落实等级保护 加固信息安全

　　近年来，随着信息化建设的日益深入，信息安全问题日益凸显，各级单位对信息系统的依赖性日益增长，对其安全性的需求日益提高。

　　近日，一直关注自身信息系统安全的某政府部门，积极响应国家政策，对其电子政务系统进行了等级保护整改和测评。鉴于系统整改和评测的专业性和新生性，加上机构自身人力和技能所限，该部门在充分考量后决定委托北京网御星云信息技术有限公司(以下简称网御星云)进行了等级保护系统性咨询整改，以期快速达到国家等级保护制度要求，做到本单位信息系统的安全可控，保障本单位信息化建设持续健康发展。

　　项目具体过程与内容如下：

　　一、 电子政务信息系统调查与评估

　　网御星云在该部门信息系统中先以全面客观的信息资产调查表为工具，通过管理访谈、业务访谈、资产调查等，以核查和访谈的方式完成信息资产调查工作;然后根据信息系统调查结果和访谈结果，分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素，调查评估工作针对该信息系统网络系统和多个典型电子政务应用系统进行，包括并不限于：

　　1、电子政务系统信息资产调查。包括网络拓扑、网络设备、主机、应用软件等信息资产的调查。

　　2、电子政务系统应用与业务调查。包括系统基本信息、组织管理框架、系统业务流程、系统业务特性、系统处理的信息特性和安全属性等内容。

　　3、系统安全措施及风险调查。包括现有的安全技术措施、现有安全管理措施和主机设备的安全弱点抽样评估等。

　　工具扫描

　　采用扫描工具对主机、网络和数据库等进行评估，发现信息系统安全隐患和弱点，并提供相应的扫描报告。

　　人工评估

　　以不断更新的业界最佳实践为基础，采用人工方式对各种类型的设备进行安全评估，发现漏洞及配置问题，并给出整改建议。

　　网络架构评估

　　对路由表、路由性能、路由协议加密、访问配置等问题进行综合评估，对业务网络整体结构合理性与优化调整给出评估建议。

　　渗透测试

　　在客户授权批准并签订承诺书的条件下进行了渗透测试，并在项目经理和系统管理员全程监控的情况下，对选定的系统进行渗透测试。在渗透测试过程，不采用造成不可弥补损失的黑客入侵手法，目的仅为侵入系统，将入侵的过程和细节产生报告给用户。

　　系统应用安全评估

　　对应用系统进行安全评估，从应用系统的开发、安装部署、网络通讯、认证授权、安全审计、备份容错、运行维护等进行评估，鉴别应用系统所存的风险，并且提供详尽的报告和详尽的建议。

　　等级保护咨询的重点在以上评估的基础上针对定级的等级要求进行详细的差距分析，并出具相应报告。

　　二、 等级保护差距分析

　　1. 差距分析

　　通过差距分析，可以了解客户信息系统的现状，确定当前系统与信息安全等级保护级别规范相应保护等级要求之间的差距，确定不符合安全项。

　　差距分析项目组通过准备好的差距分析表，与某电子政务外网确认现场沟通的对象(部门和人员)，准备相应的检查内容。在整理差距分析表时，差距分析项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适用项，即对本安全防护等级的不适用的指标项进行适当裁剪，裁剪后的指标项作为本次差距分析的输入。

　　差距分析表包括如下四方面内容：

　　安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及备份恢复;

　　安全管理差距分析：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;

　　系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;

　　物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

　　2. 现场差距分析

　　差距分析项目组依据差距分析表中的各项安全要求，对比信息系统现状和安全要求之间的差距，确定符合项、基本符合项和不符合项。

　　现场工作阶段，差距分析项目组可分为管理检查组和技术检查组两个小组，分工如下：

　　管理检查组：负责安全管理和物理安全类文档资料分析、现场访谈、现场测试，并填写差距分析表的相关部分;

　　技术检查组：负责安全技术和运维类文档分析、现场访谈、现场测试，并利用风险评估的结果，填写差距分析表的相关部分。

　　在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该等级的安全要求，需要进行哪些方面的整改。

　　查验文档资料

　　为了获取和分析业务系统现有的安全控制措施，需要查看安全策略文档、安全管理制度、日常操作规程和其它相关文档(例如定级报告)等，查验是否按照管理要求制定了相关的文档，制定中是否定义了安全要求中的内容，是否留有制度执行的记录等。

　　人员访谈

　　整改项目组与有关的管理、技术员工进行逐个访谈沟通，根据相关人员的回答，获得相应信息，并可验证制定的执行情况。

　　通过访谈管理和技术人员，项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息，也可以了解到员工的安全意识和安全技能等自身素质。

　　现场测试

　　通过现场测试，检查客户是否采取了相应要求的安全技术措施，是否配置了相应要求的安全设备，安全设备的配置是否满足要求等等;同时，整改项目组也可对办公环境和机房环境作现场检查，通过观察员工的行为，获取管理制度的执行情况和物理安全状况方面的信息。

　　如果在第二阶段进行了技术风险评估，则此阶段可以充分使用风险评估过程中获取的信息。

　　在差距分析阶段，差距分析项目组如实记录通过文档检查、现场访谈和现场测试获得的信息，填写差距分析表，并与客户相关人员沟通、确认现场记录，确保记录的准确性。

　　3. 生成差距分析报告

　　完成现场差距分析之后，差距分析项目组归纳整理、分析现场记录，找出目前信息系统与等级保护安全要求之间的差距，明确不符合项，生成《某电子政务外网等级保护差距分析报告》。

　　4. 确认差距分析结果

　　差距分析项目组提交差距分析报告，并请相关单位派人共同讨论，按照不同等级业务系统，对照国家对不同等级的要求，沟通确认差距分析的结果，确保差距分析结果的准确性。

　　三、 安全总体设计

　　最后根据等级咨询的结果和相关标准，为客户量身定做安全总体设计。安全总体设计主要包括安全体系设计、安全规划、解决方案设计设计等内容。

　　1、安全体系设计

　　设计电子政务等级化安全体系，体系的内容覆盖安全策略、安全组织、安全运作和安全技术几个方面，确定各等级电子政务系统的安全措施。

　　2、安全规划

　　以电子政务的发展规划为基础，根据安全措施体系的要求，综合平衡安全措施的成本和系统所面临的风险，制定出实施安全措施的安全建设规划，从而指导和规范电子政务的安全工作。

　　3、解决方案设计

　　根据安全体系和安全规划的要求，结合系统调研和系统定级结果进行安全需求分析，设计落实安全措施的系列技术和管理解决方案进行等级保护整改。

　　最终，用户凭借网御星云等级保护咨询顺利通过了国家等级保护主管部门指定测评机构的等级保护测评，并获得测评专家一致好评;同时在网御星云制定的安全规划指导和后续安全建设的帮助下，完成了安全工作的总体规划和分布实施，成功建立和运行了前瞻性、规范性和整体性的信息安全保障体系，保证了后续信息系统建设工作的兼容性和顺利性，达到了长期安全效果明显并节省总体投资的业绩。