1.等級保護概述

      網(wǎng)絡(luò )安全等級保護（以下簡(jiǎn)稱(chēng)“等級保護”）是國家網(wǎng)絡(luò )安全保障的基本制度、基本策略、基本方針。開(kāi)展網(wǎng)絡(luò )安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡(luò )安全的根本保障，是網(wǎng)絡(luò )安全保障工作中國家意志的體現。

通過(guò)將等級化方法和安全體系方法有效結合，設計一套等級化的網(wǎng)絡(luò )安全保障體系，是適合我國國情、系統化地解決大型組織網(wǎng)絡(luò )安全問(wèn)題的一個(gè)非常有效的方法。

國家網(wǎng)絡(luò )安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

為進(jìn)一步貫徹落實(shí)《國家信息化領(lǐng)導小組關(guān)于加強網(wǎng)絡(luò )安全保障工作的意見(jiàn)》

（中辦發(fā)[2003]27號）、《關(guān)于網(wǎng)絡(luò )安全等級保護工作的實(shí)施意見(jiàn)》（公通字[2004]66號）、《網(wǎng)絡(luò )安全等級保護管理辦法》（公通字[2007]43號）、《關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）、《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規及各類(lèi)文件的精神和要求，提高我國基礎信息網(wǎng)絡(luò )和重要信息系統的網(wǎng)絡(luò )安全保護能力和水平，自2007年開(kāi)始，從國家層面開(kāi)始推動(dòng)我國的政府、金融、電力、電信、交通等基礎行業(yè)在全國范圍內組織開(kāi)展重要信息系統安全等級保護定級、備案、測評、整改工作。

靈狐科技長(cháng)期密切跟蹤國家等級保護相關(guān)政策，參與了等級保護標準制定與研討、國家項目等多項相關(guān)工作，協(xié)助客戶(hù)重要信息系統定級、等級保護整改等多項工作，在等級保護工作實(shí)踐中積累了豐富的經(jīng)驗。

靈狐科技進(jìn)行等級保護咨詢(xún)服務(wù)時(shí)，主要參考標準如下：

?  《計算機信息系統安全保護等級劃分準則》（GB17859-1999）

?  《信息系統安全等級保護定級指南》（GB/T22240-2008）

?  《信息系統安全等級保護基本要求》（GB/T22239-2019）

?  《信息系統安全等級保護實(shí)施指南》（GB/T25058-2010）

?  《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )基礎安全技術(shù)要求》（GB/T20270-2006）

?  《網(wǎng)絡(luò )安全技術(shù)信息系統通用安全技術(shù)要求》（GB/T20271-2006）

?  《網(wǎng)絡(luò )安全技術(shù)操作系統安全技術(shù)要求》（GB/T20272-2006）

?  《網(wǎng)絡(luò )安全技術(shù)數據庫管理系統安全技術(shù)要求》（GB/T20273-2006）

?  《網(wǎng)絡(luò )安全技術(shù)應用系統安全等級保護通用技術(shù)指南》（GA/T711-2007）

?  《網(wǎng)絡(luò )安全技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-2007）

?  《網(wǎng)絡(luò )安全技術(shù)終端計算機系統安全等級技術(shù)要求》（GA/T671-2006）

?  《網(wǎng)絡(luò )安全技術(shù)信息系統安全管理要求》（GB/T20269-2006）

?  《網(wǎng)絡(luò )安全技術(shù)信息系統安全工程管理要求》（GB/T20282-2006）

?  《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全事件分類(lèi)分級指南》（GB/Z20986-2007）

2.靈狐科技等級保護咨詢(xún)服務(wù)流程

2.1.  定級備案

靈狐科技咨詢(xún)顧問(wèn)協(xié)助用戶(hù)單位，依據《信息系統安全等級保護定級指南》，確定信息系統的安全保護等級，準備定級備案表和定級報告，協(xié)助用戶(hù)單位向所在地區的公安機關(guān)辦理備案手續。

2.2.  現狀調研

靈狐科技對客戶(hù)信息系統進(jìn)行細致、深入的現狀調研。明確不同等級信息系統的范圍和邊界，通過(guò)調查或查閱資料的方式，了解信息系統的構成，包括網(wǎng)絡(luò )拓撲、業(yè)務(wù)應用、業(yè)務(wù)流程、設備信息、安全措施狀況等。初步確定每個(gè)等級信息系統的分析對象，包括整體對象，如機房、辦公環(huán)境、網(wǎng)絡(luò )等，也包括具體對象，如邊界設備、網(wǎng)關(guān)設備、服務(wù)器設備、工作站、應用系統等。

2.3.  差距分析

   通過(guò)信息系統安全等級保護差距分析工作，明確客戶(hù)信息系統當前安全防護情況，了解系統的基本安全狀況和防護能力，了解現有安全措施和設備發(fā)揮作用的情況，管理體系的健全程度。同時(shí)也明確與網(wǎng)絡(luò )安全等級保護要求的差距及不符合項，為下一步針對不符合項的風(fēng)險評估提供基礎。

2.3.1.   準備基線(xiàn)差距分析表

     靈狐科技咨詢(xún)顧問(wèn)根據與客戶(hù)確認的計劃，做現場(chǎng)檢查測試前的準備，主要包括準備差距分析表，明確現場(chǎng)訪(fǎng)談的對象（部門(mén)和人員），準備相應的網(wǎng)絡(luò )設備、安全設備和主機設備的配置檢查表和相關(guān)測試工具。

在整理差距分析表時(shí)，靈狐科技咨詢(xún)顧問(wèn)會(huì )根據系統所確定的安全等級從基本要求中選擇相應等級的基本安全要求，根據客戶(hù)信息系統分析結果及風(fēng)險評估的結果進(jìn)行調整，去掉不適用項，增加不能滿(mǎn)足客戶(hù)信息系統需求的安全要求，一般來(lái)說(shuō)，差距分析表包括安全技術(shù)、安全管理兩個(gè)方面內容分析系統現有的安全措施和安全要求之間的差距，根據這些差距提出安全建議：

?  安全技術(shù)差距分析

?  安全管理差距分析

2.3.2.   現場(chǎng)差距分析

     現場(chǎng)差距分析階段，靈狐科技咨詢(xún)顧問(wèn)依據差距分析表中的各項安全要求，對比現狀和安全要求之間的差距，確定不滿(mǎn)足要求的安全項。現場(chǎng)工作階段，網(wǎng)御星云咨詢(xún)顧問(wèn)可分為管理檢查組和技術(shù)檢查組，在客戶(hù)方人員的配合下，分工如下：

?  管理檢查組負責安全管理和物理安全類(lèi)文檔資料分析、現場(chǎng)訪(fǎng)談、現場(chǎng)檢查，并填寫(xiě)差距分析表的相關(guān)部分；

?  技術(shù)檢查組負責安全技術(shù)類(lèi)文檔分析、現場(chǎng)訪(fǎng)談、現場(chǎng)檢查，并填寫(xiě)差距分析表的相關(guān)部分。

在差距分析階段，可以通過(guò)以下方式收集信息，詳細了解客戶(hù)信息系統現狀，并通過(guò)分析所收集的資料／數據，以確認客戶(hù)信息系統的建設是否符合該等級的安全要求，需要進(jìn)行哪些方面的整改和安全建設。

?  查看制度和記錄

為了獲取和分析業(yè)務(wù)系統現有的安全控制措施，需要查看安全策略文檔（例如政策法規、指導性文檔）、管理制度（例如運維管理規定、機房管理制度等）和其它相關(guān)文檔（例如定級報告）等。

?  人員訪(fǎng)談

靈狐科技咨詢(xún)顧問(wèn)與客戶(hù)組織內有關(guān)的管理、技術(shù)和一般員工進(jìn)行逐個(gè)溝通。根據客戶(hù)的回答，獲得相應信息，并可驗證之前收集到的資料，從而提高其準確度和完整性。

通過(guò)訪(fǎng)談管理和技術(shù)人員，項目組成員可以收集到業(yè)務(wù)系統相關(guān)的物理、環(huán)境、安全組織結構、操作習慣等大量有用的信息，也可以了解到被訪(fǎng)談?wù)叩陌踩庾R和安全技能等自身素質(zhì)。由于訪(fǎng)談的互動(dòng)性，不同于調查表，項目組成員可以廣泛提問(wèn)，從多個(gè)角度獲得多方面的信息。

?  現場(chǎng)檢查

靈狐科技咨詢(xún)顧問(wèn)也可對客戶(hù)辦公環(huán)境和機房?jì)拳h(huán)境作現場(chǎng)檢查，觀(guān)察人員的行為和環(huán)境狀況，了解制度的執行情況及技術(shù)要求落實(shí)情況。根據現場(chǎng)勘查的結果，獲得相應咨詢(xún)信息。

2.3.3.   與客戶(hù)確認現場(chǎng)記錄

      在差距分析階段，靈狐科技咨詢(xún)顧問(wèn)如實(shí)記錄通過(guò)文檔檢查、現場(chǎng)訪(fǎng)談和現場(chǎng)檢查獲得的信息系統現狀，并與客戶(hù)相關(guān)人員溝通、確認現場(chǎng)記錄，確保記錄的準確性。

2.3.4.   生成差距分析報告

靈狐科技咨詢(xún)顧問(wèn)歸納整理、分析現場(chǎng)記錄，找出目前信息系統與等級保護安全要求之間的差距，生成等級保護差距分析報告。

2.4.  風(fēng)險評估

2.4.1.   信息資產(chǎn)評估

         信息資產(chǎn)包括信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務(wù)資產(chǎn)、無(wú)形資產(chǎn)以及人員及其資格、技能和經(jīng)驗等內容。風(fēng)險評估的出發(fā)點(diǎn)是對與風(fēng)險有關(guān)的各因素的確認和分析，與網(wǎng)絡(luò )安全風(fēng)險有關(guān)的因素可以包括四大類(lèi)：資產(chǎn)、威脅、脆弱性、安全控制措施。

2.4.2.   基于大數據的風(fēng)險評估

       大數據分析技術(shù)應用于網(wǎng)絡(luò )安全風(fēng)險評估，不僅可以提高網(wǎng)絡(luò )安全團隊的效率和響應速度，而且對企業(yè)內部傳統的網(wǎng)絡(luò )安全專(zhuān)業(yè)人員來(lái)說(shuō)，大數據分析可以發(fā)現你永遠想象不到的數據泄漏、挖掘出你不知道需要提出的問(wèn)題、找出不同數據來(lái)源之間的關(guān)聯(lián)、發(fā)現你從來(lái)不知道的IT操作問(wèn)題、找出你不知道的策略違規行為。

2.4.3.   風(fēng)險組合

對差距分析和風(fēng)險評估出來(lái)的各類(lèi)風(fēng)險進(jìn)行匯總與組合，對信息資產(chǎn)風(fēng)險進(jìn)行匯總。風(fēng)險種類(lèi)分為：管理類(lèi)風(fēng)險、技術(shù)類(lèi)風(fēng)險、操作類(lèi)風(fēng)險。

2.5.  整改建設

2.5.1.   方案設計

        靈狐科技咨詢(xún)顧問(wèn)參考國家標準《信息系統安全等級保護基本要求》、《信息安全技術(shù)信息系統等級保護安全設計技術(shù)要求》，依據差距分析的結論，在與客戶(hù)充分溝通后，結合客戶(hù)實(shí)際情況，給出專(zhuān)家級的安全整改和建議方案。

在整改建議方案中，靈狐科技咨詢(xún)顧問(wèn)會(huì )對第一級至第五級信息系統安全保護環(huán)境的各個(gè)方面提出整改方案。在方案中會(huì )從技術(shù)和安全管理制度兩個(gè)方面提出整改需求。并提出整改方案對應表，在對應表中將每一項等保要求與保護措施的對應起來(lái)，是等保整改建議方案的概括與總結。

2.5.2.   整改實(shí)施

         靈狐科技咨詢(xún)顧問(wèn)根據安全整改方案，結合用戶(hù)的實(shí)際需求，協(xié)助用戶(hù)完成設備的選型、采購、安裝、策略配置等活動(dòng)，協(xié)助用戶(hù)搭建完善的技術(shù)防護系統和安全管理體系，保障信息系統的安全穩定運行。

2.6.  協(xié)助測評

靈狐科技咨詢(xún)顧問(wèn)協(xié)助用戶(hù)單位選擇第三方測評機構，開(kāi)展信息系統等級保護驗收測評工作，保障通過(guò)等級保護驗收測評。

測評通過(guò)后，根據國家相關(guān)要求，需要定期對信息系統安全狀況、安全保護

制度及措施的落實(shí)情況進(jìn)行評估。第三級信息系統每年至少進(jìn)行一次評估，第四級信息系統每半年至少進(jìn)行一次評估。靈狐科技可以在測評通過(guò)后，定期為客戶(hù)提供評估服務(wù)，確保信息系統長(cháng)期處于一種動(dòng)態(tài)的合規安全狀態(tài)中。

3.等級保護咨詢(xún)服務(wù)對客戶(hù)收益

?  幫助客戶(hù)有效地落實(shí)等級保護設計成果，達到國家相關(guān)等級保護建設要求。

?  通過(guò)一系列的等級保護實(shí)施服務(wù)，縮短從體系設計到體系實(shí)現的過(guò)程，避免咨詢(xún)服務(wù)成果與安全建設脫節的弊病，達到安全咨詢(xún)的真正效果。

?  對于中小型系統，直接可以利用靈狐科技的知識體系，將等級保護的要求轉化為等級保護的實(shí)施效果，節約安全體系的建設時(shí)間和資金成本。