1.等級保護概述

      網(wǎng)絡安全等級保護（以下簡稱“等級保護”）是國家網(wǎng)絡安全保障的基本制度、基本策略、基本方針。開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡安全的根本保障，是網(wǎng)絡安全保障工作中國家意志的體現(xiàn)。

通過將等級化方法和安全體系方法有效結(jié)合，設計一套等級化的網(wǎng)絡安全保障體系，是適合我國國情、系統(tǒng)化地解決大型組織網(wǎng)絡安全問題的一個非常有效的方法。

國家網(wǎng)絡安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

為進一步貫徹落實《國家信息化領導小組關于加強網(wǎng)絡安全保障工作的意見》

（中辦發(fā)[2003]27號）、《關于網(wǎng)絡安全等級保護工作的實施意見》（公通字[2004]66號）、《網(wǎng)絡安全等級保護管理辦法》（公通字[2007]43號）、《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）、《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)及各類文件的精神和要求，提高我國基礎信息網(wǎng)絡和重要信息系統(tǒng)的網(wǎng)絡安全保護能力和水平，自2007年開始，從國家層面開始推動我國的政府、金融、電力、電信、交通等基礎行業(yè)在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級、備案、測評、整改工作。

靈狐科技長期密切跟蹤國家等級保護相關政策，參與了等級保護標準制定與研討、國家項目等多項相關工作，協(xié)助客戶重要信息系統(tǒng)定級、等級保護整改等多項工作，在等級保護工作實踐中積累了豐富的經(jīng)驗。

靈狐科技進行等級保護咨詢服務時，主要參考標準如下：

?  《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）

?  《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）

?  《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2019）

?  《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

?  《網(wǎng)絡安全技術網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）

?  《網(wǎng)絡安全技術信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）

?  《網(wǎng)絡安全技術操作系統(tǒng)安全技術要求》（GB/T20272-2006）

?  《網(wǎng)絡安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）

?  《網(wǎng)絡安全技術應用系統(tǒng)安全等級保護通用技術指南》（GA/T711-2007）

?  《網(wǎng)絡安全技術服務器技術要求》（GB/T21028-2007）

?  《網(wǎng)絡安全技術終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）

?  《網(wǎng)絡安全技術信息系統(tǒng)安全管理要求》（GB/T20269-2006）

?  《網(wǎng)絡安全技術信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

?  《網(wǎng)絡安全技術網(wǎng)絡安全事件分類分級指南》（GB/Z20986-2007）

2.靈狐科技等級保護咨詢服務流程

2.1.  定級備案

靈狐科技咨詢顧問協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級保護定級指南》，確定信息系統(tǒng)的安全保護等級，準備定級備案表和定級報告，協(xié)助用戶單位向所在地區(qū)的公安機關辦理備案手續(xù)。

2.2.  現(xiàn)狀調(diào)研

靈狐科技對客戶信息系統(tǒng)進行細致、深入的現(xiàn)狀調(diào)研。明確不同等級信息系統(tǒng)的范圍和邊界，通過調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡拓撲、業(yè)務應用、業(yè)務流程、設備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網(wǎng)絡等，也包括具體對象，如邊界設備、網(wǎng)關設備、服務器設備、工作站、應用系統(tǒng)等。

2.3.  差距分析

   通過信息系統(tǒng)安全等級保護差距分析工作，明確客戶信息系統(tǒng)當前安全防護情況，了解系統(tǒng)的基本安全狀況和防護能力，了解現(xiàn)有安全措施和設備發(fā)揮作用的情況，管理體系的健全程度。同時也明確與網(wǎng)絡安全等級保護要求的差距及不符合項，為下一步針對不符合項的風險評估提供基礎。

2.3.1.   準備基線差距分析表

     靈狐科技咨詢顧問根據(jù)與客戶確認的計劃，做現(xiàn)場檢查測試前的準備，主要包括準備差距分析表，明確現(xiàn)場訪談的對象（部門和人員），準備相應的網(wǎng)絡設備、安全設備和主機設備的配置檢查表和相關測試工具。

在整理差距分析表時，靈狐科技咨詢顧問會根據(jù)系統(tǒng)所確定的安全等級從基本要求中選擇相應等級的基本安全要求，根據(jù)客戶信息系統(tǒng)分析結(jié)果及風險評估的結(jié)果進行調(diào)整，去掉不適用項，增加不能滿足客戶信息系統(tǒng)需求的安全要求，一般來說，差距分析表包括安全技術、安全管理兩個方面內(nèi)容分析系統(tǒng)現(xiàn)有的安全措施和安全要求之間的差距，根據(jù)這些差距提出安全建議：

?  安全技術差距分析

?  安全管理差距分析

2.3.2.   現(xiàn)場差距分析

     現(xiàn)場差距分析階段，靈狐科技咨詢顧問依據(jù)差距分析表中的各項安全要求，對比現(xiàn)狀和安全要求之間的差距，確定不滿足要求的安全項。現(xiàn)場工作階段，網(wǎng)御星云咨詢顧問可分為管理檢查組和技術檢查組，在客戶方人員的配合下，分工如下：

?  管理檢查組負責安全管理和物理安全類文檔資料分析、現(xiàn)場訪談、現(xiàn)場檢查，并填寫差距分析表的相關部分；

?  技術檢查組負責安全技術類文檔分析、現(xiàn)場訪談、現(xiàn)場檢查，并填寫差距分析表的相關部分。

在差距分析階段，可以通過以下方式收集信息，詳細了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料／數(shù)據(jù)，以確認客戶信息系統(tǒng)的建設是否符合該等級的安全要求，需要進行哪些方面的整改和安全建設。

?  查看制度和記錄

為了獲取和分析業(yè)務系統(tǒng)現(xiàn)有的安全控制措施，需要查看安全策略文檔（例如政策法規(guī)、指導性文檔）、管理制度（例如運維管理規(guī)定、機房管理制度等）和其它相關文檔（例如定級報告）等。

?  人員訪談

靈狐科技咨詢顧問與客戶組織內(nèi)有關的管理、技術和一般員工進行逐個溝通。根據(jù)客戶的回答，獲得相應信息，并可驗證之前收集到的資料，從而提高其準確度和完整性。

通過訪談管理和技術人員，項目組成員可以收集到業(yè)務系統(tǒng)相關的物理、環(huán)境、安全組織結(jié)構(gòu)、操作習慣等大量有用的信息，也可以了解到被訪談者的安全意識和安全技能等自身素質(zhì)。由于訪談的互動性，不同于調(diào)查表，項目組成員可以廣泛提問，從多個角度獲得多方面的信息。

?  現(xiàn)場檢查

靈狐科技咨詢顧問也可對客戶辦公環(huán)境和機房內(nèi)環(huán)境作現(xiàn)場檢查，觀察人員的行為和環(huán)境狀況，了解制度的執(zhí)行情況及技術要求落實情況。根據(jù)現(xiàn)場勘查的結(jié)果，獲得相應咨詢信息。

2.3.3.   與客戶確認現(xiàn)場記錄

      在差距分析階段，靈狐科技咨詢顧問如實記錄通過文檔檢查、現(xiàn)場訪談和現(xiàn)場檢查獲得的信息系統(tǒng)現(xiàn)狀，并與客戶相關人員溝通、確認現(xiàn)場記錄，確保記錄的準確性。

2.3.4.   生成差距分析報告

靈狐科技咨詢顧問歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級保護安全要求之間的差距，生成等級保護差距分析報告。

2.4.  風險評估

2.4.1.   信息資產(chǎn)評估

         信息資產(chǎn)包括信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務資產(chǎn)、無形資產(chǎn)以及人員及其資格、技能和經(jīng)驗等內(nèi)容。風險評估的出發(fā)點是對與風險有關的各因素的確認和分析，與網(wǎng)絡安全風險有關的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。

2.4.2.   基于大數(shù)據(jù)的風險評估

       大數(shù)據(jù)分析技術應用于網(wǎng)絡安全風險評估，不僅可以提高網(wǎng)絡安全團隊的效率和響應速度，而且對企業(yè)內(nèi)部傳統(tǒng)的網(wǎng)絡安全專業(yè)人員來說，大數(shù)據(jù)分析可以發(fā)現(xiàn)你永遠想象不到的數(shù)據(jù)泄漏、挖掘出你不知道需要提出的問題、找出不同數(shù)據(jù)來源之間的關聯(lián)、發(fā)現(xiàn)你從來不知道的IT操作問題、找出你不知道的策略違規(guī)行為。

2.4.3.   風險組合

對差距分析和風險評估出來的各類風險進行匯總與組合，對信息資產(chǎn)風險進行匯總。風險種類分為：管理類風險、技術類風險、操作類風險。

2.5.  整改建設

2.5.1.   方案設計

        靈狐科技咨詢顧問參考國家標準《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》，依據(jù)差距分析的結(jié)論，在與客戶充分溝通后，結(jié)合客戶實際情況，給出專家級的安全整改和建議方案。

在整改建議方案中，靈狐科技咨詢顧問會對第一級至第五級信息系統(tǒng)安全保護環(huán)境的各個方面提出整改方案。在方案中會從技術和安全管理制度兩個方面提出整改需求。并提出整改方案對應表，在對應表中將每一項等保要求與保護措施的對應起來，是等保整改建議方案的概括與總結(jié)。

2.5.2.   整改實施

         靈狐科技咨詢顧問根據(jù)安全整改方案，結(jié)合用戶的實際需求，協(xié)助用戶完成設備的選型、采購、安裝、策略配置等活動，協(xié)助用戶搭建完善的技術防護系統(tǒng)和安全管理體系，保障信息系統(tǒng)的安全穩(wěn)定運行。

2.6.  協(xié)助測評

靈狐科技咨詢顧問協(xié)助用戶單位選擇第三方測評機構(gòu)，開展信息系統(tǒng)等級保護驗收測評工作，保障通過等級保護驗收測評。

測評通過后，根據(jù)國家相關要求，需要定期對信息系統(tǒng)安全狀況、安全保護

制度及措施的落實情況進行評估。第三級信息系統(tǒng)每年至少進行一次評估，第四級信息系統(tǒng)每半年至少進行一次評估。靈狐科技可以在測評通過后，定期為客戶提供評估服務，確保信息系統(tǒng)長期處于一種動態(tài)的合規(guī)安全狀態(tài)中。

3.等級保護咨詢服務對客戶收益

?  幫助客戶有效地落實等級保護設計成果，達到國家相關等級保護建設要求。

?  通過一系列的等級保護實施服務，縮短從體系設計到體系實現(xiàn)的過程，避免咨詢服務成果與安全建設脫節(jié)的弊病，達到安全咨詢的真正效果。

?  對于中小型系統(tǒng)，直接可以利用靈狐科技的知識體系，將等級保護的要求轉(zhuǎn)化為等級保護的實施效果，節(jié)約安全體系的建設時間和資金成本。