等保合規(guī)安全解決方案

近日，國務(wù)院國資委發(fā)布了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》（國資委令第40號(hào)，以下簡稱《考核辦法》）。

 對中央企業(yè)負(fù)責(zé)人實(shí)施經(jīng)營業(yè)績考核是國資委依法履行出資人職責(zé)的重要手段。自2003年公布《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核暫行辦法》（國資委令第2號(hào)）以來，先后4次進(jìn)行修訂完善。從15年的業(yè)績考核工作實(shí)踐來看，中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核制度建立和實(shí)施，對推動(dòng)中央企業(yè)提高資產(chǎn)經(jīng)營效率和管理水平、提升可持續(xù)發(fā)展能力、實(shí)現(xiàn)國有資產(chǎn)保值增值發(fā)揮了重要作用。

為深入貫徹習(xí)近平新時(shí)代中國特色社會(huì)主義思想和黨的十九大精神，全面落實(shí)中央高質(zhì)量發(fā)展部署要求，國資委在深入研究、廣泛征求中央企業(yè)和地方國資委意見的基礎(chǔ)上，修訂形成了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》，經(jīng)由國資委黨委會(huì)議和主任辦公會(huì)議審議通過，以國資委40號(hào)令的形式發(fā)布。

不難看出，《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的網(wǎng)絡(luò)安全事件分級(jí)，可以對照《網(wǎng)絡(luò)安全等級(jí)保護(hù)》的安全保護(hù)等級(jí)的防護(hù)等級(jí)。這樣，應(yīng)對網(wǎng)絡(luò)安全事件也就有了實(shí)踐的方法與理論指導(dǎo)，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本理論和法律依據(jù)。

首先，為用戶提供安全建設(shè)規(guī)劃

根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的安全建設(shè)規(guī)劃包括以下內(nèi)容：

01安全域設(shè)計(jì)：

根據(jù)系統(tǒng)定級(jí)情況，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。

02確定安全域安全要求：

參照國家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。

03安全保障體系方案設(shè)計(jì)：

根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；物理安全、網(wǎng)絡(luò)安全、服務(wù)器安全等安全技術(shù)設(shè)計(jì)，安全管理制度規(guī)劃與設(shè)計(jì)。

通過如上內(nèi)容的規(guī)劃，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。

其次，為用戶提供安全等級(jí)現(xiàn)狀分析

01

為確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)安全等級(jí)的基本安全要求，需要實(shí)施安全等級(jí)現(xiàn)狀測評(píng)，以提出合理、有效的安全整改建議，為信息系統(tǒng)制定信息安全規(guī)劃和決策提供依據(jù)。

指導(dǎo)系統(tǒng)運(yùn)維方開展安全評(píng)估工作，簡要了解系統(tǒng)現(xiàn)有安全保障措施與國家信息安全等級(jí)保護(hù)等級(jí)標(biāo)準(zhǔn)要求之間的差距，制定信息安全規(guī)劃方案；同時(shí)檢查系統(tǒng)在技術(shù)層面存在的脆弱性漏洞，為后續(xù)安全加固工作奠定基礎(chǔ)。

差距分析將從技術(shù)上的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全區(qū)域邊界和安全管理中心五個(gè)層面和管理上的安全管理制度、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員和安全運(yùn)維管理等五個(gè)方面分別進(jìn)行。具體內(nèi)容為：

1.1技術(shù)差距檢測：

(1)安全物理環(huán)境：針對信息系統(tǒng)所處的物理環(huán)境即機(jī)房、線路、基礎(chǔ)支撐設(shè)施等進(jìn)行標(biāo)準(zhǔn)符合性識(shí)別。主要包含：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。

(2)安全通信網(wǎng)絡(luò)：對評(píng)估工作范圍內(nèi)的網(wǎng)絡(luò)與安全設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性調(diào)查。主要包含：結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。

(3)安全計(jì)算環(huán)境：評(píng)估信息系統(tǒng)的主機(jī)系統(tǒng)安全保障情況。主要包含：身份鑒別、訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、入侵防護(hù)、惡意代碼防護(hù)、資源控制等方面。

(4)安全區(qū)域邊界：對信息系統(tǒng)進(jìn)行應(yīng)用安全符合性調(diào)查。主要包含：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等方面。

(5)安全管理中心：評(píng)估信息系統(tǒng)的數(shù)據(jù)安全保障情況。主要檢查系統(tǒng)的數(shù)據(jù)在采集、傳輸、處理和存儲(chǔ)過程中的安全。

1.2管理差距檢測：

(1)安全管理制度:評(píng)估安全管理制度的制定、發(fā)布、評(píng)審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對象。

(2)安全管理機(jī)構(gòu):評(píng)估安全管理機(jī)構(gòu)的組成情況和機(jī)構(gòu)工作組織情況。主要涉及安全主管人員、安全管理人員、相關(guān)的文件資料和工作記錄等對象。

(3) 安全管理人員：評(píng)估機(jī)構(gòu)人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關(guān)管理制度、相關(guān)工作記錄等對象。

(4)安全建設(shè)人員：評(píng)估系統(tǒng)建設(shè)管理過程中的安全控制情況。主要涉及安全主管人員、系統(tǒng)建設(shè)負(fù)責(zé)人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

(5)安全運(yùn)維管理：評(píng)估系統(tǒng)運(yùn)維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運(yùn)維人員、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

1.3等級(jí)保護(hù)差距分析：

基于技術(shù)、管理層面的標(biāo)準(zhǔn)合規(guī)性檢測結(jié)果，根據(jù)國家等級(jí)保護(hù)標(biāo)準(zhǔn)，結(jié)合行業(yè)規(guī)范，針對標(biāo)準(zhǔn)的每項(xiàng)具體要求，從微觀角度展開，深入分析信息系統(tǒng)與相應(yīng)等級(jí)要求之間的差距，并從宏觀角度對計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)等方面對單元檢測的結(jié)果進(jìn)行驗(yàn)證、分析和整體評(píng)價(jià)，確認(rèn)信息系統(tǒng)的整體安全防護(hù)能力有無缺失，是否能夠?qū)瓜鄳?yīng)等級(jí)的安全威脅，為安全規(guī)劃設(shè)計(jì)提供依據(jù)。

02 脆弱性分析

脆弱性（弱點(diǎn)）是指可能為許多目的所利用的系統(tǒng)某些方面，包括系統(tǒng)弱點(diǎn)、安全漏洞和實(shí)現(xiàn)的缺陷等。為識(shí)別和分析信息系統(tǒng)所存在的脆弱性，確認(rèn)需要實(shí)施安全加固與調(diào)優(yōu)的事項(xiàng)，將首先進(jìn)行脆弱性檢測工作，從網(wǎng)絡(luò)層、主機(jī)層和應(yīng)用層三個(gè)方面進(jìn)行檢測，本次脆弱性檢測的主要內(nèi)容是漏洞掃描和系統(tǒng)配置檢查。

系統(tǒng)脆弱性檢測涉及三個(gè)層面工作內(nèi)容，包含整體的網(wǎng)絡(luò)架構(gòu)分析，服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備的配置檢查，以及漏洞掃描檢測工作。具體內(nèi)容如下：

2.1網(wǎng)絡(luò)架構(gòu)分析：

進(jìn)行網(wǎng)絡(luò)架構(gòu)分析的目的是查找需要對網(wǎng)絡(luò)結(jié)構(gòu)實(shí)施優(yōu)化的事項(xiàng)，具體內(nèi)容如下：

(1)網(wǎng)絡(luò)現(xiàn)狀識(shí)別：涉及應(yīng)用系統(tǒng)和用戶分布，安全域劃分，區(qū)域邊界之間所采取的訪問控制措施，網(wǎng)絡(luò)帶寬需求及現(xiàn)狀，對數(shù)據(jù)流向的安全控制，設(shè)備鏈路冗余設(shè)計(jì)，對網(wǎng)絡(luò)帶寬的管控措施，遠(yuǎn)程訪問通信鏈路的加密，各區(qū)域內(nèi)所采取的入侵檢測，安全審計(jì)措施，網(wǎng)絡(luò)出口所采取的入侵防范、病毒過濾、垃圾郵件過濾措施、終端用戶接入認(rèn)證等內(nèi)容。

(2)網(wǎng)絡(luò)安全分析：從網(wǎng)絡(luò)的整體架構(gòu)進(jìn)行考慮，緊密結(jié)合業(yè)務(wù)應(yīng)用現(xiàn)狀，識(shí)別重要信息系統(tǒng)部署和用戶所在網(wǎng)絡(luò)區(qū)域的分布情況，分析網(wǎng)絡(luò)設(shè)計(jì)布局的合理性，是否存在單點(diǎn)隱患，確認(rèn)鏈路帶寬是否滿足業(yè)務(wù)要求，檢查產(chǎn)品設(shè)備老化問題，確認(rèn)設(shè)備性能是否滿足要求，分析網(wǎng)絡(luò)區(qū)域邊界是否定義清晰，安全域劃分是否合理，服務(wù)器、終端接入是否安全，各類安全設(shè)備的部署是否到位等。

2.2設(shè)備配置檢查：

檢查系統(tǒng)相關(guān)服務(wù)器、交換機(jī)與安全設(shè)備的配置策略，具體內(nèi)容如下：

(1)服務(wù)器手工檢查：檢查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫和中間件的開放服務(wù)及端口、賬戶設(shè)置、文件權(quán)限設(shè)置、審計(jì)、共享資源、補(bǔ)丁更新和病毒防護(hù)等情況；

(2)網(wǎng)絡(luò)設(shè)備手工檢查：檢測交換機(jī)或路由器的Vlan劃分、路由表配置、訪問控制列表ACL、IP和MAC地址綁定情況、設(shè)備登錄認(rèn)證方式、口令設(shè)置等配置項(xiàng)；

(3)安全設(shè)備手工檢查：獲取防火墻的訪問控制策略、以透明還是路由方式部署、NAT地址轉(zhuǎn)換、網(wǎng)絡(luò)連接數(shù)限制等信息，檢查入侵檢測、安全審計(jì)設(shè)備的審計(jì)策略配置、特征庫版本情況等。

2.3漏洞掃描檢測：

借助專業(yè)化漏洞檢測工具，對檢測范圍內(nèi)的交換機(jī)、路由器和服務(wù)器實(shí)施掃描，發(fā)現(xiàn)配置上存在的弱點(diǎn)，作為對手工檢查工作所獲取數(shù)據(jù)的補(bǔ)充，同時(shí)也是制定安全加固方案的重要依據(jù)。

03 滲透測試服務(wù)

通過模擬黑客對信息系統(tǒng)進(jìn)行滲透測試，發(fā)現(xiàn)分析并驗(yàn)證其存在的主機(jī)安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站腳本漏洞及弱口令等安全隱患，評(píng)估系統(tǒng)抗攻擊能力，提出安全加固建議。

針對信息系統(tǒng)的滲透測試將采取兩種類型：

第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊，比其他類型的滲透測試更能說明漏洞的嚴(yán)重性；

第二類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊，主要針對信息系統(tǒng)的后臺(tái)管理系統(tǒng)進(jìn)行測試。

04 源代碼評(píng)估

源代碼安全測試對所提供的源代碼采用工具進(jìn)行安全掃描，分析和軟件安全風(fēng)險(xiǎn)管理，并給出安全問題審計(jì)結(jié)果，安全問題描述和推薦修復(fù)建議。

依據(jù)CVE（Common Vulnerabilities & Exposures）安全漏洞庫、設(shè)備及軟件廠商公布的漏洞，根據(jù)測試用例對信息系統(tǒng)的源代碼進(jìn)行安全掃描，對安全漏洞進(jìn)行識(shí)別，給出整改建議

第三，信息系統(tǒng)安全整改服務(wù)

1安全加固與優(yōu)化

根據(jù)前期對信息系統(tǒng)進(jìn)行的調(diào)研、評(píng)估與測評(píng)結(jié)果，以脆弱性評(píng)估報(bào)告和滲透測試報(bào)告為依據(jù)，根據(jù)網(wǎng)絡(luò)安全特殊需求和業(yè)務(wù)流程制定安全加固方案，在不影響當(dāng)前業(yè)務(wù)開展的前提下，對信息系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫、安全設(shè)備以及中間件的安全配置策略進(jìn)行加強(qiáng)，及時(shí)消除因安全漏洞被惡意攻擊者利用從而引發(fā)的風(fēng)險(xiǎn)。

根據(jù)信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，本次項(xiàng)目安全加固對象分為四類，即信息系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫、中間件以及網(wǎng)絡(luò)與安全設(shè)備。

2等級(jí)保護(hù)制度建設(shè)

制定和完善與信息系統(tǒng)的安全保護(hù)等級(jí)相適應(yīng)的配套管理制度，制度相關(guān)內(nèi)容如下：

(1)安全管理機(jī)構(gòu)：加強(qiáng)和完善安全機(jī)構(gòu)的建設(shè)，設(shè)立指導(dǎo)和管理信息安全工作的信息安全領(lǐng)導(dǎo)小組，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，明確定義各個(gè)工作崗位的職責(zé)。建立各種安全管理活動(dòng)的審批程序，明確對內(nèi)對外的溝通協(xié)作方式，建立對各項(xiàng)安全管理活動(dòng)的監(jiān)督審核機(jī)制。

(2)安全管理制度：在差距分析的基礎(chǔ)上，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，由專門的組織機(jī)構(gòu)負(fù)責(zé)管理制度的制訂、發(fā)布和貫徹落實(shí)。定期對制度進(jìn)行評(píng)審和修訂，確保管理制度的適用性。

(3) 安全建設(shè)人員：主要涉及兩方面，對內(nèi)部人員的安全管理和對外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問管理等方面。

(4)系統(tǒng)建設(shè)管理：為了建設(shè)符合安全等級(jí)保護(hù)要求的信息系統(tǒng)、系統(tǒng)建設(shè)管理主要關(guān)注的是信息系統(tǒng)生命周期中的前三個(gè)階段（即設(shè)計(jì)、采購、實(shí)施）中各項(xiàng)安全管理活動(dòng)，實(shí)現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測評(píng)和安全服務(wù)商選擇等方面。

(5) 安全運(yùn)維管理：系統(tǒng)運(yùn)行涉及到很多管理方面，要保證系統(tǒng)始終處于相應(yīng)安全保護(hù)等級(jí)的安全狀態(tài)中。要監(jiān)控系統(tǒng)發(fā)生的重大變化，以便修改對應(yīng)的安全措施。系統(tǒng)運(yùn)維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面。