安全资讯

安徽等级保护咨询服务

1.等级保护概述

      网络安全等级保护(以下简称“等级保护”)是国家网络安全保障的基本制度、基本策略、基本方针。开展网络安全等级保护工作是保护信息化发展、维护国家网络安全的根本保障,是网络安全保障工作中国家意志的体现。

通过将等级化方法和安全体系方法有效结合,设计一套等级化的网络安全保障体系,是适合我国国情、系统化地解决大型组织网络安全问题的一个非常有效的方法。

国家网络安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

为进一步贯彻落家信息化领导小组关于加强网络安全保障工作的意见》

(中办发[2003]27号)、《关于网络安全等级保护工作实施意见》(公通字[2004]66号)、《网络安全等级保护管理办法》(公通[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知(公信[2007]861号)、《中华人民共和国网络安全法》等法律法规及各类文件的精神和要求,提高我国基础信息网络和重要信息系统的网络安全保护能力和水平,自2007年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。

灵狐科技长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工,协助客户重要信息系统定级、等级保护整改等多项工作,在等级保护工作实践中积累了丰富的经验。

灵狐科技进行等级保护咨询服务时,主要参考标准如下:

  《计算机信息系统安全保护等级划分准则》GB17859-1999

  《信息系统安全等级保护定级指南》GB/T22240-2008

  《信息系统安全等级保护基本要求》GB/T22239-2019

  《信息系统安全等级保护实施指南》GB/T25058-2010

  《网络安全技术网络基础安全技术要求》(GB/T20270-2006

  《网络安全技术信息系统通用安全技术要求》GB/T20271-2006

  《网络安全技术操作系统安全技术要求》(GB/T20272-2006

  《网络安全技术数据库管理系统安全技术要求》GB/T20273-2006

  《网络安全技术应用系统安全等级保护通用技术指南GA/T711-2007

  《网络安全技术服务器技术要求》(GB/T21028-2007

  《网络安全技术终端计算机系统安全等级技术要求GA/T671-2006

  《网络安全技术信息系统安全管理要求》(GB/T20269-2006

  《网络安全技术信息系统安全工程管理要求》GB/T20282-2006

  《网络安全技术网络安全事件分类分级指南》GB/Z20986-2007

2.灵狐科技等级保护咨询服务流程

2.1.  定级备案

灵狐科技咨询顾问协助用户单位,依《信息系统安全等级保护定级指南,确定信息系统的安全保护等级,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。

2.2.  现状调研

灵狐科技对客户信息系统进行细致、深入的现状调研。明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。

2.3.  差距分析

   通过信息系统安全等级保护差距分析工作,明确客户信息系统当前安全防护情况,了解系统的基本安全状况和防护能力,了解现有安全措施和设备发挥作用的情况,管理体系的健全程度。时也明确与网络安全等级保护要求的差距及不符合项,为下一步针对不符合项的风险评估提供基础。

2.3.1.   准备基线差距分析表

     灵狐科技咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。

在整理差距分析表时灵狐科技咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:

  安全技术差距分析

  安全管理差距分析

2.3.2.   现场差距分析

     现场差距分析阶段灵狐科技咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。现场工作阶段网御星云咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:

  管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填写差距分析表的相关部分;

  技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的相关部分。

在差距分析阶段,可通过以下方式收集信,详细了解客户信息统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。

  查看制度和记录

为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)和其它相关文档(例如定级报告)等。

  人员访谈

灵狐科技咨询顾问与客户组织内有关的管理技术和一般员工进行逐个沟通。根据客户的回答,获相应信息,并可验证前收集到的资料,从提高其准确度和完整性。

通过访谈管理和技术员,项目组成员可以集到业务系统相关的理、环境、安全组织结构、作习惯等大量有用的息,也可以了解到被访谈者的安全意识和安全技能等自素质。由于访谈的互,不同于调查表,目组成员可以广泛提问,从多个角度获得多方面的信息。

  现场检查

灵狐科技咨询顾问也可对客户办公环境和机房内环境作现场检查,观察人员的行为和环境状况,了解制度的执行情况及技术要求落实情况。根据现场勘查的结果,获得相应咨询信息。

2.3.3.   与客户确认现场记录

      在差距分析阶段灵狐科技咨询顾问如实记通过文档检查、现场访谈和现场检查获得的信息系现状,并与客户相关员沟通、确认现场记,确保记录的准确性。

2.3.4.   生成差距分析报告

 

灵狐科技咨询顾问归整理、分析现场记录找出目前信息系统与级保护安全要求之间的差距,生成等级保护差距分析报告。

 

2.4.  风险评估

2.4.1.   信息资产评估

         信息资产包括信息资、软件资产、物理资、服务资产、无形资以及人员及其资格、技能和验等内容。风险评估出发点是对与风险有的各因素的确认和分析与网络安全风险有关的因素可以包括四大类资产脆弱性、安全控制措施。

2.4.2.   基于大数据的风险评估

       大数据分析技术应用网络安全风险评估,仅可以提高网络安全队的效率和响应速度而且对企业内部传统的网络安全专业人员来说大数据分析可以发现你永远想象不到数据泄漏、挖掘出你知道需要提出的问题找出不同数据来源之间的关联发现你从来不知道的IT操作问题找出你不知道的策略违规行为。

2.4.3.   风险组合

 

对差距分析和风险评出来的各类风险进行总与组合,对信息资风险进行汇总。风险种类分为:管理类风险、技术类风险、操作类风险。

2.5.  整改建设

2.5.1.   方案设计

        灵狐科技咨询顾问考国家标准《信息系安全等级保护基本要》、《信息安全技术信息系统等级保护安全设计技术要求依据差距分析的结论在与客户充分沟通后,结合客户实际情况,给出专家级的安全整改建议方案。

在整改建议方案中,灵狐科技咨询顾问会对一级至第五级信息系安全保护环境的各个方面提整改方案。在方案中从技术和安全管理制两个方面提出整改需求。并提出改方案对应表,在对表中将每一项等保要与保护措施的对应起来,是等保整改建议方案的概括与总结。

2.5.2.   整改实施

         灵狐科技咨询顾问根安全整改方案,结合户的实际需求,协助户完成设备的选型、采购、装、策略配置等活动协助用户搭建完善的术防护系统和安全管理体系,保障信息系统的安全稳定运行。

2.6.  协助测评

灵狐科技咨询顾问协用户单位选择第三方评机构,开展信息系等级保护验收测评工作,保障通过等级保护验收测评。

测评通过后,根据国相关要求,需要定期信息系统安全状况、全保护

制度及措施的落实情进行评估。第三级信系统每年至少进行一评估,第四级信息系统每半年至进行一次评估灵狐科技可以在测评通过后定期为客户提供评估服务,确保信息系统长期处于一种动态的合规安全状态中。

3.等级保护咨询服务对客户收益

  帮助客户有效地落实等级保护设计成果,达到国家相关等级保护建设要求。

  通过一系列的等级保护实施服务,缩短从体系设计体系实现的过程,避免咨询服务成果与安全建设脱节的弊病,达到安全咨询的真正效果。

  对于中小型系统,直接可以利用灵狐科技的知识体系,将等级保护的要求转化为等级保护的实施效果,节约安全体系的建设时间和资金成本。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号