等級保護(hù)是當(dāng)前我國信息安全業(yè)界的熱點,盡管在實施的過程中部分用戶還存在著一些疑問,還有一些難點問題有待解決,但不可否認(rèn),等級保護(hù)工作在我國上上下下各方的努力推動下,正在積極的前進(jìn)中。“等級保護(hù)不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級,更重要的是,等級保護(hù)是圍繞信息安全保障全過程的一項基礎(chǔ)性工作。通過將等級化方法和安全體系方法有效結(jié)合,設(shè)計一套等級化的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決大型組織信息安全問題的一個非常有效的方法。”這是啟明星辰經(jīng)過多年的實踐經(jīng)驗積累對信息安全等級保護(hù)意義的解讀。
從1994年國務(wù)院發(fā)布的147號令《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》首次提出計算機(jī)信息系統(tǒng)實行安全等級保護(hù)以來,多項國家文件和政策均提到了等級保護(hù)工作的重要性。1999年9月國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了由公安部提出并組織制定的強(qiáng)制性國家標(biāo)準(zhǔn)GB17859-1999《計算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》,為等級保護(hù)這一安全國策給出了技術(shù)角度的詮釋。
2003年中共中央辦公廳、國務(wù)院辦公廳聯(lián)合轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“要重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護(hù)制度,制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。2004年公安部、國家保密局、國家密碼管理局、國務(wù)院信息辦聯(lián)合印發(fā)了《關(guān)于信息安全等級保護(hù)工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護(hù)制度的主要工作方向和工作內(nèi)容,規(guī)定了等級保護(hù)實施的具體步驟和時間表。
2007年6月,四部委聯(lián)合下發(fā)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號),標(biāo)志著等級保護(hù)的全面推廣落實。43號文明確了信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護(hù)工作中的職責(zé)、任務(wù)等。同時,四部委聯(lián)合下發(fā)了“關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知”(公信安[2007]861號),全面部署了全國范圍內(nèi)的重要信息系統(tǒng)定級工作。
近年來信息安全等級保護(hù)工作取得的了一定成效,初步建立了一系列執(zhí)行標(biāo)準(zhǔn):《信息系統(tǒng)安全等級保護(hù)定級指南》 ,《信息系統(tǒng)安全等級保護(hù)基本要求》;《信息系統(tǒng)安全等級保護(hù)實施指南》,《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求 》;《信息系統(tǒng)安全等級保護(hù)測評要求》 ,《信息系統(tǒng)安全等級保護(hù)測評指南》等。
2007年下半年開始,全國范圍內(nèi)的重要信息系統(tǒng)普遍開展了信息安全等級保護(hù)定級工作,到現(xiàn)在為止定級工作基本上已經(jīng)在重要行業(yè)初步完成,全面進(jìn)入整改階段。
在國家大力推行信息安全等級保護(hù)制度的背景下,啟明星辰長期深度參與、密切跟蹤國家等級保護(hù)相關(guān)政策,并作為信息安全企業(yè)的代表參與了等級保護(hù)相關(guān)標(biāo)準(zhǔn)的起草編制工作,在等級保護(hù)的定級、整改、評估等多項工作中積累了豐富的經(jīng)驗。在此基礎(chǔ)上,啟明星辰推出了等級保護(hù)整體解決方案,為用戶提供等級保護(hù)咨詢服務(wù),依據(jù)國家等級保護(hù)相關(guān)要求,結(jié)合信息系統(tǒng)安全建設(shè)最佳實踐,緊跟國家等級保護(hù)的具體實施步驟,為客戶提供多種類型的咨詢服務(wù)、安全審計產(chǎn)品、基于等級保護(hù)的安全管理平臺(SOC)、入侵檢測系統(tǒng)(IDS)等滿足不同客戶不同層次和不同階段的等級保護(hù)需求服務(wù)。
啟明星辰等級保護(hù)整體解決方案
信息安全等級保護(hù)是國家信息安全保障的基本制度,等級保護(hù)的整體實施工作包括等級保護(hù)定級與備案、等級保護(hù)差距分析、系統(tǒng)安全建設(shè)與整改、等級測評等幾個階段。
定級是等級保護(hù)實施的基礎(chǔ)性工作,是進(jìn)行相應(yīng)等級安全建設(shè)的依據(jù)。定級工作是基于國家信息系統(tǒng)安全等級保護(hù)相關(guān)文件的要求,結(jié)合客戶的組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)的實際情況,進(jìn)行重要信息系統(tǒng)的等級確定,并進(jìn)一步制定適合自身行業(yè)特點的信息系統(tǒng)定級指導(dǎo)意見。
用戶完成定級工作之后,更主要的是依據(jù)等級保護(hù)整改的相關(guān)要求,通過一套規(guī)范的等保整改過程,進(jìn)行風(fēng)險評估和等級保護(hù)差距分析,制定完整的安全整改建議方案,進(jìn)行等級化安全體系的設(shè)計與建設(shè),最終符合國家等級保護(hù)建設(shè)要求。用戶必須在深入理解定級的根本要求、充分調(diào)查評估信息資產(chǎn)價值和安全風(fēng)險的基礎(chǔ)上才能完成形成合理的整改建議方案。
等級保護(hù)的建設(shè)是個長期的過程,需要花費大量的時間、精力和財力,本著為用戶提供優(yōu)質(zhì)服務(wù)的態(tài)度,啟明星辰推出了等級保護(hù)專業(yè)服務(wù)和整體解決方案,提供包括定級備案、差距分析、整改方案制訂、等保實施、測評咨詢、檢查咨詢等各個環(huán)節(jié)的服務(wù),協(xié)助用戶完成等級保護(hù)的實施和建設(shè),為用戶信息安全保障體系“保駕護(hù)航”。
啟明星辰通過自身的安全產(chǎn)品、安全服務(wù),可協(xié)助用戶完成等級保護(hù)各個階段的建設(shè),確保用戶按照等級保護(hù)的過程規(guī)劃并建設(shè)符合自身信息系統(tǒng)特色和安全建設(shè)需求的安全保障體系,更好地支撐應(yīng)用和業(yè)務(wù)的開展,具體內(nèi)容見下:
啟明星辰在等級保護(hù)各個階段將協(xié)助用戶完成上圖的任務(wù)和工作。具體包括:
等級保護(hù)定級備案
對信息系統(tǒng)進(jìn)行劃分,并根據(jù)信息系統(tǒng)的價值確定信息系統(tǒng)的保護(hù)等級,等級確定后啟明星辰將協(xié)助用戶完成保護(hù)等級的備案工作。
等級保護(hù)差距分析
通過風(fēng)險評估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級或目標(biāo)的差異,使信息系統(tǒng)的管理和使用單位可以在技術(shù)和管理方面進(jìn)行有針對性的加強(qiáng)和完善,使單位的信息系統(tǒng)安全工作有的放矢。
等級保護(hù)整改建議方案
啟明星辰根據(jù)評估的結(jié)果和信息系統(tǒng)確認(rèn)的保護(hù)等級,結(jié)合《信息系統(tǒng)安全等級保護(hù)基本要求》以及其它相關(guān)整改標(biāo)準(zhǔn)中對各級別信息系統(tǒng)的技術(shù)、管理和運維方面的要求,制定相應(yīng)的安全保護(hù)措施,完成等級保護(hù)整改建議方案的設(shè)計。
等級保護(hù)整改實施
啟明星辰將依據(jù)規(guī)劃向用戶提供詳細(xì)設(shè)計和等級保護(hù)系統(tǒng)建設(shè)服務(wù),確保保障等級能夠達(dá)到信息系統(tǒng)所要求的保護(hù)等級,或者協(xié)助用戶進(jìn)行等級保護(hù)的實施,對承建商的工作進(jìn)行監(jiān)理。
等級保護(hù)測評咨詢
在信息系統(tǒng)進(jìn)行完成定級和整改實施之后,需要通過測試手段對信息系統(tǒng)的安全技術(shù)和安全管理上各個層面的安全控制進(jìn)行整體性驗證,啟明星辰提供的測評咨詢服務(wù)將協(xié)助用戶通過等級保護(hù)測評工作。
等級保護(hù)檢查咨詢
在信息系統(tǒng)進(jìn)行完成定級和整改實施之后,國家主管機(jī)關(guān)將對信息系統(tǒng)的安全技術(shù)和安全管理各個層面的安全控制進(jìn)行檢查,啟明星辰將協(xié)助用戶準(zhǔn)備檢查所需要的文檔和資料,配合公安機(jī)關(guān)開展現(xiàn)場的檢查工作。
啟明星辰在等級保護(hù)方面成功經(jīng)驗案例
憑借扎實的技術(shù),通過多年的不斷實踐和探索,啟明星辰的等級保護(hù)安全解決方案已經(jīng)成功運用于不同的行業(yè)和領(lǐng)域,為企業(yè)和各類機(jī)構(gòu)提供了可靠穩(wěn)定及可持續(xù)性的安全保障,下 面介紹一些典型的成功案例:
中國石油重要信息系統(tǒng)等級保護(hù)咨詢項目——隨著近年來世界經(jīng)濟(jì)的復(fù)蘇,全球石油需求量快速上升,石油供需矛盾進(jìn)一步加劇,能源方面的競爭日趨激烈。作為中國經(jīng)濟(jì)支柱產(chǎn)業(yè)的骨干企業(yè),中國石油為了加快與國際經(jīng)濟(jì)接軌,提升參與國際競爭的實力,把信息化建設(shè)作為提升整體管理水平和企業(yè)核心競爭力的重要手段。中國石油已經(jīng)完成企業(yè)信息化工作的基礎(chǔ)建設(shè)工作,更是走在信息化建設(shè)的前沿。結(jié)合中國石油實際的業(yè)務(wù)需求,信息系統(tǒng)實行分級、分區(qū)域、分類、分階段的安全保護(hù)。同時,中國石油根據(jù)國家有關(guān)規(guī)定加強(qiáng)企業(yè)信息安全保障工作,實行信息安全等級保護(hù)工作,重點保護(hù)企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)安全,抓緊安全等級保護(hù)建設(shè)。為此,中國石油高度重視信息安全保護(hù)工作。
2007年開始,啟明星辰依據(jù)國家等級保護(hù)政策幫助中國石油建立中國石油信息安全等級保護(hù)規(guī)范,進(jìn)行全面的信息系統(tǒng)摸底調(diào)查工作,協(xié)助完成對總部統(tǒng)一組織建設(shè)和應(yīng)用的重要信息系統(tǒng)的定級工作,制定中國石油重要信息系統(tǒng)安全等級保護(hù)定級實施暫行意見。項目于2008年4月結(jié)束并驗收,已順利完成公安部的備案工作,定級結(jié)果得到主管機(jī)關(guān)和各專家的好評。
長城資產(chǎn)等級保護(hù)咨詢項目——中國長城資產(chǎn)管理公司作為國有獨資金融企業(yè),在業(yè)務(wù)高速發(fā)展的同時一直非常重視信息安全體系建設(shè),早期已經(jīng)部署了“老三樣”,而且也對保障業(yè)務(wù)系統(tǒng)的安全正常運轉(zhuǎn)起到了重要作用。在國家信息化快速發(fā)展的情況下,根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》中對信息系統(tǒng)的要求,啟明星辰于2006年11月開始,對中國長城資產(chǎn)管理公司的兩個業(yè)務(wù)系統(tǒng)進(jìn)行等級保護(hù)的實施,并根據(jù)系統(tǒng)受到破壞之后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害,將保護(hù)級別定為3級,并形成了等級保護(hù)定級報告,通過公安部一所的等級檢查評估。這在資產(chǎn)管理公司里屬于首家。本項目于2006年12月結(jié)束。
大連商品交易所等級保護(hù)咨詢項目——大連商品交易所成立于1993年,是經(jīng)國務(wù)院批準(zhǔn)的四家期貨交易所之一。隨著大商所自身業(yè)務(wù)的不斷提升,網(wǎng)絡(luò)的建設(shè)也變得更加重要和復(fù)雜。為迎合日益擴(kuò)大的系統(tǒng)及網(wǎng)絡(luò)需求,大連商品交易所安全建設(shè)需求越來越迫切。同時在國家等級保護(hù)政策的要求下,證監(jiān)會《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》明確要求,金融機(jī)構(gòu),證券公司、基金公司、期貨公司的信息系統(tǒng)安全保護(hù)能力必須達(dá)到一定的等級。
啟明星辰在完全符合國家等保政策和標(biāo)準(zhǔn)要求的前提下,依據(jù)證券行業(yè)信息安全的管理、技術(shù)、運維的特殊情況,針對大商所的實際情況,于2008年7月,對大商所新大廈的信息系統(tǒng)建設(shè)中各個重要環(huán)節(jié)分別制定安全策略、技術(shù)要求及操作細(xì)則。同時,依據(jù)技術(shù)要求進(jìn)行等級保護(hù)差距分析,提供等級保護(hù)差距評估報告,并提供等級保護(hù)差距整改建議。
中國建設(shè)銀行等級保護(hù)咨詢項目——2008年9月項目啟動,啟明星辰依據(jù)國家等保定級指南,協(xié)助建行完成全行的交易、渠道、辦公等重要信息系統(tǒng)的定級工作,并為建行制定適合自身行業(yè)特點的信息系統(tǒng)定級指導(dǎo)意見。
