安徽等级保护咨询服务
1.等级保护概述
网络安全等级保护(以下简称“等级保护”)是国家网络安全保障的基本制度、基本策略、基本方针。开展网络安全等级保护工作是保护信息化发展、维护国家网络安全的根本保障,是网络安全保障工作中国家意志的体现。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的网络安全保障体系,是适合我国国情、系统化地解决大型组织网络安全问题的一个非常有效的方法。
国家网络安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
为进一步贯彻落实《国家信息化领导小组关于加强网络安全保障工作的意见》
(中办发[2003]27号)、《关于网络安全等级保护工作的实施意见》(公通字[2004]66号)、《网络安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)、《中华人民共和国网络安全法》等法律法规及各类文件的精神和要求,提高我国基础信息网络和重要信息系统的网络安全保护能力和水平,自2007年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。
灵狐科技长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,协助客户重要信息系统定级、等级保护整改等多项工作,在等级保护工作实践中积累了丰富的经验。
灵狐科技进行等级保护咨询服务时,主要参考标准如下:
➢ 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
➢ 《信息系统安全等级保护定级指南》(GB/T22240-2008)
➢ 《信息系统安全等级保护基本要求》(GB/T22239-2019)
➢ 《信息系统安全等级保护实施指南》(GB/T25058-2010)
➢ 《网络安全技术网络基础安全技术要求》(GB/T20270-2006)
➢ 《网络安全技术信息系统通用安全技术要求》(GB/T20271-2006)
➢ 《网络安全技术操作系统安全技术要求》(GB/T20272-2006)
➢ 《网络安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
➢ 《网络安全技术应用系统安全等级保护通用技术指南》(GA/T711-2007)
➢ 《网络安全技术服务器技术要求》(GB/T21028-2007)
➢ 《网络安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
➢ 《网络安全技术信息系统安全管理要求》(GB/T20269-2006)
➢ 《网络安全技术信息系统安全工程管理要求》(GB/T20282-2006)
➢ 《网络安全技术网络安全事件分类分级指南》(GB/Z20986-2007)
2.灵狐科技等级保护咨询服务流程
2.1. 定级备案
灵狐科技咨询顾问协助用户单位,依据《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。
2.2. 现状调研
灵狐科技对客户信息系统进行细致、深入的现状调研。明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
2.3. 差距分析
通过信息系统安全等级保护差距分析工作,明确客户信息系统当前安全防护情况,了解系统的基本安全状况和防护能力,了解现有安全措施和设备发挥作用的情况,管理体系的健全程度。同时也明确与网络安全等级保护要求的差距及不符合项,为下一步针对不符合项的风险评估提供基础。
2.3.1. 准备基线差距分析表
灵狐科技咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。
在整理差距分析表时,灵狐科技咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:
➢ 安全技术差距分析
➢ 安全管理差距分析
2.3.2. 现场差距分析
现场差距分析阶段,灵狐科技咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。现场工作阶段,网御星云咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:
➢ 管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填写差距分析表的相关部分;
➢ 技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的相关部分。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。
➢ 查看制度和记录
为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)和其它相关文档(例如定级报告)等。
➢ 人员访谈
灵狐科技咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。根据客户的回答,获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。
通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,不同于调查表,项目组成员可以广泛提问,从多个角度获得多方面的信息。
➢ 现场检查
灵狐科技咨询顾问也可对客户办公环境和机房内环境作现场检查,观察人员的行为和环境状况,了解制度的执行情况及技术要求落实情况。根据现场勘查的结果,获得相应咨询信息。
2.3.3. 与客户确认现场记录
在差距分析阶段,灵狐科技咨询顾问如实记录通过文档检查、现场访谈和现场检查获得的信息系统现状,并与客户相关人员沟通、确认现场记录,确保记录的准确性。
2.3.4. 生成差距分析报告
灵狐科技咨询顾问归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,生成等级保护差距分析报告。
2.4. 风险评估
2.4.1. 信息资产评估
信息资产包括信息资产、软件资产、物理资产、服务资产、无形资产以及人员及其资格、技能和经验等内容。风险评估的出发点是对与风险有关的各因素的确认和分析,与网络安全风险有关的因素可以包括四大类:资产、威胁、脆弱性、安全控制措施。
2.4.2. 基于大数据的风险评估
大数据分析技术应用于网络安全风险评估,不仅可以提高网络安全团队的效率和响应速度,而且对企业内部传统的网络安全专业人员来说,大数据分析可以发现你永远想象不到的数据泄漏、挖掘出你不知道需要提出的问题、找出不同数据来源之间的关联、发现你从来不知道的IT操作问题、找出你不知道的策略违规行为。
2.4.3. 风险组合
对差距分析和风险评估出来的各类风险进行汇总与组合,对信息资产风险进行汇总。风险种类分为:管理类风险、技术类风险、操作类风险。
2.5. 整改建设
2.5.1. 方案设计
灵狐科技咨询顾问参考国家标准《信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》,依据差距分析的结论,在与客户充分沟通后,结合客户实际情况,给出专家级的安全整改和建议方案。
在整改建议方案中,灵狐科技咨询顾问会对第一级至第五级信息系统安全保护环境的各个方面提出整改方案。在方案中会从技术和安全管理制度两个方面提出整改需求。并提出整改方案对应表,在对应表中将每一项等保要求与保护措施的对应起来,是等保整改建议方案的概括与总结。
2.5.2. 整改实施
灵狐科技咨询顾问根据安全整改方案,结合用户的实际需求,协助用户完成设备的选型、采购、安装、策略配置等活动,协助用户搭建完善的技术防护系统和安全管理体系,保障信息系统的安全稳定运行。
2.6. 协助测评
灵狐科技咨询顾问协助用户单位选择第三方测评机构,开展信息系统等级保护验收测评工作,保障通过等级保护验收测评。
测评通过后,根据国家相关要求,需要定期对信息系统安全状况、安全保护
制度及措施的落实情况进行评估。第三级信息系统每年至少进行一次评估,第四级信息系统每半年至少进行一次评估。灵狐科技可以在测评通过后,定期为客户提供评估服务,确保信息系统长期处于一种动态的合规安全状态中。
3.等级保护咨询服务对客户收益
➢ 帮助客户有效地落实等级保护设计成果,达到国家相关等级保护建设要求。
➢ 通过一系列的等级保护实施服务,缩短从体系设计到体系实现的过程,避免咨询服务成果与安全建设脱节的弊病,达到安全咨询的真正效果。
➢ 对于中小型系统,直接可以利用灵狐科技的知识体系,将等级保护的要求转化为等级保护的实施效果,节约安全体系的建设时间和资金成本。