一�、信息系統(tǒng)安全等級保護建設的必要性
??????? 信息系統(tǒng)安全等級保護制度(以下簡稱“等級保護”)作為信息安全系統(tǒng)分級分類保護的一項國家標準,對于完善信息安全法規(guī)和標準體系,提高安全建設的整體水平�,增強信息系統(tǒng)安全保護的整體性、針對性和時效性具有非常重要的意義����。
??????? 國家相關部門一直非常重視信息系統(tǒng)的等級保護工作,頒布了一系列相關條例���,如國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》��,公安部等四部委聯(lián)合簽發(fā)的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)���、《信息安全等級保護管理辦法(試行)》(公通字[2006]7號),公安部頒布的《公安部信息系統(tǒng)安全保護等級實施指南(試行稿)(2005年)》�����,以及北京市實施的《北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定》(市政府第163號令)等��。
??????? 中國長城資產(chǎn)管理公司(以下簡稱“公司”)��,作為國有獨資金融企業(yè)��,在業(yè)務高速發(fā)展的同時一直非常重視信息安全體系建設���,早期已經(jīng)部署了 “老三樣”�,即網(wǎng)絡防病毒���、防火墻和網(wǎng)絡入侵檢測����,對保障業(yè)務系統(tǒng)的安全正常運轉起到了重要作用�����。
??????? 公司綜合經(jīng)營管理系統(tǒng)經(jīng)過四期建設��,實現(xiàn)了數(shù)據(jù)集中和管理集中��,為公司收購��、管理與處置政策性不良資產(chǎn)以及商業(yè)化經(jīng)營等業(yè)務的順利開展提供了完整的業(yè)務操作平臺�。為了更好地保全國有資產(chǎn),促進國有企業(yè)改革���,進一步推動國民經(jīng)濟持續(xù)���、快速�����、健康發(fā)展���,公司希望進一步完善信息系統(tǒng)安全體系建設,規(guī)范信息安全管理�,提高信息安全保障能力和水平,同時能夠對信息系統(tǒng)安全整體進行審核�����、評估與完善�����。
??????? 二�����、確定綜合經(jīng)營管理系統(tǒng)的保護級別
??????? 根據(jù)《信息系統(tǒng)安全等級保護定級指南》中對信息系統(tǒng)的要求�����,考慮到綜合經(jīng)營管理系統(tǒng)是公司的核心業(yè)務系統(tǒng)�,一旦受到破壞后��,會對社會秩序和公共利益造成嚴重損害����,或者對國家安全造成損害����,因此�,將保護級別定為3級,并形成了等級保護定級報告���,這在資產(chǎn)管理公司里屬于首家�。
??????? 三��、建設目標
??????? 在今年的《信息系統(tǒng)安全等級保護基本要求(報批稿)》中的3級基本要求中明確規(guī)定需要建立“監(jiān)控管理和安全管理中心”��,這說明公司的等級保護平臺建設走在了行業(yè)的前頭����,為相關行業(yè)的等級保護測評工作提供了寶貴的經(jīng)驗。
??????? 等級保護保護整改與安全建設工作重要性
??????? 依據(jù)公通字[2007]43號文的要求�����,信息系統(tǒng)定級工作完成后,運營���、使用單位首先要按照相關的管理規(guī)范和技術標準進行安全建設和整改����,使用符合國家有關規(guī)定����、滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,進行信息系統(tǒng)安全建設或者改建工作���。
??????? 等級保護整改的核心是根據(jù)用戶的實際信息安全需求��、業(yè)務特點及應用重點�����,在確定不同系統(tǒng)重要程度的基礎上����,進行重點保護����。整改工作要遵循國家等級保護相關要求��,將等級保護要求體現(xiàn)到方案�����、產(chǎn)品和安全服務中去�����,并切實結合用戶信息安全建設的實際需求,建設一套全面保護�����、重點突出�、持續(xù)運行的安全保障體系,將等級保護制度確實落實到企業(yè)的信息安全規(guī)劃�、建設、評估����、運行和維護等各個環(huán)節(jié),保障企業(yè)的信息安全���。
??????? 啟明星辰等級保護整改與安全建設過程
??????? 啟明星辰等級保護整改與安全建設是基于國家信息系統(tǒng)安全等級保護相關標準和文件的要求���,針對客戶已定級備案的信息系統(tǒng)�、或打算按照等保要求進行安全建設的信息系統(tǒng)�����,結合客戶組織架構�����、業(yè)務要求��、信息系統(tǒng)實際情況�,通過一套規(guī)范的等保整改過程,協(xié)助客戶進行風險評估和等級保護差距分析����,制定完整的安全整改建議方案,并根據(jù)需要協(xié)助客戶對落實整改實施方案或進行方案的評審�����、招投標��、整改監(jiān)理等工作,協(xié)助客戶完成信息系統(tǒng)等級保護整改和安全建設工作���。
??????? 啟明星辰等保整改與建設過程主要包括等級保護差距分析�、等級保護整改建議方案��、等級保護整改實施三個階段�����。
??????? (一) 等級保護差距分析
??????? 1. 等級保護風險評估
??????? 1) 評估目的
??????? 對信息系統(tǒng)進行安全等級評估是國家推行等級保護制度的一個重要環(huán)節(jié)���,也是對信息系統(tǒng)進行安全建設和管理的重要組成部分����。
??????? 等級評估不同于按照等級保護要求進行的等保差距分析�。風險評估的目標是深入��、詳細地檢查信息系統(tǒng)的安全風險狀況���,而差距分析則是按照等保的所有要求進行符合性檢查��,檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度��?���?梢哉f,風險評估的結果更能體現(xiàn)是客戶信息系統(tǒng)技術層面的安全現(xiàn)狀��,比差距分析結果在技術上更加深入�。風險評估的結果和差距分析結果都是整改建議方案的輸入。
??????? 啟明星辰通過專業(yè)的等級評估服務����,協(xié)助用戶完成以下的目標:
??????? ● 了解信息系統(tǒng)的管理、網(wǎng)絡和系統(tǒng)安全現(xiàn)狀��;
??????? ● 確定可能對資產(chǎn)造成危害的威脅�;
??????? ● 確定威脅實施的可能性;
??????? ● 對可能受到威脅影響的資產(chǎn)確定其價值�����、敏感性和嚴重性��,以及相應的級別�����,確定哪些資產(chǎn)是最重要的;
??????? ● 對最重要的����、最敏感的資產(chǎn),確定一旦威脅發(fā)生其潛在的損失或破壞���;
??????? ● 明確信息系統(tǒng)的已有安全措施的有效性�����;
??????? ● 明晰信息系統(tǒng)的安全管理需求�。
??????? 2) 評估內(nèi)容
??????? ● 資產(chǎn)識別與賦值
??????? ● 主機安全性評估
??????? ● 數(shù)據(jù)庫安全性評估
??????? ● 安全設備評估
??????? 現(xiàn)場風險評估用到的主要評估方法包括:
??????? ● 漏洞掃描
??????? ● 控制臺審計
??????? ● 技術訪談
??????? 3) 評估分析
??????? 根據(jù)現(xiàn)場收集的信息及對這些信息的分析��,評估小組形成定級信息系統(tǒng)的弱點評估報告����、風險評估報告等文檔�,使客戶充分了解信息系統(tǒng)存在的風險,作為等保差距分析的一項重要輸入�,并作為后續(xù)整改建設的重要依據(jù)。
??????? 2. 等保差距分析
???????? 通過差距分析�,可以了解客戶信息系統(tǒng)的現(xiàn)狀,確定當前系統(tǒng)與相應保護等級要求之間的差距����,確定不符合安全項����。
??????? 1) 準備差距分析表
???????? 項目組通過準備好的差距分析表�����,與客戶確認現(xiàn)場溝通的對象(部門和人員)��,準備相應的檢查內(nèi)容�。
???????? 在整理差距分析表時,整改項目組會根據(jù)信息系統(tǒng)的安全等級從基本要求中選擇相應等級的基本安全要求�����,根據(jù)及風險評估的結果進行調(diào)整�,去掉不適用項,增加不能滿足客戶信息系統(tǒng)需求的安全要求����。
???????? 差距分析表包含以下內(nèi)容:
??????? ● 安全技術差距分析:包括網(wǎng)絡安全、主機安全��、應用安全��、數(shù)據(jù)安全及備份恢復;
??????? ● 安全管理差距分析:包括安全管理制度�����、安全管理機構��、人員安全管理�、系統(tǒng)建設管理;
??????? ● 系統(tǒng)運維差距分析:包括環(huán)境管理��、資產(chǎn)管理����、介質管理、監(jiān)控管理和安全管理中心�����、網(wǎng)絡安全管理�、系統(tǒng)安全管理、惡意代碼防范管理���、密碼管理、變更管理�����、備份與恢復管理、安全事件處置���;
??????? ● 物理安全差距分析:包括物理位置的選擇�、物理訪問控制����、防盜竊和防破壞���、防雷擊��、防火�、防水和防潮、防靜電����、溫濕度控制、電力供應����、電磁防護。
???????? 不同安全保護級別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同�����。
??????? 2) 現(xiàn)場差距分析
??????? 整改項目組依據(jù)差距分析表中的各項安全要求,對比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距�����,確定不符合項�。
??????? 現(xiàn)場工作階段,整改項目組可分為管理檢查組和技術檢查組兩個小組�����。
??????? 在差距分析階段���,可以通過以下方式收集信息�����,詳細了解客戶信息系統(tǒng)現(xiàn)狀�,并通過分析所收集的資料和數(shù)據(jù)���,以確認客戶信息系統(tǒng)的建設是否符合該等級的安全要求����,需要進行哪些方面的整改����。
??????? ● 查驗文檔資料
??????? ● 人員訪談
??????? ● 現(xiàn)場測試
??????? 3) 生成差距分析報告
??????? 完成現(xiàn)場差距分析之后,整改項目組歸納整理�����、分析現(xiàn)場記錄��,找出目前信息系統(tǒng)與等級保護安全要求之間的差距��,明確不符合項���,生成《等級保護差距分析報告》����。
??????? (二) 等級保護整改建議方案
??????? 1. 整改目標溝通確認
??????? 通過與客戶高層領導��、相關業(yè)務部門和信息安全管理部門進行廣泛的溝通協(xié)商���,啟明星辰會依據(jù)風險評估和差距分析的結果�,明確等級保護整改工作的工作目標�����,提出等級保護整改建議方案。
??????? 對暫時難以進行整改的部分內(nèi)容��,將在討論后作為遺留問題���,明確列在整改建議方案中�����。
??????? 2. 總體框架
??????? 根據(jù)等保安全要求�����,啟明星辰提出如下的安全整改建議��,其中PMOT體系是信息安全保障總體框架模型��。
????????????????????????????????????????????????????????????????????????????? 圖? 信息安全PMOT體系模型
??????? 啟明星辰根據(jù)建議方案的設計原則��,協(xié)助客戶制定總體安全保障體系架構�,包括制定安全策略���,結合等級保護基本要求和安全保護特殊要求��,來構建客戶信息系統(tǒng)的安全技術體系����、安全管理體系及安全運維體系����,具體內(nèi)容包括:
??????? ● 建立和完善安全策略:最高層次的安全策略文件,闡明安全工作的使命和意愿�����,定義信息安全工作的總體目標��。
??????? ● 安全技術體系:安全技術的保障包括網(wǎng)絡邊界防御����、安全通信網(wǎng)絡、主機和應用系統(tǒng)安全��、檢測響應體系����、冗余與備份以及安全管理中心。
??????? ● 建立和完善安全管理體系:建立安全管理制度,建立信息安全組織����,規(guī)范人員管理和系統(tǒng)建議管理。
??????? ● 安全運維體系:機房安全����,資產(chǎn)及設備安全,網(wǎng)絡與系統(tǒng)安全管理���、監(jiān)控和安全管理等��。
??????? 展開后的等級保護整改與安全建設總體框架如下圖所示�,從信息安全整體策略Policy��、安全管理體系Management�����、安全技術體系Technology�、安全運維Operation四個層面落實等級保護安全基本要求。
???????????????????????????????????????????????????????????????????? 圖4 等級保護整改與安全建設總體框架
??????? 3. 方案說明
??????? ● 信息安全策略
??????? 信息安全策略是最高管理層對信息安全的期望和承諾的表達��,位于整個PMOT信息安全體系的頂層���,也是安全管理體系的最高指導方針�����,明確了信息安全工作總體目標��,對技術和管理各方面的安全工作具有通用指導性���。
??????? ● 安全技術體系
??????? 啟明星辰根據(jù)整改目標提出整改方案的安全技術保障體系�,將保障體系框架中要求實現(xiàn)的網(wǎng)絡�、主機和應用安全落實到產(chǎn)品功能或物理形態(tài)上�����,提出能夠實現(xiàn)的產(chǎn)品或組件及其具體規(guī)范�,并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)�,主要內(nèi)容包括:網(wǎng)絡邊界護御、安全通信網(wǎng)絡�、主機與應用防護體系、檢測響應體系�����、冗余與備份、信息安全管理中心�。
??????? ● 安全管理體系
??????? 為滿足等保基本要求�����,應建立和完善安全管理體系��,包括:完善安全制度體系�、完善安全組織、規(guī)范人員管理���、規(guī)范系統(tǒng)建設管理���。
??????? ● 安全運維體系
??????? 為滿足等保基本要求�����,應建立和完善安全運維體系�,包括:環(huán)境管理、資產(chǎn)管理�����、介質管理、設備管理�、網(wǎng)絡與系統(tǒng)安全管理、系統(tǒng)安全管理�����、備份與恢復�����、惡意代碼防范�、變更管理、信息安全事件管理等���。
??????? (三) 等級保護整改實施
??????? 為了更好地協(xié)助客戶落實等保的整改工作,啟明星辰可以作為集成商����、咨詢方、或者監(jiān)理方��,協(xié)助客戶落實整改實施方案���,或協(xié)助進行整改實施方案的評審�����、招投標���、項目監(jiān)理等工作��,以完成系統(tǒng)整改和安全建設工作��。
??????? 1. 制定整改實施方案
??????? 在確定整改實施的承建單位后�����,啟明星辰會提交相關的工程實施文檔����,包括參照整改建議方案而編制的項目實施技術規(guī)劃等文檔����,其中涵蓋安全建設階段的各項實施細節(jié),主要有:
??????? ● 項目產(chǎn)品配置清單
??????? ● 實施設計方案
??????? ● 實施準備工作描述��,實施工作步驟
??????? ● 實施風險規(guī)避方案
??????? ● 實施驗證方案
??????? ● 現(xiàn)場培訓方案
??????? 工程實施文檔應經(jīng)客戶方的項目負責人確認后�����,方可進行實施。
??????? 2. 整改建設實施
??????? 啟明星辰承擔項目實施的工作���,確保落實客戶信息系統(tǒng)的安全保護技術措施�,建立健全信息安全管理制度���,全面貫徹落實信息安全等級保護制度�。
??????? 3. 整改實施項目驗收
??????? 整改實施工作完成后��,啟明星辰提出驗收申請和工程測試驗收方案�����,由客戶審批工程測試驗收方案(驗收目標��、責任雙方��、驗收提交清單�、驗收標準����、驗收方式、驗收環(huán)境等)的符合性及可行性����。
??????? 4. 等級保護運維
??????? 在整改建設與實施工作完成之后�,啟明星辰將協(xié)助用戶完成安全運維策略的制定�,協(xié)助用戶培養(yǎng)專業(yè)人才,進行運行管理和控制�����、安全狀態(tài)監(jiān)控����、安全事件處置和應急、安全檢查和持續(xù)改進�����、等級保護測評和等級保護監(jiān)督檢查的工作����。
???????
?
