信息安全等级保护咨询服务

第1章 概述

1.1. 等级保护背景

我国总体安全形势比较严峻,信息安全法律法规和标准不完善、专业人才匮乏,总体技术比较落后。为了能够充分调动国家、法人和其他组织及公民的积极性,使信息系统安全建设更加突出重点、统一规范、科学合理,实行信息安全等级保护制度。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定与公共利益,保障和促进信息化建设健康发展的一项基本制度。

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定我国的计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

19999月公安部组织起草了《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。

2003年中共中央办公厅、国务院办公厅联合转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

20076月,四部委联合下发《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护的全面推广落实。

1.2. 系统安全保护等级

根据《关于印发信息安全等级保护管理办法的通知》(公通字[2007]43号):国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级: 


1.3. 等级保护具体保护要求

定级完成后,按相应等级规定的保护要求进行建设和整改。《信息安全等级保护基本要求》规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,用于指导分等级的信息系统的安全建设和监督管理。如下图所示:


1.3.1. 安全技术要求

物理安全

是指信息系统对应重要的物理安全设置,如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护等必要配置。采用访谈、检查的方法去了解这些内容。

网络安全

包括对路由器/交换机、防火墙、防病毒系统的重要操作,如结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置;对入侵检测系统的重要操作,如网络安全审计、网络入侵防范、恶意代码防范、网络设备防护等做必要配置。采用命令检查、配置界面、日志报表检查的方法对信息系统进行测试。

主机系统安全

对操作系统的重要操作,如令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制等做必要配置。主机系统包括Windows系统、Linux操作系统、HP-UX操作系统、AIX操作系统和Solaris操作系统等。采用命令检查、配置界面、日志报表检查的方法对信息系统进行测试。

数据安全和备份恢复

对数据库的重要操作,如软件完整性、数据完整性、访问控制、安全管理、审计、账户、权限、用户认证、网络连接安全、安全管理、文件权限等做必要配置。常用数据库包括SQLServerORACLEMySQLDB2等。采用命令检查、配置界面、日志报表检查的方法对信息系统进行测试。

应用安全

包括对应用的重要操作,如身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面做必要配置。采用命令检查、配置界面、日志报表检查等方式对应用进行了解。

1.3.2. 安全管理要求

安全管理要求包括对安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。主要采取的了解手段有人员访谈和文档检查。

适用于人员访谈方式的对象包括:组织内的安全管理人员、安全员、安全主管、工作人员、关键活动批准人、管理人员(负责定期评审、修订和日常维护的人员)、机房值守人员、人事负责人及工作人员、审计员、网络管理员、文档管理员、物理安全负责人、系统管理员、系统建设负责人、系统运维负责人、资产管理员等不同类型岗位的人员。

适用于文档检查方式的对象包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档。

1.4. 等级保护建设通用流程

等级保护建设通用流程是根据《信息系统安全等级保护实施指南》中实施流程和等级保护建设项目实际情况进一步细化得到的操作流程,如下图所示。


系统定级

对信息系统进行分析调查,确定定级对象,根据国家及行业要求和规范对定级对象进行分析,确定安全保护等级,定级结果经过专家(第三方及甲方或乙方相关人员)评审后,编写《信息系统等级保护定级报告》。

系统备案

填写《备案表》及相关资料,向主管部门进行备案。已运营(运行)的第二级以上信息系统,应当到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当到所在地的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地的市级以上公安机关备案。

差距评估

采用检查、人工审计、工具等方式对信息系统进行分析,查找与《信息系统等级保护基本要求》以及行业要求的差距,形成《差距评估报告》,从而提出安全整改建议。

整改建设方案

根据安全需求或整改建议对信息系统进行安全规划建设方案编写,方案可能是规划方案,也可能是整改建设落地方案。方案通过专家评审后,用于指导安全措施实施。

安全建设实施

安全建设实施是根据整改建设方案来细化具体安全产品部署和网络结构及安全域的改造,以及对各类系统或设备进行安全加固,同时对安全管理体系相关文档进行细化落地。

自查阶段

在安全技术和安全管理措施实施完成以后,参照《基本要求》和《测评要求》对信息系统进行一次安全检查,查看是否所有措施都已得到落实,以便及时发现问题,及时修补。

测评阶段

准备信息系统等级测评的相关材料,提交给第三方等级保护测评机构进行测评。若测评未通过,需按测评意见进行整改,并等待进行二次测评。

1.5. 聘请专业顾问的必要性

等级保护测评过程是一个复杂的过程,寻求外部咨询顾问提供帮助是非常必要的。上海卫道信息技术有限公司等级保护咨询服务可以帮助客户根据国家等级保护相关标准要求建立信息安全体系,协助客户通过测评。

信息安全咨询顾问可以帮助客户建立信息安全管理体系并且协助通过认证。

由于专业分工的限制和条件制约,客户不可能在各个方面都能确切知道自己内部和外部面临的信息安全问题,也很难把握自身现状与标准要求之间的差距。另外,从成本角度考虑,大部分客户不会自己组建专职的信息安全顾问团队,就更难在建设全面的信息安全体系上获得成功。专业的咨询顾问不但具有丰富的实践经验和知识积累,而且可以以第三方的视角客观、公正、全面地分析客户现存问题。打个比方,如果将客户比作病人,面临信息安全方面的病患,迫切需要诊治,专业的咨询顾问就应该能够承担医生的角色,为客户把脉诊断,开方抓药,取得事半功倍的效果。

信息安全咨询顾问可以从客观的角度分析解决问题症结

由于客户自身条件的限制,其现有资源往往不足以应对客户信息安全问题的分析和解决,或者利用客户现有的人力资源解决问题会成本过高,加上企业内部错综复杂的关系往往通过外部力量更好疏通和协调,这样一来,借助外部咨询顾问为其分析问题症结,并提出有针对性的解决方案,其获益将会更直接更快捷,也能更让人信服。此外,一个优秀的咨询公司往往在不同地区或者不同领域都有着丰富的经验,接触的客户多,接触的先进管理方式也较多,并且建立有完整的知识库和有效的方法论,往往会给客户带来很多新意识、新思维和新观念,这是客户乐意接受的。

增强企业解决信息安全问题的能力

在有咨询顾问协助的项目实施过程中,通过不断沟通和交流,客户会逐渐掌握咨询顾问解决特定问题的方法和技术,增强解决信息安全问题的能力。信息安全咨询项目是十分系统和专业的,需要足够的经验和知识积累,由具有非常强的专业技能的人员为企业提供咨询服务,同时将所需知识和技能逐渐传递和转移给企业,这是企业寻求咨询顾问支持所看重的。所谓授人以鱼,不如授人以渔,在取得项目成功的同时,还能提升自己的能力,客户何乐而不为?


第2章 咨询服务内容

上海卫道信息技术有限公司根据国家、地方、行业的等级保护相关政策和标准要求,结合客户信息系统具体情况,为客户提供全面的等级保护咨询服务,包括系统定级咨询服务、差距评估咨询服务、安全规划建设咨询服务和安全整改建设咨询服务。凭借多年来的等级保护实践经验,上海卫道信息技术有限公司提供的等级保护咨询服务可以帮助客户完成信息系统安全技术体系和安全管理体系建设,使其满足《信息系统安全等级保护基本要求》中相应保护等级要求,并能够顺利通过等级保护测评机构测评;可以协助客户对业务系统和相关资产进行一次全面的梳理,确保重点保护对象,分析信息系统存在的各类脆弱性和安全威胁,减少安全风险。


1.1. 系统定级咨询服务

上海卫道信息技术有限公司提供的系统定级咨询服务可以协助客户完成信息系统定级和备案。具体工作有:帮助客户分析信息系统,包括其网络结构、设备部署、业务系统、服务范围、用户群体、管理机构等;对规模庞大的信息系统进行划分,确定定级对象;根据国家、地方和行业相关要求,确定业务信息安全和系统服务安全受到破坏时所侵害的客体和对客体造成侵害的程度;确定业务系统安全等级和系统服务安全等级,最终确定定级对象的安全保护等级。信息系统定级结果经客户和相关专家审核和批准后,协助客户完成《信息系统等级保护定级报告》和《备案表》,并向相关主管部门备案。

上海卫道信息技术有限公司为客户提供的系统定级咨询服务流程如下所示:


1) 定级准备阶段

客户的信息系统涉及其信息管理部门和各业务部门。由于业务部门熟悉信息系统的业务要求和受损害后的影响程度,所以业务部门在信息系统定级工作中处于主导地位。定级工作小组由上海卫道信息技术有限公司等级保护服务顾问与客户的信息管理部门、业务部门等人员共同组成。首先,成立定级工作小组;其次,由上海卫道信息技术有限公司提供等级保护政策和相关标准的培训,确保定级工作小组对等级保护达成统一的认识和理解,为开展定级工作奠定基础;最后,定级工作小组确定客户信息系统的定级范围,并制定定级工作实施计划。

2) 信息系统摸底调查阶段

上海卫道信息技术有限公司等级保护服务顾问向定级工作小组介绍信息系统调查的具体内容和方法,统一小组成员的工作思路和方法。定级工作小组按照信息系统调查表进行调研,分析系统具体情况,形成《信息系统分析报告》,为信息系统保护等级的确定奠定基础。

3) 初步定级阶段

定级工作小组确定具体定级对象后,根据《信息系统安全等级保护定级指南》,结合各行业、各单位的自身特点,及主管部门的自身要求,分析定级对象的业务信息安全保护等级和系统服务安全保护等级。上海卫道信息技术有限公司根据信息系统实际情况和多年实践经验,对客户定级报告的合理性进行初步研究和审核,根据国家标准,对各等级的报告内容、行文格式、定级准确性等给出修改意见。定级工作小组根据定级报告修改建议,修改、汇总、整理定级报告,形成定级报告专家评审稿。

4) 评审和审批阶段

初步确定客户信息系统安全保护等级后,上海卫道信息技术有限公司协助客户聘请等级保护专家、行业专家、主管机关领导等外部专家,召开客户信息系统定级评审会,对定级报告进行外部评审,并形成评审意见。进而,协助客户参考专家评审意见,最终确定信息系统安全保护等级,并进一步修改《信息系统安全保护等级定级报告》和行业化定级指导建议(若有),形成最终的定级报告。若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,上海卫道信息技术有限公司将协助定级报告审批工作。

5) 协助备案阶段

根据《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号),上海卫道信息技术有限公司协助信息系统运营、使用单位或主管部门,完成第二级及以上信息系统备案工作,协助填写《信息系统安全等级保护备案表》,准备备案材料,按照国家要求,到公安机关办理备案手续。

6) 总结报告阶段

客户总结本单位的定级工作,并上报给定级项目工作组。定级工作小组汇总整个单位的定级情况,形成总结报告,提交客户信息管理部门主管领导,并可同时报送给备案的公安机关。

上海卫道信息技术有限公司系统定级服务成果包括《信息系统等级保护定级报告》和《备案表》,同时,协助用户完成信息系统定级备案。

2.2. 差距评估咨询服务

上海卫道信息技术有限公司提供的差距评估咨询服务可以为客户进行信息系统安全建设规划提供参考依据,帮助客户找出信息系统存在的安全风险、风险紧急度以及与《信息系统安全等级保护基本要求》的差距。差距评估一般采用访谈、文档查阅、工具检测等方法对客户信息系统进行脆弱性挖掘和分析。

差距评估是依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》,结合客户信息系统的安全保护等级,确定差距评估的参考指标,对客户信息系统进行安全评估。评估过程包括单项指标评估、系统间整体评估和综合性评估。

上海卫道信息技术有限公司提供的差距评估基本流程如下:


1) 评估启动阶段

差距评估启动阶段首先成立评估小组,小组成员由上海卫道信息技术有限公司等级保护咨询服务顾问和客户信息管理、业务等相关部门人员组成。其次,由上海卫道信息技术有限公司提供评估小组成员等级保护政策和标准的相关培训,使小组成员对等级保护有深入的理解和认识。最后,上海卫道信息技术有限公司项目组需与客户共同确认本次差距评估的具体范围,包括物理环境、网络结构、网络设备、业务系统和涉及的业务部门等。通过确认评估范围,可以初步制定评估工作实施计划。

2) 评估准备阶段

评估准备阶段是开展差距评估最重要的阶段之一。本阶段需确认评估范围和评估内容,如物理环境、主机系统、网络设备、应用系统、管理制度等;分析、确定对各评估内容的评估方法,如人员访谈、文档检查、人工审计、工具检测等。并进一步编写评估过程支撑性文档,如调查表、指标选择、差距分析表格、评估工具、实施操作手册等。

3) 评估方案阶段

评估方案阶段依据准备阶段整理的表格、内容和方法,编制评估实施方案。评估实施方案对差距评估进行系统性和整体性介绍,阐述评估的内容和方法。同时,实施方案应通过客户的认可,以便获得客户对评估工作的支持。

4) 现场差距分析阶段

评估小组成员根据准备阶段确定的评估工具、制定的差距分析表格、调查表格等,识别信息系统现状和安全要求之间的差距,明确整改目标和方向。现场差距分析阶段可分为管理检查组和技术检查组两个小组,分析内容如下:

² 安全技术差距分析:包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;

² 安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

5) 差距评估报告阶段

差距评估报告阶段,由评估小组归纳整理、分析现场记录,明确目前信息系统与等级保护安全要求之间的差距,确定不符合项,经客户确认最终形成《信息系统等级保护差距评估报告》,并提出整改建议。

上海卫道信息技术有限公司差距评估服务成果为《信息系统等级保护差距评估报告》。

2.3. 安全规划建设咨询服务

安全规划建设咨询服务可以为客户提供整体规划方案或整改建设方案。安全规划建设以客户的安全需求为基础,依据系统定级、风险评估和差距评估结果,结合《信息系统安全等级保护基本要求》、《信息系统等级保护安全设计技术要求》进行综合分析,确定技术框架和分域保护框架,从技术和管理两个层面协助客户完成技术措施方案和管理措施方案,进而,形成等级保护总体规划方案或建设整改方案。上海卫道信息技术有限公司等级保护安全规划建设服务具体内容如下:


1) 安全规划方案

安全规划是对客户信息系统从全局角度出发进行的。首先,由上海卫道信息技术有限公司项目组与客户方确定安全规划范围。进而,上海卫道信息技术有限公司依据等级保护相关要求对客户信息系统进行未来两至五年的安全建设规划,用于指导客户信息系统进行安全建设工作。安全规划的具体内容包括安全需求、总体安全体系结构、安全技术规划、安全管理规划、实施计划等内容。

2) 安全整改建设方案

安全整改建设方案是具体落地的方案,用于指导客户进行信息系统建设,如进行安全域划分、安全产品部署、管理制度建设等。上海卫道信息技术有限公司等级保护安全整改建设方案参考《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合客户信息系统的具体情况,进行安全整改建设方案的设计

上海卫道信息技术有限公司安全规划建设咨询服务成果包括《信息系统等级保护安全规划方案》和《信息系统等级保护整改建设方案》

2.4. 安全整改建设咨询服务

上海卫道信息技术有限公司等级保护安全整改建设咨询服务是协助客户在进行信息系统安全整改时落实具体措施的服务,帮助客户进行网络结构、安全域的调整,安全产品的集成部署,系统或设备的安全技术加固,安全管理制度的制定和完善,以及协助客户在安全等级测评前准备相关材料。上海卫道信息技术有限公司等级保护安全整改建设咨询服务内容如下:


1) 技术整改服务

技术整改服务包括安全产品集成服务和传统技术加固服务两部分。安全产品集成服务,即安全集成服务,上海卫道信息技术有限公司提供本公司所有安全产品和第三方安全产品的集成安装部署,帮助客户制定各类安全系统或设备的安全策略。传统安全加固服务是对操作系统、数据库系统、网络设备、应用中间件等进行安全技术加固。上海卫道信息技术有限公司安全服务工程师对客户各类系统或设备进行安全策略配置加固,在满足等级保护相关要求的同时提升系统或设备的安全防护能力。

2) 安全管理咨询服务

安全管理咨询服务是上海卫道信息技术有限公司协助客户、依据等级保护相关要求和客户自身需求,制定的完善信息安全管理体系。安全管理着重于对技术策略和人员行为的管理与控制,上海卫道信息技术有限公司将从安全管理制度、安全组织、人员管理、系统建设管理和系统运维管理五个方面协助用户制定各类安全策略、规范、指导、手册及记录文档等。

3) 辅助测评服务

辅助测评服务是客户信息系统在进行第三方等级保护测评机构测评之前,上海卫道信息技术有限公司为客户所做的测评前相关材料准备工作,如测评申请书填写、系统调查表填写、技术和管理措施合理性检查、测评前客户培训等服务,保障客户信息系统一次性通过测评。测评后,协助客户依据测评意见进行整改。

上海卫道信息技术有限公司结合自身多年来对信息系统等级保护相关标准深入的研究和理解,以及通过多年来大量等级保护建设项目实践,已拥有众多熟悉等级保护标准、方案设计与建设、等级保护测评工作的专业人员,能够为客户信息系统完成等级保护安全整改建设工作。


本网站由阿里云提供云计算及安全服务