1.等級保護概述

      網(wǎng)絡(luò)安全等級保護（以下簡稱“等級保護”）是國家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方針。開展網(wǎng)絡(luò)安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國家意志的體現(xiàn)。

通過將等級化方法和安全體系方法有效結(jié)合，設(shè)計一套等級化的網(wǎng)絡(luò)安全保障體系，是適合我國國情、系統(tǒng)化地解決大型組織網(wǎng)絡(luò)安全問題的一個非常有效的方法。

國家網(wǎng)絡(luò)安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

為進一步貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強網(wǎng)絡(luò)安全保障工作的意見》

（中辦發(fā)[2003]27號）、《關(guān)于網(wǎng)絡(luò)安全等級保護工作的實施意見》（公通字[2004]66號）、《網(wǎng)絡(luò)安全等級保護管理辦法》（公通字[2007]43號）、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）、《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)及各類文件的精神和要求，提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)絡(luò)安全保護能力和水平，自2007年開始，從國家層面開始推動我國的政府、金融、電力、電信、交通等基礎(chǔ)行業(yè)在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級、備案、測評、整改工作。

靈狐科技長期密切跟蹤國家等級保護相關(guān)政策，參與了等級保護標(biāo)準(zhǔn)制定與研討、國家項目等多項相關(guān)工作，協(xié)助客戶重要信息系統(tǒng)定級、等級保護整改等多項工作，在等級保護工作實踐中積累了豐富的經(jīng)驗。

靈狐科技進行等級保護咨詢服務(wù)時，主要參考標(biāo)準(zhǔn)如下：

?  《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）

?  《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）

?  《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2019）

?  《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

?  《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）

?  《網(wǎng)絡(luò)安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）

?  《網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）

?  《網(wǎng)絡(luò)安全技術(shù)應(yīng)用系統(tǒng)安全等級保護通用技術(shù)指南》（GA/T711-2007）

?  《網(wǎng)絡(luò)安全技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-2007）

?  《網(wǎng)絡(luò)安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

?  《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》（GB/Z20986-2007）

2.靈狐科技等級保護咨詢服務(wù)流程

2.1.  定級備案

靈狐科技咨詢顧問協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級保護定級指南》，確定信息系統(tǒng)的安全保護等級，準(zhǔn)備定級備案表和定級報告，協(xié)助用戶單位向所在地區(qū)的公安機關(guān)辦理備案手續(xù)。

2.2.  現(xiàn)狀調(diào)研

靈狐科技對客戶信息系統(tǒng)進行細(xì)致、深入的現(xiàn)狀調(diào)研。明確不同等級信息系統(tǒng)的范圍和邊界，通過調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。

2.3.  差距分析

   通過信息系統(tǒng)安全等級保護差距分析工作，明確客戶信息系統(tǒng)當(dāng)前安全防護情況，了解系統(tǒng)的基本安全狀況和防護能力，了解現(xiàn)有安全措施和設(shè)備發(fā)揮作用的情況，管理體系的健全程度。同時也明確與網(wǎng)絡(luò)安全等級保護要求的差距及不符合項，為下一步針對不符合項的風(fēng)險評估提供基礎(chǔ)。

2.3.1.   準(zhǔn)備基線差距分析表

     靈狐科技咨詢顧問根據(jù)與客戶確認(rèn)的計劃，做現(xiàn)場檢查測試前的準(zhǔn)備，主要包括準(zhǔn)備差距分析表，明確現(xiàn)場訪談的對象（部門和人員），準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機設(shè)備的配置檢查表和相關(guān)測試工具。

在整理差距分析表時，靈狐科技咨詢顧問會根據(jù)系統(tǒng)所確定的安全等級從基本要求中選擇相應(yīng)等級的基本安全要求，根據(jù)客戶信息系統(tǒng)分析結(jié)果及風(fēng)險評估的結(jié)果進行調(diào)整，去掉不適用項，增加不能滿足客戶信息系統(tǒng)需求的安全要求，一般來說，差距分析表包括安全技術(shù)、安全管理兩個方面內(nèi)容分析系統(tǒng)現(xiàn)有的安全措施和安全要求之間的差距，根據(jù)這些差距提出安全建議：

?  安全技術(shù)差距分析

?  安全管理差距分析

2.3.2.   現(xiàn)場差距分析

     現(xiàn)場差距分析階段，靈狐科技咨詢顧問依據(jù)差距分析表中的各項安全要求，對比現(xiàn)狀和安全要求之間的差距，確定不滿足要求的安全項。現(xiàn)場工作階段，網(wǎng)御星云咨詢顧問可分為管理檢查組和技術(shù)檢查組，在客戶方人員的配合下，分工如下：

?  管理檢查組負(fù)責(zé)安全管理和物理安全類文檔資料分析、現(xiàn)場訪談、現(xiàn)場檢查，并填寫差距分析表的相關(guān)部分；

?  技術(shù)檢查組負(fù)責(zé)安全技術(shù)類文檔分析、現(xiàn)場訪談、現(xiàn)場檢查，并填寫差距分析表的相關(guān)部分。

在差距分析階段，可以通過以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料／數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級的安全要求，需要進行哪些方面的整改和安全建設(shè)。

?  查看制度和記錄

為了獲取和分析業(yè)務(wù)系統(tǒng)現(xiàn)有的安全控制措施，需要查看安全策略文檔（例如政策法規(guī)、指導(dǎo)性文檔）、管理制度（例如運維管理規(guī)定、機房管理制度等）和其它相關(guān)文檔（例如定級報告）等。

?  人員訪談

靈狐科技咨詢顧問與客戶組織內(nèi)有關(guān)的管理、技術(shù)和一般員工進行逐個溝通。根據(jù)客戶的回答，獲得相應(yīng)信息，并可驗證之前收集到的資料，從而提高其準(zhǔn)確度和完整性。

通過訪談管理和技術(shù)人員，項目組成員可以收集到業(yè)務(wù)系統(tǒng)相關(guān)的物理、環(huán)境、安全組織結(jié)構(gòu)、操作習(xí)慣等大量有用的信息，也可以了解到被訪談?wù)叩陌踩庾R和安全技能等自身素質(zhì)。由于訪談的互動性，不同于調(diào)查表，項目組成員可以廣泛提問，從多個角度獲得多方面的信息。

?  現(xiàn)場檢查

靈狐科技咨詢顧問也可對客戶辦公環(huán)境和機房內(nèi)環(huán)境作現(xiàn)場檢查，觀察人員的行為和環(huán)境狀況，了解制度的執(zhí)行情況及技術(shù)要求落實情況。根據(jù)現(xiàn)場勘查的結(jié)果，獲得相應(yīng)咨詢信息。

2.3.3.   與客戶確認(rèn)現(xiàn)場記錄

      在差距分析階段，靈狐科技咨詢顧問如實記錄通過文檔檢查、現(xiàn)場訪談和現(xiàn)場檢查獲得的信息系統(tǒng)現(xiàn)狀，并與客戶相關(guān)人員溝通、確認(rèn)現(xiàn)場記錄，確保記錄的準(zhǔn)確性。

2.3.4.   生成差距分析報告

靈狐科技咨詢顧問歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級保護安全要求之間的差距，生成等級保護差距分析報告。

2.4.  風(fēng)險評估

2.4.1.   信息資產(chǎn)評估

         信息資產(chǎn)包括信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務(wù)資產(chǎn)、無形資產(chǎn)以及人員及其資格、技能和經(jīng)驗等內(nèi)容。風(fēng)險評估的出發(fā)點是對與風(fēng)險有關(guān)的各因素的確認(rèn)和分析，與網(wǎng)絡(luò)安全風(fēng)險有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。

2.4.2.   基于大數(shù)據(jù)的風(fēng)險評估

       大數(shù)據(jù)分析技術(shù)應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險評估，不僅可以提高網(wǎng)絡(luò)安全團隊的效率和響應(yīng)速度，而且對企業(yè)內(nèi)部傳統(tǒng)的網(wǎng)絡(luò)安全專業(yè)人員來說，大數(shù)據(jù)分析可以發(fā)現(xiàn)你永遠(yuǎn)想象不到的數(shù)據(jù)泄漏、挖掘出你不知道需要提出的問題、找出不同數(shù)據(jù)來源之間的關(guān)聯(lián)、發(fā)現(xiàn)你從來不知道的IT操作問題、找出你不知道的策略違規(guī)行為。

2.4.3.   風(fēng)險組合

對差距分析和風(fēng)險評估出來的各類風(fēng)險進行匯總與組合，對信息資產(chǎn)風(fēng)險進行匯總。風(fēng)險種類分為：管理類風(fēng)險、技術(shù)類風(fēng)險、操作類風(fēng)險。

2.5.  整改建設(shè)

2.5.1.   方案設(shè)計

        靈狐科技咨詢顧問參考國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》，依據(jù)差距分析的結(jié)論，在與客戶充分溝通后，結(jié)合客戶實際情況，給出專家級的安全整改和建議方案。

在整改建議方案中，靈狐科技咨詢顧問會對第一級至第五級信息系統(tǒng)安全保護環(huán)境的各個方面提出整改方案。在方案中會從技術(shù)和安全管理制度兩個方面提出整改需求。并提出整改方案對應(yīng)表，在對應(yīng)表中將每一項等保要求與保護措施的對應(yīng)起來，是等保整改建議方案的概括與總結(jié)。

2.5.2.   整改實施

         靈狐科技咨詢顧問根據(jù)安全整改方案，結(jié)合用戶的實際需求，協(xié)助用戶完成設(shè)備的選型、采購、安裝、策略配置等活動，協(xié)助用戶搭建完善的技術(shù)防護系統(tǒng)和安全管理體系，保障信息系統(tǒng)的安全穩(wěn)定運行。

2.6.  協(xié)助測評

靈狐科技咨詢顧問協(xié)助用戶單位選擇第三方測評機構(gòu)，開展信息系統(tǒng)等級保護驗收測評工作，保障通過等級保護驗收測評。

測評通過后，根據(jù)國家相關(guān)要求，需要定期對信息系統(tǒng)安全狀況、安全保護

制度及措施的落實情況進行評估。第三級信息系統(tǒng)每年至少進行一次評估，第四級信息系統(tǒng)每半年至少進行一次評估。靈狐科技可以在測評通過后，定期為客戶提供評估服務(wù)，確保信息系統(tǒng)長期處于一種動態(tài)的合規(guī)安全狀態(tài)中。

3.等級保護咨詢服務(wù)對客戶收益

?  幫助客戶有效地落實等級保護設(shè)計成果，達到國家相關(guān)等級保護建設(shè)要求。

?  通過一系列的等級保護實施服務(wù)，縮短從體系設(shè)計到體系實現(xiàn)的過程，避免咨詢服務(wù)成果與安全建設(shè)脫節(jié)的弊病，達到安全咨詢的真正效果。

?  對于中小型系統(tǒng)，直接可以利用靈狐科技的知識體系，將等級保護的要求轉(zhuǎn)化為等級保護的實施效果，節(jié)約安全體系的建設(shè)時間和資金成本。