1.等級(jí)保護(hù)概述

      網(wǎng)絡(luò)安全等級(jí)保護(hù)（以下簡(jiǎn)稱“等級(jí)保護(hù)”）是國(guó)家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方針。開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國(guó)家意志的體現(xiàn)。

通過(guò)將等級(jí)化方法和安全體系方法有效結(jié)合，設(shè)計(jì)一套等級(jí)化的網(wǎng)絡(luò)安全保障體系，是適合我國(guó)國(guó)情、系統(tǒng)化地解決大型組織網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

為進(jìn)一步貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障工作的意見(jiàn)》

（中辦發(fā)[2003]27號(hào)）、《關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）、《網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)及各類文件的精神和要求，提高我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)能力和水平，自2007年開(kāi)始，從國(guó)家層面開(kāi)始推動(dòng)我國(guó)的政府、金融、電力、電信、交通等基礎(chǔ)行業(yè)在全國(guó)范圍內(nèi)組織開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、整改工作。

靈狐科技長(zhǎng)期密切跟蹤國(guó)家等級(jí)保護(hù)相關(guān)政策，參與了等級(jí)保護(hù)標(biāo)準(zhǔn)制定與研討、國(guó)家項(xiàng)目等多項(xiàng)相關(guān)工作，協(xié)助客戶重要信息系統(tǒng)定級(jí)、等級(jí)保護(hù)整改等多項(xiàng)工作，在等級(jí)保護(hù)工作實(shí)踐中積累了豐富的經(jīng)驗(yàn)。

靈狐科技進(jìn)行等級(jí)保護(hù)咨詢服務(wù)時(shí)，主要參考標(biāo)準(zhǔn)如下：

?  《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）

?  《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）

?  《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）

?  《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2010）

?  《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）

?  《網(wǎng)絡(luò)安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）

?  《網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）

?  《網(wǎng)絡(luò)安全技術(shù)應(yīng)用系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》（GA/T711-2007）

?  《網(wǎng)絡(luò)安全技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-2007）

?  《網(wǎng)絡(luò)安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）

?  《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

?  《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南》（GB/Z20986-2007）

2.靈狐科技等級(jí)保護(hù)咨詢服務(wù)流程

2.1.  定級(jí)備案

靈狐科技咨詢顧問(wèn)協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，確定信息系統(tǒng)的安全保護(hù)等級(jí)，準(zhǔn)備定級(jí)備案表和定級(jí)報(bào)告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。

2.2.  現(xiàn)狀調(diào)研

靈狐科技對(duì)客戶信息系統(tǒng)進(jìn)行細(xì)致、深入的現(xiàn)狀調(diào)研。明確不同等級(jí)信息系統(tǒng)的范圍和邊界，通過(guò)調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。初步確定每個(gè)等級(jí)信息系統(tǒng)的分析對(duì)象，包括整體對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對(duì)象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。

2.3.  差距分析

   通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)差距分析工作，明確客戶信息系統(tǒng)當(dāng)前安全防護(hù)情況，了解系統(tǒng)的基本安全狀況和防護(hù)能力，了解現(xiàn)有安全措施和設(shè)備發(fā)揮作用的情況，管理體系的健全程度。同時(shí)也明確與網(wǎng)絡(luò)安全等級(jí)保護(hù)要求的差距及不符合項(xiàng)，為下一步針對(duì)不符合項(xiàng)的風(fēng)險(xiǎn)評(píng)估提供基礎(chǔ)。

2.3.1.   準(zhǔn)備基線差距分析表

     靈狐科技咨詢顧問(wèn)根據(jù)與客戶確認(rèn)的計(jì)劃，做現(xiàn)場(chǎng)檢查測(cè)試前的準(zhǔn)備，主要包括準(zhǔn)備差距分析表，明確現(xiàn)場(chǎng)訪談的對(duì)象（部門(mén)和人員），準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)設(shè)備的配置檢查表和相關(guān)測(cè)試工具。

在整理差距分析表時(shí)，靈狐科技咨詢顧問(wèn)會(huì)根據(jù)系統(tǒng)所確定的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求，根據(jù)客戶信息系統(tǒng)分析結(jié)果及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求，一般來(lái)說(shuō)，差距分析表包括安全技術(shù)、安全管理兩個(gè)方面內(nèi)容分析系統(tǒng)現(xiàn)有的安全措施和安全要求之間的差距，根據(jù)這些差距提出安全建議：

?  安全技術(shù)差距分析

?  安全管理差距分析

2.3.2.   現(xiàn)場(chǎng)差距分析

     現(xiàn)場(chǎng)差距分析階段，靈狐科技咨詢顧問(wèn)依據(jù)差距分析表中的各項(xiàng)安全要求，對(duì)比現(xiàn)狀和安全要求之間的差距，確定不滿足要求的安全項(xiàng)。現(xiàn)場(chǎng)工作階段，網(wǎng)御星云咨詢顧問(wèn)可分為管理檢查組和技術(shù)檢查組，在客戶方人員的配合下，分工如下：

?  管理檢查組負(fù)責(zé)安全管理和物理安全類文檔資料分析、現(xiàn)場(chǎng)訪談、現(xiàn)場(chǎng)檢查，并填寫(xiě)差距分析表的相關(guān)部分；

?  技術(shù)檢查組負(fù)責(zé)安全技術(shù)類文檔分析、現(xiàn)場(chǎng)訪談、現(xiàn)場(chǎng)檢查，并填寫(xiě)差距分析表的相關(guān)部分。

在差距分析階段，可以通過(guò)以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過(guò)分析所收集的資料／數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改和安全建設(shè)。

?  查看制度和記錄

為了獲取和分析業(yè)務(wù)系統(tǒng)現(xiàn)有的安全控制措施，需要查看安全策略文檔（例如政策法規(guī)、指導(dǎo)性文檔）、管理制度（例如運(yùn)維管理規(guī)定、機(jī)房管理制度等）和其它相關(guān)文檔（例如定級(jí)報(bào)告）等。

?  人員訪談

靈狐科技咨詢顧問(wèn)與客戶組織內(nèi)有關(guān)的管理、技術(shù)和一般員工進(jìn)行逐個(gè)溝通。根據(jù)客戶的回答，獲得相應(yīng)信息，并可驗(yàn)證之前收集到的資料，從而提高其準(zhǔn)確度和完整性。

通過(guò)訪談管理和技術(shù)人員，項(xiàng)目組成員可以收集到業(yè)務(wù)系統(tǒng)相關(guān)的物理、環(huán)境、安全組織結(jié)構(gòu)、操作習(xí)慣等大量有用的信息，也可以了解到被訪談?wù)叩陌踩庾R(shí)和安全技能等自身素質(zhì)。由于訪談的互動(dòng)性，不同于調(diào)查表，項(xiàng)目組成員可以廣泛提問(wèn)，從多個(gè)角度獲得多方面的信息。

?  現(xiàn)場(chǎng)檢查

靈狐科技咨詢顧問(wèn)也可對(duì)客戶辦公環(huán)境和機(jī)房?jī)?nèi)環(huán)境作現(xiàn)場(chǎng)檢查，觀察人員的行為和環(huán)境狀況，了解制度的執(zhí)行情況及技術(shù)要求落實(shí)情況。根據(jù)現(xiàn)場(chǎng)勘查的結(jié)果，獲得相應(yīng)咨詢信息。

2.3.3.   與客戶確認(rèn)現(xiàn)場(chǎng)記錄

      在差距分析階段，靈狐科技咨詢顧問(wèn)如實(shí)記錄通過(guò)文檔檢查、現(xiàn)場(chǎng)訪談和現(xiàn)場(chǎng)檢查獲得的信息系統(tǒng)現(xiàn)狀，并與客戶相關(guān)人員溝通、確認(rèn)現(xiàn)場(chǎng)記錄，確保記錄的準(zhǔn)確性。

2.3.4.   生成差距分析報(bào)告

靈狐科技咨詢顧問(wèn)歸納整理、分析現(xiàn)場(chǎng)記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，生成等級(jí)保護(hù)差距分析報(bào)告。

2.4.  風(fēng)險(xiǎn)評(píng)估

2.4.1.   信息資產(chǎn)評(píng)估

         信息資產(chǎn)包括信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務(wù)資產(chǎn)、無(wú)形資產(chǎn)以及人員及其資格、技能和經(jīng)驗(yàn)等內(nèi)容。風(fēng)險(xiǎn)評(píng)估的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析，與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。

2.4.2.   基于大數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估

       大數(shù)據(jù)分析技術(shù)應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，不僅可以提高網(wǎng)絡(luò)安全團(tuán)隊(duì)的效率和響應(yīng)速度，而且對(duì)企業(yè)內(nèi)部傳統(tǒng)的網(wǎng)絡(luò)安全專業(yè)人員來(lái)說(shuō)，大數(shù)據(jù)分析可以發(fā)現(xiàn)你永遠(yuǎn)想象不到的數(shù)據(jù)泄漏、挖掘出你不知道需要提出的問(wèn)題、找出不同數(shù)據(jù)來(lái)源之間的關(guān)聯(lián)、發(fā)現(xiàn)你從來(lái)不知道的IT操作問(wèn)題、找出你不知道的策略違規(guī)行為。

2.4.3.   風(fēng)險(xiǎn)組合

對(duì)差距分析和風(fēng)險(xiǎn)評(píng)估出來(lái)的各類風(fēng)險(xiǎn)進(jìn)行匯總與組合，對(duì)信息資產(chǎn)風(fēng)險(xiǎn)進(jìn)行匯總。風(fēng)險(xiǎn)種類分為：管理類風(fēng)險(xiǎn)、技術(shù)類風(fēng)險(xiǎn)、操作類風(fēng)險(xiǎn)。

2.5.  整改建設(shè)

2.5.1.   方案設(shè)計(jì)

        靈狐科技咨詢顧問(wèn)參考國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，依據(jù)差距分析的結(jié)論，在與客戶充分溝通后，結(jié)合客戶實(shí)際情況，給出專家級(jí)的安全整改和建議方案。

在整改建議方案中，靈狐科技咨詢顧問(wèn)會(huì)對(duì)第一級(jí)至第五級(jí)信息系統(tǒng)安全保護(hù)環(huán)境的各個(gè)方面提出整改方案。在方案中會(huì)從技術(shù)和安全管理制度兩個(gè)方面提出整改需求。并提出整改方案對(duì)應(yīng)表，在對(duì)應(yīng)表中將每一項(xiàng)等保要求與保護(hù)措施的對(duì)應(yīng)起來(lái)，是等保整改建議方案的概括與總結(jié)。

2.5.2.   整改實(shí)施

         靈狐科技咨詢顧問(wèn)根據(jù)安全整改方案，結(jié)合用戶的實(shí)際需求，協(xié)助用戶完成設(shè)備的選型、采購(gòu)、安裝、策略配置等活動(dòng)，協(xié)助用戶搭建完善的技術(shù)防護(hù)系統(tǒng)和安全管理體系，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

2.6.  協(xié)助測(cè)評(píng)

靈狐科技咨詢顧問(wèn)協(xié)助用戶單位選擇第三方測(cè)評(píng)機(jī)構(gòu)，開(kāi)展信息系統(tǒng)等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)工作，保障通過(guò)等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)。

測(cè)評(píng)通過(guò)后，根據(jù)國(guó)家相關(guān)要求，需要定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)

制度及措施的落實(shí)情況進(jìn)行評(píng)估。第三級(jí)信息系統(tǒng)每年至少進(jìn)行一次評(píng)估，第四級(jí)信息系統(tǒng)每半年至少進(jìn)行一次評(píng)估。靈狐科技可以在測(cè)評(píng)通過(guò)后，定期為客戶提供評(píng)估服務(wù)，確保信息系統(tǒng)長(zhǎng)期處于一種動(dòng)態(tài)的合規(guī)安全狀態(tài)中。

3.等級(jí)保護(hù)咨詢服務(wù)對(duì)客戶收益

?  幫助客戶有效地落實(shí)等級(jí)保護(hù)設(shè)計(jì)成果，達(dá)到國(guó)家相關(guān)等級(jí)保護(hù)建設(shè)要求。

?  通過(guò)一系列的等級(jí)保護(hù)實(shí)施服務(wù)，縮短從體系設(shè)計(jì)到體系實(shí)現(xiàn)的過(guò)程，避免咨詢服務(wù)成果與安全建設(shè)脫節(jié)的弊病，達(dá)到安全咨詢的真正效果。

?  對(duì)于中小型系統(tǒng)，直接可以利用靈狐科技的知識(shí)體系，將等級(jí)保護(hù)的要求轉(zhuǎn)化為等級(jí)保護(hù)的實(shí)施效果，節(jié)約安全體系的建設(shè)時(shí)間和資金成本。