一、信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的必要性
??????? 信息系統(tǒng)安全等級(jí)保護(hù)制度(以下簡(jiǎn)稱“等級(jí)保護(hù)”)作為信息安全系統(tǒng)分級(jí)分類保護(hù)的一項(xiàng)國(guó)家標(biāo)準(zhǔn),對(duì)于完善信息安全法規(guī)和標(biāo)準(zhǔn)體系,提高安全建設(shè)的整體水平,增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和時(shí)效性具有非常重要的意義。
??????? 國(guó)家相關(guān)部門(mén)一直非常重視信息系統(tǒng)的等級(jí)保護(hù)工作,頒布了一系列相關(guān)條例,如國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,公安部等四部委聯(lián)合簽發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66號(hào))、《信息安全等級(jí)保護(hù)管理辦法(試行)》(公通字[2006]7號(hào)),公安部頒布的《公安部信息系統(tǒng)安全保護(hù)等級(jí)實(shí)施指南(試行稿)(2005年)》,以及北京市實(shí)施的《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》(市政府第163號(hào)令)等。
??????? 中國(guó)長(zhǎng)城資產(chǎn)管理公司(以下簡(jiǎn)稱“公司”),作為國(guó)有獨(dú)資金融企業(yè),在業(yè)務(wù)高速發(fā)展的同時(shí)一直非常重視信息安全體系建設(shè),早期已經(jīng)部署了 “老三樣”,即網(wǎng)絡(luò)防病毒、防火墻和網(wǎng)絡(luò)入侵檢測(cè),對(duì)保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)轉(zhuǎn)起到了重要作用。
??????? 公司綜合經(jīng)營(yíng)管理系統(tǒng)經(jīng)過(guò)四期建設(shè),實(shí)現(xiàn)了數(shù)據(jù)集中和管理集中,為公司收購(gòu)、管理與處置政策性不良資產(chǎn)以及商業(yè)化經(jīng)營(yíng)等業(yè)務(wù)的順利開(kāi)展提供了完整的業(yè)務(wù)操作平臺(tái)。為了更好地保全國(guó)有資產(chǎn),促進(jìn)國(guó)有企業(yè)改革,進(jìn)一步推動(dòng)國(guó)民經(jīng)濟(jì)持續(xù)、快速、健康發(fā)展,公司希望進(jìn)一步完善信息系統(tǒng)安全體系建設(shè),規(guī)范信息安全管理,提高信息安全保障能力和水平,同時(shí)能夠?qū)π畔⑾到y(tǒng)安全整體進(jìn)行審核、評(píng)估與完善。
??????? 二、確定綜合經(jīng)營(yíng)管理系統(tǒng)的保護(hù)級(jí)別
??????? 根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中對(duì)信息系統(tǒng)的要求,考慮到綜合經(jīng)營(yíng)管理系統(tǒng)是公司的核心業(yè)務(wù)系統(tǒng),一旦受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害,因此,將保護(hù)級(jí)別定為3級(jí),并形成了等級(jí)保護(hù)定級(jí)報(bào)告,這在資產(chǎn)管理公司里屬于首家。
??????? 三、建設(shè)目標(biāo)
??????? 在今年的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求(報(bào)批稿)》中的3級(jí)基本要求中明確規(guī)定需要建立“監(jiān)控管理和安全管理中心”,這說(shuō)明公司的等級(jí)保護(hù)平臺(tái)建設(shè)走在了行業(yè)的前頭,為相關(guān)行業(yè)的等級(jí)保護(hù)測(cè)評(píng)工作提供了寶貴的經(jīng)驗(yàn)。
??????? 等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性
??????? 依據(jù)公通字[2007]43號(hào)文的要求,信息系統(tǒng)定級(jí)工作完成后,運(yùn)營(yíng)、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改,使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。
??????? 等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn),在確定不同系統(tǒng)重要程度的基礎(chǔ)上,進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循國(guó)家等級(jí)保護(hù)相關(guān)要求,將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去,并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求,建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系,將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié),保障企業(yè)的信息安全。
??????? 啟明星辰等級(jí)保護(hù)整改與安全建設(shè)過(guò)程
??????? 啟明星辰等級(jí)保護(hù)整改與安全建設(shè)是基于國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求,針對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng),結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況,通過(guò)一套規(guī)范的等保整改過(guò)程,協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析,制定完整的安全整改建議方案,并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作,協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。
??????? 啟明星辰等保整改與建設(shè)過(guò)程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。
??????? (一) 等級(jí)保護(hù)差距分析
??????? 1. 等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估
??????? 1) 評(píng)估目的
??????? 對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國(guó)家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié),也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。
??????? 等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況,而差距分析則是按照等保的所有要求進(jìn)行符合性檢查,檢查信息系統(tǒng)現(xiàn)狀與國(guó)家等保要求之間的符合程度。可以說(shuō),風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀,比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。
??????? 啟明星辰通過(guò)專業(yè)的等級(jí)評(píng)估服務(wù),協(xié)助用戶完成以下的目標(biāo):
??????? ● 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;
??????? ● 確定可能對(duì)資產(chǎn)造成危害的威脅;
??????? ● 確定威脅實(shí)施的可能性;
??????? ● 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性,以及相應(yīng)的級(jí)別,確定哪些資產(chǎn)是最重要的;
??????? ● 對(duì)最重要的、最敏感的資產(chǎn),確定一旦威脅發(fā)生其潛在的損失或破壞;
??????? ● 明確信息系統(tǒng)的已有安全措施的有效性;
??????? ● 明晰信息系統(tǒng)的安全管理需求。
??????? 2) 評(píng)估內(nèi)容
??????? ● 資產(chǎn)識(shí)別與賦值
??????? ● 主機(jī)安全性評(píng)估
??????? ● 數(shù)據(jù)庫(kù)安全性評(píng)估
??????? ● 安全設(shè)備評(píng)估
??????? 現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括:
??????? ● 漏洞掃描
??????? ● 控制臺(tái)審計(jì)
??????? ● 技術(shù)訪談
??????? 3) 評(píng)估分析
??????? 根據(jù)現(xiàn)場(chǎng)收集的信息及對(duì)這些信息的分析,評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔,使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn),作為等保差距分析的一項(xiàng)重要輸入,并作為后續(xù)整改建設(shè)的重要依據(jù)。
??????? 2. 等保差距分析
???????? 通過(guò)差距分析,可以了解客戶信息系統(tǒng)的現(xiàn)狀,確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距,確定不符合安全項(xiàng)。
??????? 1) 準(zhǔn)備差距分析表
???????? 項(xiàng)目組通過(guò)準(zhǔn)備好的差距分析表,與客戶確認(rèn)現(xiàn)場(chǎng)溝通的對(duì)象(部門(mén)和人員),準(zhǔn)備相應(yīng)的檢查內(nèi)容。
???????? 在整理差距分析表時(shí),整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求,根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整,去掉不適用項(xiàng),增加不能滿足客戶信息系統(tǒng)需求的安全要求。
???????? 差距分析表包含以下內(nèi)容:
??????? ● 安全技術(shù)差距分析:包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù);
??????? ● 安全管理差距分析:包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理;
??????? ● 系統(tǒng)運(yùn)維差距分析:包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置;
??????? ● 物理安全差距分析:包括物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。
???????? 不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。
??????? 2) 現(xiàn)場(chǎng)差距分析
??????? 整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求,對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距,確定不符合項(xiàng)。
??????? 現(xiàn)場(chǎng)工作階段,整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。
??????? 在差距分析階段,可以通過(guò)以下方式收集信息,詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀,并通過(guò)分析所收集的資料和數(shù)據(jù),以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求,需要進(jìn)行哪些方面的整改。
??????? ● 查驗(yàn)文檔資料
??????? ● 人員訪談
??????? ● 現(xiàn)場(chǎng)測(cè)試
??????? 3) 生成差距分析報(bào)告
??????? 完成現(xiàn)場(chǎng)差距分析之后,整改項(xiàng)目組歸納整理、分析現(xiàn)場(chǎng)記錄,找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距,明確不符合項(xiàng),生成《等級(jí)保護(hù)差距分析報(bào)告》。
??????? (二) 等級(jí)保護(hù)整改建議方案
??????? 1. 整改目標(biāo)溝通確認(rèn)
??????? 通過(guò)與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門(mén)和信息安全管理部門(mén)進(jìn)行廣泛的溝通協(xié)商,啟明星辰會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果,明確等級(jí)保護(hù)整改工作的工作目標(biāo),提出等級(jí)保護(hù)整改建議方案。
??????? 對(duì)暫時(shí)難以進(jìn)行整改的部分內(nèi)容,將在討論后作為遺留問(wèn)題,明確列在整改建議方案中。
??????? 2. 總體框架
??????? 根據(jù)等保安全要求,啟明星辰提出如下的安全整改建議,其中PMOT體系是信息安全保障總體框架模型。
????????????????????????????????????????????????????????????????????????????? 圖? 信息安全PMOT體系模型
??????? 啟明星辰根據(jù)建議方案的設(shè)計(jì)原則,協(xié)助客戶制定總體安全保障體系架構(gòu),包括制定安全策略,結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求,來(lái)構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系,具體內(nèi)容包括:
??????? ● 建立和完善安全策略:最高層次的安全策略文件,闡明安全工作的使命和意愿,定義信息安全工作的總體目標(biāo)。
??????? ● 安全技術(shù)體系:安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測(cè)響應(yīng)體系、冗余與備份以及安全管理中心。
??????? ● 建立和完善安全管理體系:建立安全管理制度,建立信息安全組織,規(guī)范人員管理和系統(tǒng)建議管理。
??????? ● 安全運(yùn)維體系:機(jī)房安全,資產(chǎn)及設(shè)備安全,網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。
??????? 展開(kāi)后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示,從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全基本要求。
???????????????????????????????????????????????????????????????????? 圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架
??????? 3. 方案說(shuō)明
??????? ● 信息安全策略
??????? 信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá),位于整個(gè)PMOT信息安全體系的頂層,也是安全管理體系的最高指導(dǎo)方針,明確了信息安全工作總體目標(biāo),對(duì)技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。
??????? ● 安全技術(shù)體系
??????? 啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系,將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購(gòu)和安全控制開(kāi)發(fā)階段具有依據(jù),主要內(nèi)容包括:網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測(cè)響應(yīng)體系、冗余與備份、信息安全管理中心。
??????? ● 安全管理體系
??????? 為滿足等?;疽螅瑧?yīng)建立和完善安全管理體系,包括:完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。
??????? ● 安全運(yùn)維體系
??????? 為滿足等?;疽螅瑧?yīng)建立和完善安全運(yùn)維體系,包括:環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。
??????? (三) 等級(jí)保護(hù)整改實(shí)施
??????? 為了更好地協(xié)助客戶落實(shí)等保的整改工作,啟明星辰可以作為集成商、咨詢方、或者監(jiān)理方,協(xié)助客戶落實(shí)整改實(shí)施方案,或協(xié)助進(jìn)行整改實(shí)施方案的評(píng)審、招投標(biāo)、項(xiàng)目監(jiān)理等工作,以完成系統(tǒng)整改和安全建設(shè)工作。
??????? 1. 制定整改實(shí)施方案
??????? 在確定整改實(shí)施的承建單位后,啟明星辰會(huì)提交相關(guān)的工程實(shí)施文檔,包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔,其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié),主要有:
??????? ● 項(xiàng)目產(chǎn)品配置清單
??????? ● 實(shí)施設(shè)計(jì)方案
??????? ● 實(shí)施準(zhǔn)備工作描述,實(shí)施工作步驟
??????? ● 實(shí)施風(fēng)險(xiǎn)規(guī)避方案
??????? ● 實(shí)施驗(yàn)證方案
??????? ● 現(xiàn)場(chǎng)培訓(xùn)方案
??????? 工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后,方可進(jìn)行實(shí)施。
??????? 2. 整改建設(shè)實(shí)施
??????? 啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作,確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施,建立健全信息安全管理制度,全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。
??????? 3. 整改實(shí)施項(xiàng)目驗(yàn)收
??????? 整改實(shí)施工作完成后,啟明星辰提出驗(yàn)收申請(qǐng)和工程測(cè)試驗(yàn)收方案,由客戶審批工程測(cè)試驗(yàn)收方案(驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等)的符合性及可行性。
??????? 4. 等級(jí)保護(hù)運(yùn)維
??????? 在整改建設(shè)與實(shí)施工作完成之后,啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定,協(xié)助用戶培養(yǎng)專業(yè)人才,進(jìn)行運(yùn)行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進(jìn)、等級(jí)保護(hù)測(cè)評(píng)和等級(jí)保護(hù)監(jiān)督檢查的工作。
???????
?