等級保護是當前我國信息安全業界的熱點,盡管在實施的過程中部分用戶還存在著一些疑問,還有一些難點問題有待解決,但不可否認,等級保護工作在我國上上下下各方的努力推動下,正在積極的前進中。“等級保護不僅是對信息安全產品或系統的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性工作。通過將等級化方法和安全體系方法有效結合,設計一套等級化的信息安全保障體系,是適合我國國情、系統化地解決大型組織信息安全問題的一個非常有效的方法。”這是啟明星辰經過多年的實踐經驗積累對信息安全等級保護意義的解讀。
從1994年國務院發布的147號令《中華人民共和國計算機信息系統安全保護條例》首次提出計算機信息系統實行安全等級保護以來,多項國家文件和政策均提到了等級保護工作的重要性。1999年9月國家質量技術監督局發布了由公安部提出并組織制定的強制性國家標準GB17859-1999《計算機信息系統安全等級保護劃分準則》,為等級保護這一安全國策給出了技術角度的詮釋。
2003年中共中央辦公廳、國務院辦公廳聯合轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。2004年公安部、國家保密局、國家密碼管理局、國務院信息辦聯合印發了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的主要工作方向和工作內容,規定了等級保護實施的具體步驟和時間表。
2007年6月,四部委聯合下發《信息安全等級保護管理辦法》(公通字[2007]43號),標志著等級保護的全面推廣落實。43號文明確了信息安全等級保護制度的基本內容、流程及工作要求,明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務等。同時,四部委聯合下發了“關于開展全國重要信息系統安全等級保護定級工作的通知”(公信安[2007]861號),全面部署了全國范圍內的重要信息系統定級工作。
近年來信息安全等級保護工作取得的了一定成效,初步建立了一系列執行標準:《信息系統安全等級保護定級指南》 ,《信息系統安全等級保護基本要求》;《信息系統安全等級保護實施指南》,《信息系統等級保護安全設計技術要求 》;《信息系統安全等級保護測評要求》 ,《信息系統安全等級保護測評指南》等。
2007年下半年開始,全國范圍內的重要信息系統普遍開展了信息安全等級保護定級工作,到現在為止定級工作基本上已經在重要行業初步完成,全面進入整改階段。
在國家大力推行信息安全等級保護制度的背景下,啟明星辰長期深度參與、密切跟蹤國家等級保護相關政策,并作為信息安全企業的代表參與了等級保護相關標準的起草編制工作,在等級保護的定級、整改、評估等多項工作中積累了豐富的經驗。在此基礎上,啟明星辰推出了等級保護整體解決方案,為用戶提供等級保護咨詢服務,依據國家等級保護相關要求,結合信息系統安全建設最佳實踐,緊跟國家等級保護的具體實施步驟,為客戶提供多種類型的咨詢服務、安全審計產品、基于等級保護的安全管理平臺(SOC)、入侵檢測系統(IDS)等滿足不同客戶不同層次和不同階段的等級保護需求服務。
啟明星辰等級保護整體解決方案
信息安全等級保護是國家信息安全保障的基本制度,等級保護的整體實施工作包括等級保護定級與備案、等級保護差距分析、系統安全建設與整改、等級測評等幾個階段。
定級是等級保護實施的基礎性工作,是進行相應等級安全建設的依據。定級工作是基于國家信息系統安全等級保護相關文件的要求,結合客戶的組織架構、業務要求、信息系統的實際情況,進行重要信息系統的等級確定,并進一步制定適合自身行業特點的信息系統定級指導意見。
用戶完成定級工作之后,更主要的是依據等級保護整改的相關要求,通過一套規范的等保整改過程,進行風險評估和等級保護差距分析,制定完整的安全整改建議方案,進行等級化安全體系的設計與建設,最終符合國家等級保護建設要求。用戶必須在深入理解定級的根本要求、充分調查評估信息資產價值和安全風險的基礎上才能完成形成合理的整改建議方案。
等級保護的建設是個長期的過程,需要花費大量的時間、精力和財力,本著為用戶提供優質服務的態度,啟明星辰推出了等級保護專業服務和整體解決方案,提供包括定級備案、差距分析、整改方案制訂、等保實施、測評咨詢、檢查咨詢等各個環節的服務,協助用戶完成等級保護的實施和建設,為用戶信息安全保障體系“保駕護航”。
啟明星辰通過自身的安全產品、安全服務,可協助用戶完成等級保護各個階段的建設,確保用戶按照等級保護的過程規劃并建設符合自身信息系統特色和安全建設需求的安全保障體系,更好地支撐應用和業務的開展,具體內容見下:
啟明星辰在等級保護各個階段將協助用戶完成上圖的任務和工作。具體包括:
等級保護定級備案
對信息系統進行劃分,并根據信息系統的價值確定信息系統的保護等級,等級確定后啟明星辰將協助用戶完成保護等級的備案工作。
等級保護差距分析
通過風險評估可以發現信息系統的安全現狀與需要達到的安全等級或目標的差異,使信息系統的管理和使用單位可以在技術和管理方面進行有針對性的加強和完善,使單位的信息系統安全工作有的放矢。
等級保護整改建議方案
啟明星辰根據評估的結果和信息系統確認的保護等級,結合《信息系統安全等級保護基本要求》以及其它相關整改標準中對各級別信息系統的技術、管理和運維方面的要求,制定相應的安全保護措施,完成等級保護整改建議方案的設計。
等級保護整改實施
啟明星辰將依據規劃向用戶提供詳細設計和等級保護系統建設服務,確保保障等級能夠達到信息系統所要求的保護等級,或者協助用戶進行等級保護的實施,對承建商的工作進行監理。
等級保護測評咨詢
在信息系統進行完成定級和整改實施之后,需要通過測試手段對信息系統的安全技術和安全管理上各個層面的安全控制進行整體性驗證,啟明星辰提供的測評咨詢服務將協助用戶通過等級保護測評工作。
等級保護檢查咨詢
在信息系統進行完成定級和整改實施之后,國家主管機關將對信息系統的安全技術和安全管理各個層面的安全控制進行檢查,啟明星辰將協助用戶準備檢查所需要的文檔和資料,配合公安機關開展現場的檢查工作。
啟明星辰在等級保護方面成功經驗案例
憑借扎實的技術,通過多年的不斷實踐和探索,啟明星辰的等級保護安全解決方案已經成功運用于不同的行業和領域,為企業和各類機構提供了可靠穩定及可持續性的安全保障,下 面介紹一些典型的成功案例:
中國石油重要信息系統等級保護咨詢項目——隨著近年來世界經濟的復蘇,全球石油需求量快速上升,石油供需矛盾進一步加劇,能源方面的競爭日趨激烈。作為中國經濟支柱產業的骨干企業,中國石油為了加快與國際經濟接軌,提升參與國際競爭的實力,把信息化建設作為提升整體管理水平和企業核心競爭力的重要手段。中國石油已經完成企業信息化工作的基礎建設工作,更是走在信息化建設的前沿。結合中國石油實際的業務需求,信息系統實行分級、分區域、分類、分階段的安全保護。同時,中國石油根據國家有關規定加強企業信息安全保障工作,實行信息安全等級保護工作,重點保護企業的基礎信息網絡和重要業務信息系統安全,抓緊安全等級保護建設。為此,中國石油高度重視信息安全保護工作。
2007年開始,啟明星辰依據國家等級保護政策幫助中國石油建立中國石油信息安全等級保護規范,進行全面的信息系統摸底調查工作,協助完成對總部統一組織建設和應用的重要信息系統的定級工作,制定中國石油重要信息系統安全等級保護定級實施暫行意見。項目于2008年4月結束并驗收,已順利完成公安部的備案工作,定級結果得到主管機關和各專家的好評。
長城資產等級保護咨詢項目——中國長城資產管理公司作為國有獨資金融企業,在業務高速發展的同時一直非常重視信息安全體系建設,早期已經部署了“老三樣”,而且也對保障業務系統的安全正常運轉起到了重要作用。在國家信息化快速發展的情況下,根據《信息系統安全等級保護定級指南》中對信息系統的要求,啟明星辰于2006年11月開始,對中國長城資產管理公司的兩個業務系統進行等級保護的實施,并根據系統受到破壞之后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,將保護級別定為3級,并形成了等級保護定級報告,通過公安部一所的等級檢查評估。這在資產管理公司里屬于首家。本項目于2006年12月結束。
大連商品交易所等級保護咨詢項目——大連商品交易所成立于1993年,是經國務院批準的四家期貨交易所之一。隨著大商所自身業務的不斷提升,網絡的建設也變得更加重要和復雜。為迎合日益擴大的系統及網絡需求,大連商品交易所安全建設需求越來越迫切。同時在國家等級保護政策的要求下,證監會《證券期貨業信息系統安全等級保護基本要求》明確要求,金融機構,證券公司、基金公司、期貨公司的信息系統安全保護能力必須達到一定的等級。
啟明星辰在完全符合國家等保政策和標準要求的前提下,依據證券行業信息安全的管理、技術、運維的特殊情況,針對大商所的實際情況,于2008年7月,對大商所新大廈的信息系統建設中各個重要環節分別制定安全策略、技術要求及操作細則。同時,依據技術要求進行等級保護差距分析,提供等級保護差距評估報告,并提供等級保護差距整改建議。
中國建設銀行等級保護咨詢項目——2008年9月項目啟動,啟明星辰依據國家等保定級指南,協助建行完成全行的交易、渠道、辦公等重要信息系統的定級工作,并為建行制定適合自身行業特點的信息系統定級指導意見。
