安全咨询服务包括信息系统等级保护咨询、云安全咨 询、信息系统安全规划建设咨询、iso27001 信息安全管理体系咨询、数据安全咨询以及安全开发生命周期 咨询。随着信息安全等级保护工作进入 2.0 时代,安 恒信息通过专业和体系的安全咨询服务结合公司全产 品线的优势,帮助客户开展符合等级保护 2.0 要求的 信息系统安全保障体系的规划与建设。
安恒信息等级保护咨询服务的范围是指客户的等级保护定级对象,包括但不限于客户的信息系统、基础网络架构、云计算平台、大数据平台、物联网、工业控制系统等已定级对象和拟定级对象。安恒信息通过技术、产品、服务的等保咨询服务结合,对定级对象的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求进行等级保护咨询服务。
安恒信息等级保护咨询服务,根据等级保护工作的五个阶段,从定级、备案、建设整改、等级测评、监督检查等各阶段提供全生命周期的安全咨询服务,提供交钥匙工程,使客户轻松拿到备案证明和通过等保测评。
安恒信息等级保护工作流程如下:
安恒信息从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求几个方面对客户定级对象进行全面细致的调研,梳理信息系统基本情况,为等保咨询服务提供基础信息。
现状调研服务采用访谈、调研表及文档核查相结合的方式,在调研表、文档核查的基础上进行有针对性的访谈了解,全面深入地掌握信息系统的基本现状情况。
乙方项目人员将预先编制好的调研表下发给甲方相关项目负责人及各个管理员(网络、系统、应用、安全管理员),调研表的内容包括:项目参与及配合人员名单、信息系统网络拓扑情况、网络边界情况、网络设备情况、安全设备情况、终端设备情况、服务器设备情况、应用系统软件情况、信息系统承载业务情况、业务应用流程图、业务数据及备份情况、管理制度清单。各管理员填写完成以后统一发送到甲方项目负责人,并由甲方项目负责人反馈给乙方。
对于已有的机房物理环境文档、安全管理制度文档、日常信息安全审批文档,由甲方项目负责人提供给乙方项目人员相关的电子版或者复印件,方便后续的访谈调研。
根据提供的文档记录及各个管理员反馈的调研表,乙方项目人员有针对性地进行访谈了解,访谈的主要内容包括机房物理环境的调研、网络拓扑结构的调研、网络安全区域的调研、网络设备资产的确认、安全设备资产的确认、服务器设备资产的确认、终端设备资产的确认、应用系统详细业务流程的调研、业务数据备份的调研、安全管理制度的调研。
系统现状调研主要采用资料获取、现场交流填写调研表格、人员访谈几种方式进行,调研小组利用系统相关信息获取、现场填写调研表格、人员访谈方式现场进行调研记录。在系统调研实施中,不同的对象调研使用的调研方式也不相同,下面是各种对象调研方式说明:
序号 |
调研对象 |
调研方式 |
|
物理环境调研中心机房调研。 |
现场交流填写调研表格、 |
|
网络系统调研:网络设备、安全设备、网络架构调研。 |
现场交流填写调研表格 |
|
主机系统调研:主机服务器设备调研。 |
现场交流填写调研表格 |
|
应用系统调研:应用软件的调研。 |
现场交流填写调研表格 |
|
安全管理调研:现有的信息安全管理体系调研。 |
资料获取、人员访谈。 |
安恒信息协助客户对信息系统进行准确的定级,保证系统所定级别符合信息系统的业务安全要求,并编写信息系统的定级报告。协助客户开展信息系统的备案工作,向公安机关提交信息系统备案相关的备案表及附件材料,保证客户顺利完成信息系统备案工作。
信息系统定级工作将分为现状调研、安全级别评定、报告编制及评审、定级备案表编制、定级备案等步骤进行,具体内容如下:
1.定级对象现状调研
依据《信息系统安全保护等级定级指南》对客户
系统等信息系统和网络现状进行调研与分析。
2.业务信息安全级别评定
依据《信息系统安全保护等级定级指南》分别判定业务系统的业务信息安全级别和系统服务安全级别,并根据业务信息安全级别和系统服务安全级别综合判定信息系统安全级别。
3.信息系统定级报告编制及评审
依据信息系统所属级别,编制等级保护定级备案表和信息系统定级报告。并邀请信息安全等级保护相关专家或内部人员,开展信息系统定级情况评审工作,保障信息系统定级的准确性。
4.信息系统安全等级保护备案表编制
参照业务信息安全级别和系统服务安全级别,判定信息系统所属级别,编制等级保护定级备案表。
5.信息系统备案
根据等级保护定级备案表和信息系统定级报告,最终完成定级备案过程。
1、确定定级对象
信息系统可能比较庞大,为了进行等级化、差异化的重点保护,应将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:
只有以上三个条件同时满足时,才可以作为定级对象进行定级。
2、确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。其中,影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。安恒信息在定级过程中将根据业务特点,综合分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而协助客户确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
3、确定对客体的侵害程度
对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
安恒信息将对客户信息系统进行总体的评估,从而确认客户信息系统在保密性、完整性和可用性三个方面受到破坏后,对业务造成的损失程度来确定侵害的客观方面,参考公安部定级指南,信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
- 影响行使工作职能;
- 导致业务能力下降;
- 引起法律纠纷;
- 导致财产损失;
- 造成社会不良影响;
- 对其他组织和个人造成损失;
- 其他影响。
侵害程度是客观方面的不同外在表现的综合体现,因此,安恒信息将根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、客户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,因此,安恒信息将协助客户分析本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义,然后根据具体的定级对象,判定其定级对象遭到破坏后对客户造成的侵害程度。
4、确定安全保护等级
安恒信息参考公安部定义的等级保护定级指南,结合前面明确的定级对象、定级对象被破坏后所侵害的客体,以及对客体的侵害程度,分别确定业务信息安全保护等级和信息安全服务保护等级,从而最终确定定级对象的安全保护等级。
业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
一般损害 |
严重损害 |
特别严重损害 |
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第三级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
一般损害 |
严重损害 |
特别严重损害 |
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第三级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
5、定级报告编制
现场调研后,安恒信息项目经理或安全专家会准备《信息系统安全等级保护定级报告模板》,给出定级报告示例。并协助信息管理部门和业务部门依据定级报告模板,起草各信息系统安全等级保护定级报告,在定级报告编制过程中,安恒信息项目经理或安全专家将根据已经掌握的信息系统情况,对各信息系统定级报告的合理性进行初步研究和审核把关,对照国家对不同等级的要求,在报告内容、行文格式、定级准确性等方面给出修改意见。
安恒信息技术人员根据等级保护基本要求条款,参考等级保护2.0内容,进行合规性差距分析,通过访谈、上机核查的方式,对等级保护要求的技术和管理等方面进行差距分析。
差距分析服务工作实施过程划分为两个阶段:
1.对标差距分析阶段:
制定和修改《信息系统调查表》等文件,并下发调查表。
分析和整理系统资料,依据系统资料和《信息安全技术 信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全等级保护测评要求》,制定对标差距分析方案。
依据方案,检查各服务器、网络设备、安全设备的配置情况,以及主要安全功能的实现和使用状况。准确记录各种核查和测试结果,并获得用户的确认。
根据核查和测试结果,进行综合分析,判断安全管理和安全技术的各个方面与测评指标的符合程度,判断分析安全风险,给出安全风险的度量,判断分析各种可能的攻击行为和后果,分析给出各种安全建议和各种安全控制措施。
根据综合分析结果和汇总统计结果,编制差距分析报告。
2.整改建议编制阶段:
根据对标差距分析结果,对对标差分发现的安全问题进行分析,给出相应的整改建议,编制安全整改及加固建议。
渗透测试是通过真实模拟黑客使用的工具、分析方法来对网站进行模拟攻击,并结合智能工具扫描结果,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析。
渗透测试是有效发现信息系统安全风险、提升安全评估和差距分析效果的重要手段,等级保护第三级系统必须开展渗透测试,安恒渗透测试服务方式参见渗透测试白皮书。
1.整改方案设计服务
信息系统安全整改建设方案设计主要是依据风险评估及差距分析报告,对客户信息系统面临的安全风险进行总结分析,对信息系统不符合信息系统等级保护建设基本要求的部分提供可行性整改建议或方案,从整体上把控,使得客户信息系统在进行安全建设整改后可一次性通过等级保护的测评。
2.管理体系设计服务
信息安全管理体系是信息安全工作十分重要的组成部分,是信息安全建设中重要的一环。信息安全管理体系建设,依据等级保护基本要求、iso27001及客户相关制度和标准,为客户建立起由安全策略、管理制度、操作规程等构成的全面的体系化安全管理模式。通过信息安全管理体系的建设,完善信息安全策略和制度体系安全框架,形成内容覆盖全面、层次分明、结合实际并且可以落地执行的信息安全管理体系。
3.等保集成服务
安恒信息通过整改建设方案,对安全产品进行采购部署,协助客户完成等保集成服务。
安恒信息在协助客户完成等级保护差距分析、整改建设,并确保无误后,安恒信息协助客户配合第三方等级保护测评机构完成等级保护测评工作,拿到基本符合的等级保护测评报告。
系统安全等级测评主要从技术和管理两个方面检查安全措施的落实情况,获取该测评机构出具的正式等级保护测评报告,测评结果为“基本符合”及以上。
等级保护测评流程如下: