网络安全 频道

落实等级保护 启明星辰构建安全“城堡”

  【IT168 方案】等级保护是当前我国信息安全业界的热点,尽管在实施的过程中部分用户还存在着一些疑问,还有一些难点问题有待解决,但不可否认,等级保护工作在我国上上下下各方的努力推动下,正在积极的前进中。“等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。”这是启明星辰经过多年的实践经验积累对信息安全等级保护意义的解读。

  从1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》首次提出计算机信息系统实行安全等级保护以来,多项国家文件和政策均提到了等级保护工作的重要性。1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》,为等级保护这一安全国策给出了技术角度的诠释。

  2003年中共中央办公厅、国务院办公厅联合转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年公安部、国家保密局、国家密码管理局、国务院信息办联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的主要工作方向和工作内容,规定了等级保护实施的具体步骤和时间表。

  2007年6月,四部委联合下发《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护的全面推广落实。43号文明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务等。同时,四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”(公信安[2007]861号),全面部署了全国范围内的重要信息系统定级工作。

  近年来信息安全等级保护工作取得的了一定成效,初步建立了一系列执行标准:《信息系统安全等级保护定级指南》 ,《信息系统安全等级保护基本要求》;《信息系统安全等级保护实施指南》,《信息系统等级保护安全设计技术要求 》;《信息系统安全等级保护测评要求》 ,《信息系统安全等级保护测评指南》等。

  2007年下半年开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经在重要行业初步完成,全面进入整改阶段。

  在国家大力推行信息安全等级保护制度的背景下,启明星辰长期深度参与、密切跟踪国家等级保护相关政策,并作为信息安全企业的代表参与了等级保护相关标准的起草编制工作,在等级保护的定级、整改、评估等多项工作中积累了丰富的经验。在此基础上,启明星辰推出了等级保护整体解决方案,为用户提供等级保护咨询服务,依据国家等级保护相关要求,结合信息系统安全建设非常好的实践,紧跟国家等级保护的具体实施步骤,为客户提供多种类型的咨询服务、安全审计产品、基于等级保护的安全管理平台(SOC)、入侵检测系统(IDS)等满足不同客户不同层次和不同阶段的等级保护需求服务。

  启明星辰等级保护整体解决方案

  信息安全等级保护是国家信息安全保障的基本制度,等级保护的整体实施工作包括等级保护定级与备案、等级保护差距分析、系统安全建设与整改、等级测评等几个阶段。

  定级是等级保护实施的基础性工作,是进行相应等级安全建设的依据。定级工作是基于国家信息系统安全等级保护相关文件的要求,结合客户的组织架构、业务要求、信息系统的实际情况,进行重要信息系统的等级确定,并进一步制定适合自身行业特点的信息系统定级指导意见。

  用户完成定级工作之后,更主要的是依据等级保护整改的相关要求,通过一套规范的等保整改过程,进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,进行等级化安全体系的设计与建设,最终符合国家等级保护建设要求。用户必须在深入理解定级的根本要求、充分调查评估信息资产价值和安全风险的基础上才能完成形成合理的整改建议方案。

  等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户提供优质服务的态度,启明星辰推出了等级保护专业服务和整体解决方案,提供包括定级备案、差距分析、整改方案制订、等保实施、测评咨询、检查咨询等各个环节的服务,协助用户完成等级保护的实施和建设,为用户信息安全保障体系“保驾护航”。

  启明星辰通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的建设,确保用户按照等级保护的过程规划并建设符合自身信息系统特色和安全建设需求的安全保障体系,更好地支撑应用和业务的开展,具体内容见下图:

  图 启明星辰等级保护工作流程图

  启明星辰在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括:

  等级保护定级备案

  对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后启明星辰将协助用户完成保护等级的备案工作。

  等级保护差距分析

  通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。

  等级保护整改建议方案

  启明星辰根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。

  等级保护整改实施

  启明星辰将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。

  等级保护测评咨询

  在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,启明星辰提供的测评咨询服务将协助用户通过等级保护测评工作。

  等级保护检查咨询

  在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,启明星辰将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。

  启明星辰在等级保护方面成功经验案例

  凭借扎实的技术,通过多年的不断实践和探索,启明星辰的等级保护安全解决方案已经成功运用于不同的行业和领域,为企业和各类机构提供了可靠稳定及可持续性的安全保障,下面介绍一些典型的成功案例:

  中国石油重要信息系统等级保护咨询项目——随着近年来世界经济的复苏,全球石油需求量快速上升,石油供需矛盾进一步加剧,能源方面的竞争日趋激烈。作为中国经济支柱产业的骨干企业,中国石油为了加快与国际经济接轨,提升参与国际竞争的实力,把信息化建设作为提升整体管理水平和企业核心竞争力的重要手段。中国石油已经完成企业信息化工作的基础建设工作,更是走在信息化建设的前沿。结合中国石油实际的业务需求,信息系统实行分级、分区域、分类、分阶段的安全保护。同时,中国石油根据国家有关规定加强企业信息安全保障工作,实行信息安全等级保护工作,重点保护企业的基础信息网络和重要业务信息系统安全,抓紧安全等级保护建设。为此,中国石油高度重视信息安全保护工作。

  2007年开始,启明星辰依据国家等级保护政策帮助中国石油建立中国石油信息安全等级保护规范,进行全面的信息系统摸底调查工作,协助完成对总部统一组织建设和应用的重要信息系统的定级工作,制定中国石油重要信息系统安全等级保护定级实施暂行意见。项目于2008年4月结束并验收,已顺利完成公安部的备案工作,定级结果得到主管机关和各专家的好评。

  长城资产等级保护咨询项目——中国长城资产管理公司作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,而且也对保障业务系统的安全正常运转起到了重要作用。在国家信息化快速发展的情况下,根据《信息系统安全等级保护定级指南》中对信息系统的要求,启明星辰于2006年11月开始,对中国长城资产管理公司的两个业务系统进行等级保护的实施,并根据系统受到破坏之后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,将保护级别定为3级,并形成了等级保护定级报告,通过公安部一所的等级检查评估。这在资产管理公司里属于首家。本项目于2006年12月结束。

  大连商品交易所等级保护咨询项目——大连商品交易所成立于1993年,是经国务院批准的四家期货交易所之一。随着大商所自身业务的不断提升,网络的建设也变得更加重要和复杂。为迎合日益扩大的系统及网络需求,大连商品交易所安全建设需求越来越迫切。同时在国家等级保护政策的要求下,证监会《证券期货业信息系统安全等级保护基本要求》明确要求,金融机构,证券公司、基金公司、期货公司的信息系统安全保护能力必须达到一定的等级。

  启明星辰在完全符合国家等保政策和标准要求的前提下,依据证券行业信息安全的管理、技术、运维的特殊情况,针对大商所的实际情况,于2008年7月,对大商所新大厦的信息系统建设中各个重要环节分别制定安全策略、技术要求及操作细则。同时,依据技术要求进行等级保护差距分析,提供等级保护差距评估报告,并提供等级保护差距整改建议。

  中国建设银行等级保护咨询项目——2008年9月项目启动,启明星辰依据国家等保定级指南,协助建行完成全行的交易、渠道、办公等重要信息系统的定级工作,并为建行制定适合自身行业特点的信息系统定级指导意见。

0
相关文章