保護制度確實落實到企業的信息安全規劃、建設、評估、運行和維護等各個環節，保障企業的信息安全。

啟明星辰等級保護整改與安全建設過程

啟明星辰等級保護整改與安全建設是基于國家信息系統安全等級保護相關標準和文件的要求，針對客戶已定級備案的信息系統、或打算按照等保要求進行安全建設的信息系統，結合客戶組織架構、業務要求、信息系統實際情況，通過一套規范的等保整改過程，協助客戶進行風險評估和等級保護差距分析，制定完整的安全整改建議方案，并根據需要協助客戶對落實整改實施方案或進行方案的評審、招投標、整改監理等工作，協助客戶完成信息系統等級保護整改和安全建設工作。

啟明星辰等保整改與建設過程主要包括等級保護差距分析、等級保護整改建議方案、等級保護整改實施三個階段。

(一)等級保護差距分析

1.等級保護風險評估

1)評估目的

對信息系統進行安全等級評估是國家推行等級保護制度的一個重要環節，也是對信息系統進行安全建設和管理的重要組成部分。

等級評估不同于按照等級保護要求進行的等保差距分析。風險評估的目標是深入、詳細地檢查信息系統的安全風險狀況，而差距分析則是按照等保的所有要求進行符合性檢查，檢查信息系統現狀與國家等保要求之間的符合程度。可以說，風險評估的結果更能體現是客戶信息系統技術層面的安全現狀，比差距分析結果在技術上更加深入。風險評估的結果和差距分析結果都是整改建議方案的輸入。

啟明星辰通過專業的等級評估服務，協助用戶完成以下的目標：

● 了解信息系統的管理、網絡和系統安全現狀；

● 確定可能對資產造成危害的威脅；

● 確定威脅實施的可能性；

● 對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；

● 對最重要的、最敏感的資產，確定一旦威脅發生其潛在的損失或破壞；

● 明確信息系統的已有安全措施的有效性；

● 明晰信息系統的安全管理需求。

2)評估內容

● 資產識別與賦值

● 主機安全性評估

● 數據庫安全性評估

● 安全設備評估

現場風險評估用到的主要評估方法包括：

● 漏洞掃描

● 控制臺審計

● 技術訪談

3)評估分析

根據現場收集的信息及對這些信息的分析，評估小組形成定級信息系統的弱點評估報告、風險評估報告等文檔，使客戶充分了解信息系統存在的風險，作為等保差距分析的一項重要輸入，并作為后續整改建設的重要依據。

2.等保差距分析

通過差距分析，可以了解客戶信息系統的現狀，確定當前系統與相應保護等級要求之間的差距，確定不符合安全項。

1)準備差距分析表

項目組通過準備好的差距分析表，與客戶確認現場溝通的對象（部門和人員），準備相應的檢查內容。

在整理差距分析表時，整改項目組會根據信息系統的安全等級從基本要求中選擇相應等級的基本安全要求，根據及風險評估的結果進行調整，去掉不適用項，增加不能滿足客戶信息系統需求的安全要求。

差距分析表包含以下內容：

● 安全技術差距分析：包括網絡安全、主機安全、應用安全、數據安全及備份恢復；

● 安全管理差距分析：包括安全管理制度、安全管理機構、人員安全管理、系統建設管理；

● 系統運維差距分析：包括環境管理、資產管理、介質管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置；

● 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。

不同安全保護級別的系統所使用的差距分析表的內容也不同。

2)現場差距分析

整改項目組依據差距分析表中的各項安全要求，對比信息系統現狀和安全要求之間 的差距，確定不符合項。

現場工作階段，整改項目組可分為管理檢查組和技術檢查組兩個小組。

在差距分析階段，可以通過以下方式收集信息，詳細了解客戶信息系統現狀，并通過分析所收集的資料和數據，以確認客戶信息系統的建設是否符合該等級的安全要求，需要進行哪些方面的整改。

● 查驗文檔資料

● 人員訪談

● 現場測試

3)生成差距分析報告

完成現場差距分析之后，整改項目組歸納整理、分析現場記錄，找出目前信息系統與等級保護安全要求之間的差距，明確不符合項，生成《等級保護差距分析報告》。

(二)等級保護整改建議方案

1.整改目標溝通確認

通過與客戶高層領導、相關業務部門和信息安全管理部門進行廣泛的溝通協商，啟明星辰會依據風險評估和差距分析的結果，明確等級保護整改工作的工作目標，提出等級保護整改建議方案。

對暫時難以進行整改的部分內容，將在討論后作為遺留問題，明確列在整改建議方案中。

2.總體框架

根據等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。

圖 信息安全PMOT體系模型

啟明星辰根據建議方案的設計原則，協助客戶制定總體安全保障體系架構，包括制定安全策略，結合等級保護基本要求和安全保護特殊要求，來構建客戶信息系統的安全技術體系、安全管理體系及安全運維體系，具體內容包括：

● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標。

● 安全技術體系：安全技術的保障包括網絡邊界防御、安全通信網絡、主機和應用系統安全、檢測響應體系、冗余與備份以及安全管理中心。

● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規范人員管理和系統建議管理。● 安全運維體系：機房安全，資產及設備安全，網絡與系統安全管理、監控和安全管理等。

展開后的等級保護整改與安全建設總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術體系Technology、安全運維Operation四個層面落實等級保護安全基本要求。

圖4 等級保護整改與安全建設總體框架 3.方案說明

● 信息安全策略

信息安全策略是最高管理層對信息安全的期望和承諾的表達，位于整個PMOT信息安全體系的頂層，也是安全管理體系的最高指導方針，明確了信息安全工作總體目標，對技術和管理各方面的安全工作具有通用指導性。● 安全技術體系

啟明星辰根據整改目標提出整改方案的安全技術保障體系，將保障體系框架中要求實現的網絡、主機和應用安全落實到產品功能或物理形態上，提出能夠實現的產品或組件及其具體規范，并將產品功能特征整理成文檔。使得在信息安全產品采購和安全控制開發階段具有依據，主要內容包括：網絡邊界護御、安全通信網絡、主機與應用防護體系、檢測響應體系、冗余與備份、信息安全管理中心。

● 安全管理體系

為滿足等保基本要求，應建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規范人員管理、規范系統建設管理。

● 安全運維體系

為滿足等保基本要求，應建立和完善安全運維體系，包括：環境管理、資產管理、介質管理、設備管理、網絡與系統安全管理、系統安全管理、備份與恢復、惡意代碼防范、變更管理、信息安全事件管理等。

(三)等級保護整改實施

為了更好地協助客戶落實等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監理方，協助客戶落實整改實施方案，或協助進行整改實施方案的評審、招投標、項目監理等工作，以完成系統整改和安全建設工作。

1.制定整改實施方案

在確定整改實施的承建單位后，啟明星辰會提交相關的工程實施文檔，包括參照整改建議方案而編制的項目實施技術規劃等文檔，其中涵蓋安全建設階段的各項實施細節，主要有：

● 項目產品配置清單

● 實施設計方案

● 實施準備工作描述，實施工作步驟

● 實施風險規避方案

● 實施驗證方案

● 現場培訓方案

工程實施文檔應經客戶方的項目負責人確認后，方可進行實施。

2.整改建設實施

啟明星辰承擔項目實施的工作，確保落實客戶信息系統的安全保護技術措施，建立健全信息安全管理制度，全面貫徹落實信息安全等級保護制度。

3.整改實施項目驗收

整改實施工作完成后，啟明星辰提出驗收申請和工程測試驗收方案，由客戶審批工程測試驗收方案（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環境等）的符合性及可行性。

4.等級保護運維

在整改建設與實施工作完成之后，啟明星辰將協助用戶完成安全運維策略的制定，協助用戶培養專業人才，進行運行管理和控制、安全狀態監控、安全事件處置和應急、安全檢查和持續改進、等級保護測評和等級保護監督檢查的工作。