等級保護(hù)保護(hù)整改與安全建設(shè)工作重要性
依據(jù)公通字[2007]43號文的要求�,信息系統(tǒng)定級工作完成后���,運(yùn)營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改�����,使用符合國家有關(guān)規(guī)定�、滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作�。
??????? 等級保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)�,在確定不同系統(tǒng)重要程度的基礎(chǔ)上,進(jìn)行重點(diǎn)保護(hù)���。整改工作要遵循國家等級保護(hù)相關(guān)要求�����,將等級保護(hù)要求體現(xiàn)到方案�����、產(chǎn)品和安全服務(wù)中去��,并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求���,建設(shè)一套全面保護(hù)�����、重點(diǎn)突出��、持續(xù)運(yùn)行的安全保障體系���,將等級保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)�����、評估�����、運(yùn)行和維護(hù)等各個環(huán)節(jié)���,保障企業(yè)的信息安全���。
??????? 啟明星辰等級保護(hù)整改與安全建設(shè)過程
??????? 啟明星辰等級保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求,針對客戶已定級備案的信息系統(tǒng)�、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng),結(jié)合客戶組織架構(gòu)���、業(yè)務(wù)要求��、信息系統(tǒng)實(shí)際情況��,通過一套規(guī)范的等保整改過程����,協(xié)助客戶進(jìn)行風(fēng)險評估和等級保護(hù)差距分析��,制定完整的安全整改建議方案���,并根據(jù)需要協(xié)助客戶對落實(shí)整改實(shí)施方案或進(jìn)行方案的評審����、招投標(biāo)��、整改監(jiān)理等工作���,協(xié)助客戶完成信息系統(tǒng)等級保護(hù)整改和安全建設(shè)工作���。
??????? 啟明星辰等保整改與建設(shè)過程主要包括等級保護(hù)差距分析、等級保護(hù)整改建議方案、等級保護(hù)整改實(shí)施三個階段�����。
??????? (一) 等級保護(hù)差距分析
??????? 1. 等級保護(hù)風(fēng)險評估
??????? 1) 評估目的
??????? 對信息系統(tǒng)進(jìn)行安全等級評估是國家推行等級保護(hù)制度的一個重要環(huán)節(jié)����,也是對信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。
??????? 等級評估不同于按照等級保護(hù)要求進(jìn)行的等保差距分析���。風(fēng)險評估的目標(biāo)是深入�����、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險狀況��,而差距分析則是按照等保的所有要求進(jìn)行符合性檢查�����,檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度��?���?梢哉f,風(fēng)險評估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀�����,比差距分析結(jié)果在技術(shù)上更加深入�。風(fēng)險評估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入��。
??????? 啟明星辰通過專業(yè)的等級評估服務(wù)���,協(xié)助用戶完成以下的目標(biāo):
??????? ● 了解信息系統(tǒng)的管理�����、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀���;
??????? ● 確定可能對資產(chǎn)造成危害的威脅;
??????? ● 確定威脅實(shí)施的可能性����;
??????? ● 對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴(yán)重性�,以及相應(yīng)的級別,確定哪些資產(chǎn)是最重要的���;
??????? ● 對最重要的�����、最敏感的資產(chǎn)���,確定一旦威脅發(fā)生其潛在的損失或破壞�����;
??????? ● 明確信息系統(tǒng)的已有安全措施的有效性�����;
??????? ● 明晰信息系統(tǒng)的安全管理需求����。
??????? 2) 評估內(nèi)容
??????? ● 資產(chǎn)識別與賦值
??????? ● 主機(jī)安全性評估
??????? ● 數(shù)據(jù)庫安全性評估
??????? ● 安全設(shè)備評估
??????? 現(xiàn)場風(fēng)險評估用到的主要評估方法包括:
??????? ● 漏洞掃描
??????? ● 控制臺審計
??????? ● 技術(shù)訪談
??????? 3) 評估分析
??????? 根據(jù)現(xiàn)場收集的信息及對這些信息的分析����,評估小組形成定級信息系統(tǒng)的弱點(diǎn)評估報告、風(fēng)險評估報告等文檔���,使客戶充分了解信息系統(tǒng)存在的風(fēng)險���,作為等保差距分析的一項(xiàng)重要輸入�����,并作為后續(xù)整改建設(shè)的重要依據(jù)�。
??????? 2. 等保差距分析
???????? 通過差距分析���,可以了解客戶信息系統(tǒng)的現(xiàn)狀,確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級要求之間的差距�,確定不符合安全項(xiàng)。
??????? 1) 準(zhǔn)備差距分析表
???????? 項(xiàng)目組通過準(zhǔn)備好的差距分析表��,與客戶確認(rèn)現(xiàn)場溝通的對象(部門和人員)�����,準(zhǔn)備相應(yīng)的檢查內(nèi)容�。
???????? 在整理差距分析表時,整改項(xiàng)目組會根據(jù)信息系統(tǒng)的安全等級從基本要求中選擇相應(yīng)等級的基本安全要求�,根據(jù)及風(fēng)險評估的結(jié)果進(jìn)行調(diào)整,去掉不適用項(xiàng)����,增加不能滿足客戶信息系統(tǒng)需求的安全要求���。
???????? 差距分析表包含以下內(nèi)容:
??????? ● 安全技術(shù)差距分析:包括網(wǎng)絡(luò)安全、主機(jī)安全�����、應(yīng)用安全����、數(shù)據(jù)安全及備份恢復(fù);
??????? ● 安全管理差距分析:包括安全管理制度�����、安全管理機(jī)構(gòu)����、人員安全管理、系統(tǒng)建設(shè)管理�;
??????? ● 系統(tǒng)運(yùn)維差距分析:包括環(huán)境管理、資產(chǎn)管理����、介質(zhì)管理、監(jiān)控管理和安全管理中心����、網(wǎng)絡(luò)安全管理����、系統(tǒng)安全管理����、惡意代碼防范管理、密碼管理��、變更管理���、備份與恢復(fù)管理、安全事件處置����;
??????? ● 物理安全差距分析:包括物理位置的選擇、物理訪問控制�����、防盜竊和防破壞����、防雷擊���、防火、防水和防潮��、防靜電���、溫濕度控制��、電力供應(yīng)�����、電磁防護(hù)����。
???????? 不同安全保護(hù)級別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同���。
??????? 2) 現(xiàn)場差距分析
??????? 整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求���,對比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距,確定不符合項(xiàng)���。
??????? 現(xiàn)場工作階段��,整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個小組���。
??????? 在差距分析階段���,可以通過以下方式收集信息,詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀���,并通過分析所收集的資料和數(shù)據(jù)����,以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級的安全要求�����,需要進(jìn)行哪些方面的整改�����。
??????? ● 查驗(yàn)文檔資料
??????? ● 人員訪談
??????? ● 現(xiàn)場測試
??????? 3) 生成差距分析報告
??????? 完成現(xiàn)場差距分析之后��,整改項(xiàng)目組歸納整理���、分析現(xiàn)場記錄�����,找出目前信息系統(tǒng)與等級保護(hù)安全要求之間的差距���,明確不符合項(xiàng),生成《等級保護(hù)差距分析報告》�����。
??????? (二) 等級保護(hù)整改建議方案
??????? 1. 整改目標(biāo)溝通確認(rèn)
??????? 通過與客戶高層領(lǐng)導(dǎo)�、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行廣泛的溝通協(xié)商,啟明星辰會依據(jù)風(fēng)險評估和差距分析的結(jié)果�����,明確等級保護(hù)整改工作的工作目標(biāo)�����,提出等級保護(hù)整改建議方案���。
??????? 對暫時難以進(jìn)行整改的部分內(nèi)容�����,將在討論后作為遺留問題��,明確列在整改建議方案中����。
??????? 2. 總體框架
??????? 根據(jù)等保安全要求,啟明星辰提出如下的安全整改建議�����,其中PMOT體系是信息安全保障總體框架模型���。
????????????????????????????????????????????????????????????????????????????? 圖? 信息安全PMOT體系模型
??????? 啟明星辰根據(jù)建議方案的設(shè)計原則��,協(xié)助客戶制定總體安全保障體系架構(gòu)����,包括制定安全策略�,結(jié)合等級保護(hù)基本要求和安全保護(hù)特殊要求,來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系�、安全管理體系及安全運(yùn)維體系���,具體內(nèi)容包括:
??????? ● 建立和完善安全策略:最高層次的安全策略文件��,闡明安全工作的使命和意愿�,定義信息安全工作的總體目標(biāo)。
??????? ● 安全技術(shù)體系:安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御��、安全通信網(wǎng)絡(luò)����、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系��、冗余與備份以及安全管理中心�。
??????? ● 建立和完善安全管理體系:建立安全管理制度,建立信息安全組織��,規(guī)范人員管理和系統(tǒng)建議管理��。
??????? ● 安全運(yùn)維體系:機(jī)房安全����,資產(chǎn)及設(shè)備安全,網(wǎng)絡(luò)與系統(tǒng)安全管理���、監(jiān)控和安全管理等����。
??????? 展開后的等級保護(hù)整改與安全建設(shè)總體框架如下圖所示,從信息安全整體策略Policy���、安全管理體系Management�����、安全技術(shù)體系Technology���、安全運(yùn)維Operation四個層面落實(shí)等級保護(hù)安全基本要求。
???????????????????????????????????????????????????????????????????? 圖4 等級保護(hù)整改與安全建設(shè)總體框架
??????? 3. 方案說明
??????? ● 信息安全策略
??????? 信息安全策略是最高管理層對信息安全的期望和承諾的表達(dá)�,位于整個PMOT信息安全體系的頂層,也是安全管理體系的最高指導(dǎo)方針����,明確了信息安全工作總體目標(biāo),對技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性�����。
??????? ● 安全技術(shù)體系
??????? 啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系���,將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)����、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上���,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范����,并將產(chǎn)品功能特征整理成文檔����。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù),主要內(nèi)容包括:網(wǎng)絡(luò)邊界護(hù)御����、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系���、檢測響應(yīng)體系���、冗余與備份、信息安全管理中心�����。
??????? ● 安全管理體系
??????? 為滿足等?����;疽?���,應(yīng)建立和完善安全管理體系���,包括:完善安全制度體系����、完善安全組織、規(guī)范人員管理��、規(guī)范系統(tǒng)建設(shè)管理。
??????? ● 安全運(yùn)維體系
??????? 為滿足等?��;疽?,應(yīng)建立和完善安全運(yùn)維體系,包括:環(huán)境管理�����、資產(chǎn)管理��、介質(zhì)管理�、設(shè)備管理�、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理����、備份與恢復(fù)、惡意代碼防范���、變更管理����、信息安全事件管理等。
??????? (三) 等級保護(hù)整改實(shí)施
??????? 為了更好地協(xié)助客戶落實(shí)等保的整改工作��,啟明星辰可以作為集成商�、咨詢方���、或者監(jiān)理方,協(xié)助客戶落實(shí)整改實(shí)施方案�����,或協(xié)助進(jìn)行整改實(shí)施方案的評審�����、招投標(biāo)�、項(xiàng)目監(jiān)理等工作,以完成系統(tǒng)整改和安全建設(shè)工作�。
??????? 1. 制定整改實(shí)施方案
??????? 在確定整改實(shí)施的承建單位后,啟明星辰會提交相關(guān)的工程實(shí)施文檔��,包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔,其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)����,主要有:
??????? ● 項(xiàng)目產(chǎn)品配置清單
??????? ● 實(shí)施設(shè)計方案
??????? ● 實(shí)施準(zhǔn)備工作描述���,實(shí)施工作步驟
??????? ● 實(shí)施風(fēng)險規(guī)避方案
??????? ● 實(shí)施驗(yàn)證方案
??????? ● 現(xiàn)場培訓(xùn)方案
??????? 工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后����,方可進(jìn)行實(shí)施����。
??????? 2. 整改建設(shè)實(shí)施
??????? 啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作,確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施���,建立健全信息安全管理制度��,全面貫徹落實(shí)信息安全等級保護(hù)制度。
??????? 3. 整改實(shí)施項(xiàng)目驗(yàn)收
??????? 整改實(shí)施工作完成后,啟明星辰提出驗(yàn)收申請和工程測試驗(yàn)收方案���,由客戶審批工程測試驗(yàn)收方案(驗(yàn)收目標(biāo)����、責(zé)任雙方、驗(yàn)收提交清單�����、驗(yàn)收標(biāo)準(zhǔn)��、驗(yàn)收方式���、驗(yàn)收環(huán)境等)的符合性及可行性����。
??????? 4. 等級保護(hù)運(yùn)維
??????? 在整改建設(shè)與實(shí)施工作完成之后,啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定���,協(xié)助用戶培養(yǎng)專業(yè)人才����,進(jìn)行運(yùn)行管理和控制�����、安全狀態(tài)監(jiān)控�����、安全事件處置和應(yīng)急��、安全檢查和持續(xù)改進(jìn)�����、等級保護(hù)測評和等級保護(hù)監(jiān)督檢查的工作����。
?
