青草青永久在线

信息安全等級保護咨詢服務

第1章 概述

1.1. 等級保護背景

我國總體安全形勢比較嚴峻,信息安全法律法規和標準不完善、專業人才匱乏,總體技術比較落后。為了能夠充分調動國家、法人和其他組織及公民的積極性,使信息系統安全建設更加突出重點、統一規范、科學合理,實行信息安全等級保護制度。信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定與公共利益,保障和促進信息化建設健康發展的一項基本制度。

1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定我國的計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。

19999月公安部組織起草了《計算機信息系統安全保護等級劃分準則》,為等級保護這一安全國策給出了技術角度的詮釋。

2003年中共中央辦公廳、國務院辦公廳聯合轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。

20076月,四部委聯合下發《信息安全等級保護管理辦法》(公通字[2007]43號),標志著等級保護的全面推廣落實。

1.2. 系統安全保護等級

根據《關于印發信息安全等級保護管理辦法的通知》(公通字[2007]43號):國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級: 


1.3. 等級保護具體保護要求

定級完成后,按相應等級規定的保護要求進行建設和整改。《信息安全等級保護基本要求》規定了不同安全保護等級信息系統的基本保護要求,包括基本技術要求和基本管理要求,用于指導分等級的信息系統的安全建設和監督管理。如下圖所示:


1.3.1. 安全技術要求

物理安全

是指信息系統對應重要的物理安全設置,如物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、電力供應、電磁防護等必要配置。采用訪談、檢查的方法去了解這些內容。

網絡安全

包括對路由器/交換機、防火墻、防病毒系統的重要操作,如結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、網絡設備防護等做必要配置;對入侵檢測系統的重要操作,如網絡安全審計、網絡入侵防范、惡意代碼防范、網絡設備防護等做必要配置。采用命令檢查、配置界面、日志報表檢查的方法對信息系統進行測試。

主機系統安全

對操作系統的重要操作,如令牌的使用、賬戶認證、密碼管理、登錄限制、身份標識和鑒別、主體和客體的訪問控制、用戶授權、安全審計、報警、監控、系統保護、惡意代碼保護、剩余信息保護、資源控制等做必要配置。主機系統包括Windows系統、Linux操作系統、HP-UX操作系統、AIX操作系統和Solaris操作系統等。采用命令檢查、配置界面、日志報表檢查的方法對信息系統進行測試。

數據安全和備份恢復

對數據庫的重要操作,如軟件完整性、數據完整性、訪問控制、安全管理、審計、賬戶、權限、用戶認證、網絡連接安全、安全管理、文件權限等做必要配置。常用數據庫包括SQLServerORACLEMySQLDB2等。采用命令檢查、配置界面、日志報表檢查的方法對信息系統進行測試。

應用安全

包括對應用的重要操作,如身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制等方面做必要配置。采用命令檢查、配置界面、日志報表檢查等方式對應用進行了解。

1.3.2. 安全管理要求

安全管理要求包括對安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面。主要采取的了解手段有人員訪談和文檔檢查。

適用于人員訪談方式的對象包括:組織內的安全管理人員、安全員、安全主管、工作人員、關鍵活動批準人、管理人員(負責定期評審、修訂和日常維護的人員)、機房值守人員、人事負責人及工作人員、審計員、網絡管理員、文檔管理員、物理安全負責人、系統管理員、系統建設負責人、系統運維負責人、資產管理員等不同類型崗位的人員。

適用于文檔檢查方式的對象包括:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面的文檔。

1.4. 等級保護建設通用流程

等級保護建設通用流程是根據《信息系統安全等級保護實施指南》中實施流程和等級保護建設項目實際情況進一步細化得到的操作流程,如下圖所示。


系統定級

對信息系統進行分析調查,確定定級對象,根據國家及行業要求和規范對定級對象進行分析,確定安全保護等級,定級結果經過專家(第三方及甲方或乙方相關人員)評審后,編寫《信息系統等級保護定級報告》。

系統備案

填寫《備案表》及相關資料,向主管部門進行備案。已運營(運行)的第二級以上信息系統,應當到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統,應當到所在地的市級以上公安機關辦理備案手續。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地的市級以上公安機關備案。

差距評估

采用檢查、人工審計、工具等方式對信息系統進行分析,查找與《信息系統等級保護基本要求》以及行業要求的差距,形成《差距評估報告》,從而提出安全整改建議。

整改建設方案

根據安全需求或整改建議對信息系統進行安全規劃建設方案編寫,方案可能是規劃方案,也可能是整改建設落地方案。方案通過專家評審后,用于指導安全措施實施。

安全建設實施

安全建設實施是根據整改建設方案來細化具體安全產品部署和網絡結構及安全域的改造,以及對各類系統或設備進行安全加固,同時對安全管理體系相關文檔進行細化落地。

自查階段

在安全技術和安全管理措施實施完成以后,參照《基本要求》和《測評要求》對信息系統進行一次安全檢查,查看是否所有措施都已得到落實,以便及時發現問題,及時修補。

測評階段

準備信息系統等級測評的相關材料,提交給第三方等級保護測評機構進行測評。若測評未通過,需按測評意見進行整改,并等待進行二次測評。

1.5. 聘請專業顧問的必要性

等級保護測評過程是一個復雜的過程,尋求外部咨詢顧問提供幫助是非常必要的。上海衛道信息技術有限公司等級保護咨詢服務可以幫助客戶根據國家等級保護相關標準要求建立信息安全體系,協助客戶通過測評。

信息安全咨詢顧問可以幫助客戶建立信息安全管理體系并且協助通過認證。

由于專業分工的限制和條件制約,客戶不可能在各個方面都能確切知道自己內部和外部面臨的信息安全問題,也很難把握自身現狀與標準要求之間的差距。另外,從成本角度考慮,大部分客戶不會自己組建專職的信息安全顧問團隊,就更難在建設全面的信息安全體系上獲得成功。專業的咨詢顧問不但具有豐富的實踐經驗和知識積累,而且可以以第三方的視角客觀、公正、全面地分析客戶現存問題。打個比方,如果將客戶比作病人,面臨信息安全方面的病患,迫切需要診治,專業的咨詢顧問就應該能夠承擔醫生的角色,為客戶把脈診斷,開方抓藥,取得事半功倍的效果。

信息安全咨詢顧問可以從客觀的角度分析解決問題癥結

由于客戶自身條件的限制,其現有資源往往不足以應對客戶信息安全問題的分析和解決,或者利用客戶現有的人力資源解決問題會成本過高,加上企業內部錯綜復雜的關系往往通過外部力量更好疏通和協調,這樣一來,借助外部咨詢顧問為其分析問題癥結,并提出有針對性的解決方案,其獲益將會更直接更快捷,也能更讓人信服。此外,一個優秀的咨詢公司往往在不同地區或者不同領域都有著豐富的經驗,接觸的客戶多,接觸的先進管理方式也較多,并且建立有完整的知識庫和有效的方法論,往往會給客戶帶來很多新意識、新思維和新觀念,這是客戶樂意接受的。

增強企業解決信息安全問題的能力

在有咨詢顧問協助的項目實施過程中,通過不斷溝通和交流,客戶會逐漸掌握咨詢顧問解決特定問題的方法和技術,增強解決信息安全問題的能力。信息安全咨詢項目是十分系統和專業的,需要足夠的經驗和知識積累,由具有非常強的專業技能的人員為企業提供咨詢服務,同時將所需知識和技能逐漸傳遞和轉移給企業,這是企業尋求咨詢顧問支持所看重的。所謂授人以魚,不如授人以漁,在取得項目成功的同時,還能提升自己的能力,客戶何樂而不為?


第2章 咨詢服務內容

上海衛道信息技術有限公司根據國家、地方、行業的等級保護相關政策和標準要求,結合客戶信息系統具體情況,為客戶提供全面的等級保護咨詢服務,包括系統定級咨詢服務、差距評估咨詢服務、安全規劃建設咨詢服務和安全整改建設咨詢服務。憑借多年來的等級保護實踐經驗,上海衛道信息技術有限公司提供的等級保護咨詢服務可以幫助客戶完成信息系統安全技術體系和安全管理體系建設,使其滿足《信息系統安全等級保護基本要求》中相應保護等級要求,并能夠順利通過等級保護測評機構測評;可以協助客戶對業務系統和相關資產進行一次全面的梳理,確保重點保護對象,分析信息系統存在的各類脆弱性和安全威脅,減少安全風險。


1.1. 系統定級咨詢服務

上海衛道信息技術有限公司提供的系統定級咨詢服務可以協助客戶完成信息系統定級和備案。具體工作有:幫助客戶分析信息系統,包括其網絡結構、設備部署、業務系統、服務范圍、用戶群體、管理機構等;對規模龐大的信息系統進行劃分,確定定級對象;根據國家、地方和行業相關要求,確定業務信息安全和系統服務安全受到破壞時所侵害的客體和對客體造成侵害的程度;確定業務系統安全等級和系統服務安全等級,最終確定定級對象的安全保護等級。信息系統定級結果經客戶和相關專家審核和批準后,協助客戶完成《信息系統等級保護定級報告》和《備案表》,并向相關主管部門備案。

上海衛道信息技術有限公司為客戶提供的系統定級咨詢服務流程如下所示:


1) 定級準備階段

客戶的信息系統涉及其信息管理部門和各業務部門。由于業務部門熟悉信息系統的業務要求和受損害后的影響程度,所以業務部門在信息系統定級工作中處于主導地位。定級工作小組由上海衛道信息技術有限公司等級保護服務顧問與客戶的信息管理部門、業務部門等人員共同組成。首先,成立定級工作小組;其次,由上海衛道信息技術有限公司提供等級保護政策和相關標準的培訓,確保定級工作小組對等級保護達成統一的認識和理解,為開展定級工作奠定基礎;最后,定級工作小組確定客戶信息系統的定級范圍,并制定定級工作實施計劃。

2) 信息系統摸底調查階段

上海衛道信息技術有限公司等級保護服務顧問向定級工作小組介紹信息系統調查的具體內容和方法,統一小組成員的工作思路和方法。定級工作小組按照信息系統調查表進行調研,分析系統具體情況,形成《信息系統分析報告》,為信息系統保護等級的確定奠定基礎。

3) 初步定級階段

定級工作小組確定具體定級對象后,根據《信息系統安全等級保護定級指南》,結合各行業、各單位的自身特點,及主管部門的自身要求,分析定級對象的業務信息安全保護等級和系統服務安全保護等級。上海衛道信息技術有限公司根據信息系統實際情況和多年實踐經驗,對客戶定級報告的合理性進行初步研究和審核,根據國家標準,對各等級的報告內容、行文格式、定級準確性等給出修改意見。定級工作小組根據定級報告修改建議,修改、匯總、整理定級報告,形成定級報告專家評審稿。

4) 評審和審批階段

初步確定客戶信息系統安全保護等級后,上海衛道信息技術有限公司協助客戶聘請等級保護專家、行業專家、主管機關領導等外部專家,召開客戶信息系統定級評審會,對定級報告進行外部評審,并形成評審意見。進而,協助客戶參考專家評審意見,最終確定信息系統安全保護等級,并進一步修改《信息系統安全保護等級定級報告》和行業化定級指導建議(若有),形成最終的定級報告。若客戶有上級主管部門或行業主管,并對定級報告具有審批要求的,上海衛道信息技術有限公司將協助定級報告審批工作。

5) 協助備案階段

根據《關于印發<信息安全等級保護管理辦法>的通知》(公通字[2007]43號),上海衛道信息技術有限公司協助信息系統運營、使用單位或主管部門,完成第二級及以上信息系統備案工作,協助填寫《信息系統安全等級保護備案表》,準備備案材料,按照國家要求,到公安機關辦理備案手續。

6) 總結報告階段

客戶總結本單位的定級工作,并上報給定級項目工作組。定級工作小組匯總整個單位的定級情況,形成總結報告,提交客戶信息管理部門主管領導,并可同時報送給備案的公安機關。

上海衛道信息技術有限公司系統定級服務成果包括《信息系統等級保護定級報告》和《備案表》,同時,協助用戶完成信息系統定級備案。

2.2. 差距評估咨詢服務

上海衛道信息技術有限公司提供的差距評估咨詢服務可以為客戶進行信息系統安全建設規劃提供參考依據,幫助客戶找出信息系統存在的安全風險、風險緊急度以及與《信息系統安全等級保護基本要求》的差距。差距評估一般采用訪談、文檔查閱、工具檢測等方法對客戶信息系統進行脆弱性挖掘和分析。

差距評估是依據《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評要求》和《信息系統安全等級保護測評過程指南》,結合客戶信息系統的安全保護等級,確定差距評估的參考指標,對客戶信息系統進行安全評估。評估過程包括單項指標評估、系統間整體評估和綜合性評估。

上海衛道信息技術有限公司提供的差距評估基本流程如下:


1) 評估啟動階段

差距評估啟動階段首先成立評估小組,小組成員由上海衛道信息技術有限公司等級保護咨詢服務顧問和客戶信息管理、業務等相關部門人員組成。其次,由上海衛道信息技術有限公司提供評估小組成員等級保護政策和標準的相關培訓,使小組成員對等級保護有深入的理解和認識。最后,上海衛道信息技術有限公司項目組需與客戶共同確認本次差距評估的具體范圍,包括物理環境、網絡結構、網絡設備、業務系統和涉及的業務部門等。通過確認評估范圍,可以初步制定評估工作實施計劃。

2) 評估準備階段

評估準備階段是開展差距評估最重要的階段之一。本階段需確認評估范圍和評估內容,如物理環境、主機系統、網絡設備、應用系統、管理制度等;分析、確定對各評估內容的評估方法,如人員訪談、文檔檢查、人工審計、工具檢測等。并進一步編寫評估過程支撐性文檔,如調查表、指標選擇、差距分析表格、評估工具、實施操作手冊等。

3) 評估方案階段

評估方案階段依據準備階段整理的表格、內容和方法,編制評估實施方案。評估實施方案對差距評估進行系統性和整體性介紹,闡述評估的內容和方法。同時,實施方案應通過客戶的認可,以便獲得客戶對評估工作的支持。

4) 現場差距分析階段

評估小組成員根據準備階段確定的評估工具、制定的差距分析表格、調查表格等,識別信息系統現狀和安全要求之間的差距,明確整改目標和方向。現場差距分析階段可分為管理檢查組和技術檢查組兩個小組,分析內容如下:

安全技術差距分析:包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復;

安全管理差距分析:包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

5) 差距評估報告階段

差距評估報告階段,由評估小組歸納整理、分析現場記錄,明確目前信息系統與等級保護安全要求之間的差距,確定不符合項,經客戶確認最終形成《信息系統等級保護差距評估報告》,并提出整改建議。

上海衛道信息技術有限公司差距評估服務成果為《信息系統等級保護差距評估報告》。

2.3. 安全規劃建設咨詢服務

安全規劃建設咨詢服務可以為客戶提供整體規劃方案或整改建設方案。安全規劃建設以客戶的安全需求為基礎,依據系統定級、風險評估和差距評估結果,結合《信息系統安全等級保護基本要求》、《信息系統等級保護安全設計技術要求》進行綜合分析,確定技術框架和分域保護框架,從技術和管理兩個層面協助客戶完成技術措施方案和管理措施方案,進而,形成等級保護總體規劃方案或建設整改方案。上海衛道信息技術有限公司等級保護安全規劃建設服務具體內容如下:


1) 安全規劃方案

安全規劃是對客戶信息系統從全局角度出發進行的。首先,由上海衛道信息技術有限公司項目組與客戶方確定安全規劃范圍。進而,上海衛道信息技術有限公司依據等級保護相關要求對客戶信息系統進行未來兩至五年的安全建設規劃,用于指導客戶信息系統進行安全建設工作。安全規劃的具體內容包括安全需求、總體安全體系結構、安全技術規劃、安全管理規劃、實施計劃等內容。

2) 安全整改建設方案

安全整改建設方案是具體落地的方案,用于指導客戶進行信息系統建設,如進行安全域劃分、安全產品部署、管理制度建設等。上海衛道信息技術有限公司等級保護安全整改建設方案參考《信息系統安全等級保護基本要求》和《信息系統等級保護安全設計技術要求》,結合客戶信息系統的具體情況,進行安全整改建設方案的設計

上海衛道信息技術有限公司安全規劃建設咨詢服務成果包括《信息系統等級保護安全規劃方案》和《信息系統等級保護整改建設方案》

2.4. 安全整改建設咨詢服務

上海衛道信息技術有限公司等級保護安全整改建設咨詢服務是協助客戶在進行信息系統安全整改時落實具體措施的服務,幫助客戶進行網絡結構、安全域的調整,安全產品的集成部署,系統或設備的安全技術加固,安全管理制度的制定和完善,以及協助客戶在安全等級測評前準備相關材料。上海衛道信息技術有限公司等級保護安全整改建設咨詢服務內容如下:


1) 技術整改服務

技術整改服務包括安全產品集成服務和傳統技術加固服務兩部分。安全產品集成服務,即安全集成服務,上海衛道信息技術有限公司提供本公司所有安全產品和第三方安全產品的集成安裝部署,幫助客戶制定各類安全系統或設備的安全策略。傳統安全加固服務是對操作系統、數據庫系統、網絡設備、應用中間件等進行安全技術加固。上海衛道信息技術有限公司安全服務工程師對客戶各類系統或設備進行安全策略配置加固,在滿足等級保護相關要求的同時提升系統或設備的安全防護能力。

2) 安全管理咨詢服務

安全管理咨詢服務是上海衛道信息技術有限公司協助客戶、依據等級保護相關要求和客戶自身需求,制定的完善信息安全管理體系。安全管理著重于對技術策略和人員行為的管理與控制,上海衛道信息技術有限公司將從安全管理制度、安全組織、人員管理、系統建設管理和系統運維管理五個方面協助用戶制定各類安全策略、規范、指導、手冊及記錄文檔等。

3) 輔助測評服務

輔助測評服務是客戶信息系統在進行第三方等級保護測評機構測評之前,上海衛道信息技術有限公司為客戶所做的測評前相關材料準備工作,如測評申請書填寫、系統調查表填寫、技術和管理措施合理性檢查、測評前客戶培訓等服務,保障客戶信息系統一次性通過測評。測評后,協助客戶依據測評意見進行整改。

上海衛道信息技術有限公司結合自身多年來對信息系統等級保護相關標準深入的研究和理解,以及通過多年來大量等級保護建設項目實踐,已擁有眾多熟悉等級保護標準、方案設計與建設、等級保護測評工作的專業人員,能夠為客戶信息系統完成等級保護安全整改建設工作。