等保合規(guī)安全解決方案

近日，國務院國資委發(fā)布了《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》（國資委令第40號，以下簡稱《考核辦法》）。

 對中央企業(yè)負責人實施經(jīng)營業(yè)績考核是國資委依法履行出資人職責的重要手段。自2003年公布《中央企業(yè)負責人經(jīng)營業(yè)績考核暫行辦法》（國資委令第2號）以來，先后4次進行修訂完善。從15年的業(yè)績考核工作實踐來看，中央企業(yè)負責人經(jīng)營業(yè)績考核制度建立和實施，對推動中央企業(yè)提高資產(chǎn)經(jīng)營效率和管理水平、提升可持續(xù)發(fā)展能力、實現(xiàn)國有資產(chǎn)保值增值發(fā)揮了重要作用。

為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，全面落實中央高質量發(fā)展部署要求，國資委在深入研究、廣泛征求中央企業(yè)和地方國資委意見的基礎上，修訂形成了《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》，經(jīng)由國資委黨委會議和主任辦公會議審議通過，以國資委40號令的形式發(fā)布。

不難看出，《國家網(wǎng)絡安全事件應急預案》的網(wǎng)絡安全事件分級，可以對照《網(wǎng)絡安全等級保護》的安全保護等級的防護等級。這樣，應對網(wǎng)絡安全事件也就有了實踐的方法與理論指導，按照網(wǎng)絡安全等級保護的基本理論和法律依據(jù)。

首先，為用戶提供安全建設規(guī)劃

根據(jù)等級化安全保障體系的設計思路，等級保護的安全建設規(guī)劃包括以下內容：

01安全域設計：

根據(jù)系統(tǒng)定級情況，通過分析系統(tǒng)業(yè)務流程、功能模塊，根據(jù)安全域劃分原則設計系統(tǒng)安全域架構。通過安全域設計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。

02確定安全域安全要求：

參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。

03安全保障體系方案設計：

根據(jù)安全域框架，設計系統(tǒng)各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；物理安全、網(wǎng)絡安全、服務器安全等安全技術設計，安全管理制度規(guī)劃與設計。

通過如上內容的規(guī)劃，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全術建設和安全管理建設，保障系統(tǒng)整體的安全。

其次，為用戶提供安全等級現(xiàn)狀分析

01

為確保信息系統(tǒng)的安全保護措施符合相應安全等級的基本安全要求，需要實施安全等級現(xiàn)狀測評，以提出合理、有效的安全整改建議，為信息系統(tǒng)制定信息安全規(guī)劃和決策提供依據(jù)。

指導系統(tǒng)運維方開展安全評估工作，簡要了解系統(tǒng)現(xiàn)有安全保障措施與國家信息安全等級保護等級標準要求之間的差距，制定信息安全規(guī)劃方案；同時檢查系統(tǒng)在技術層面存在的脆弱性漏洞，為后續(xù)安全加固工作奠定基礎。

差距分析將從技術上的安全物理環(huán)境、安全通信網(wǎng)絡、安全計算環(huán)境、安全區(qū)域邊界和安全管理中心五個層面和管理上的安全管理制度、安全管理制度、安全管理機構、安全管理人員和安全運維管理等五個方面分別進行。具體內容為：

1.1技術差距檢測：

(1)安全物理環(huán)境：針對信息系統(tǒng)所處的物理環(huán)境即機房、線路、基礎支撐設施等進行標準符合性識別。主要包含：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面。

(2)安全通信網(wǎng)絡：對評估工作范圍內的網(wǎng)絡與安全設備、網(wǎng)絡架構進行網(wǎng)絡安全符合性調查。主要包含：結構安全與網(wǎng)段劃分、網(wǎng)絡訪問控制、網(wǎng)絡安全審計、邊界完整性檢查、網(wǎng)絡入侵防范、惡意代碼防范、網(wǎng)絡設備防護等方面。

(3)安全計算環(huán)境：評估信息系統(tǒng)的主機系統(tǒng)安全保障情況。主要包含：身份鑒別、訪問控制、安全審計、系統(tǒng)保護、入侵防護、惡意代碼防護、資源控制等方面。

(4)安全區(qū)域邊界：對信息系統(tǒng)進行應用安全符合性調查。主要包含：身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面。

(5)安全管理中心：評估信息系統(tǒng)的數(shù)據(jù)安全保障情況。主要檢查系統(tǒng)的數(shù)據(jù)在采集、傳輸、處理和存儲過程中的安全。

1.2管理差距檢測：

(1)安全管理制度:評估安全管理制度的制定、發(fā)布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對象。

(2)安全管理機構:評估安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。

(3) 安全管理人員：評估機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。

(4)安全建設人員：評估系統(tǒng)建設管理過程中的安全控制情況。主要涉及安全主管人員、系統(tǒng)建設負責人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

(5)安全運維管理：評估系統(tǒng)運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

1.3等級保護差距分析：

基于技術、管理層面的標準合規(guī)性檢測結果，根據(jù)國家等級保護標準，結合行業(yè)規(guī)范，針對標準的每項具體要求，從微觀角度展開，深入分析信息系統(tǒng)與相應等級要求之間的差距，并從宏觀角度對計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡等方面對單元檢測的結果進行驗證、分析和整體評價，確認信息系統(tǒng)的整體安全防護能力有無缺失，是否能夠對抗相應等級的安全威脅，為安全規(guī)劃設計提供依據(jù)。

02 脆弱性分析

脆弱性（弱點）是指可能為許多目的所利用的系統(tǒng)某些方面，包括系統(tǒng)弱點、安全漏洞和實現(xiàn)的缺陷等。為識別和分析信息系統(tǒng)所存在的脆弱性，確認需要實施安全加固與調優(yōu)的事項，將首先進行脆弱性檢測工作，從網(wǎng)絡層、主機層和應用層三個方面進行檢測，本次脆弱性檢測的主要內容是漏洞掃描和系統(tǒng)配置檢查。

系統(tǒng)脆弱性檢測涉及三個層面工作內容，包含整體的網(wǎng)絡架構分析，服務器、網(wǎng)絡與安全設備的配置檢查，以及漏洞掃描檢測工作。具體內容如下：

2.1網(wǎng)絡架構分析：

進行網(wǎng)絡架構分析的目的是查找需要對網(wǎng)絡結構實施優(yōu)化的事項，具體內容如下：

(1)網(wǎng)絡現(xiàn)狀識別：涉及應用系統(tǒng)和用戶分布，安全域劃分，區(qū)域邊界之間所采取的訪問控制措施，網(wǎng)絡帶寬需求及現(xiàn)狀，對數(shù)據(jù)流向的安全控制，設備鏈路冗余設計，對網(wǎng)絡帶寬的管控措施，遠程訪問通信鏈路的加密，各區(qū)域內所采取的入侵檢測，安全審計措施，網(wǎng)絡出口所采取的入侵防范、病毒過濾、垃圾郵件過濾措施、終端用戶接入認證等內容。

(2)網(wǎng)絡安全分析：從網(wǎng)絡的整體架構進行考慮，緊密結合業(yè)務應用現(xiàn)狀，識別重要信息系統(tǒng)部署和用戶所在網(wǎng)絡區(qū)域的分布情況，分析網(wǎng)絡設計布局的合理性，是否存在單點隱患，確認鏈路帶寬是否滿足業(yè)務要求，檢查產(chǎn)品設備老化問題，確認設備性能是否滿足要求，分析網(wǎng)絡區(qū)域邊界是否定義清晰，安全域劃分是否合理，服務器、終端接入是否安全，各類安全設備的部署是否到位等。

2.2設備配置檢查：

檢查系統(tǒng)相關服務器、交換機與安全設備的配置策略，具體內容如下：

(1)服務器手工檢查：檢查服務器操作系統(tǒng)、數(shù)據(jù)庫和中間件的開放服務及端口、賬戶設置、文件權限設置、審計、共享資源、補丁更新和病毒防護等情況；

(2)網(wǎng)絡設備手工檢查：檢測交換機或路由器的Vlan劃分、路由表配置、訪問控制列表ACL、IP和MAC地址綁定情況、設備登錄認證方式、口令設置等配置項；

(3)安全設備手工檢查：獲取防火墻的訪問控制策略、以透明還是路由方式部署、NAT地址轉換、網(wǎng)絡連接數(shù)限制等信息，檢查入侵檢測、安全審計設備的審計策略配置、特征庫版本情況等。

2.3漏洞掃描檢測：

借助專業(yè)化漏洞檢測工具，對檢測范圍內的交換機、路由器和服務器實施掃描，發(fā)現(xiàn)配置上存在的弱點，作為對手工檢查工作所獲取數(shù)據(jù)的補充，同時也是制定安全加固方案的重要依據(jù)。

03 滲透測試服務

通過模擬黑客對信息系統(tǒng)進行滲透測試，發(fā)現(xiàn)分析并驗證其存在的主機安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站腳本漏洞及弱口令等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固建議。

針對信息系統(tǒng)的滲透測試將采取兩種類型：

第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠程攻擊，比其他類型的滲透測試更能說明漏洞的嚴重性；

第二類型：內網(wǎng)滲透測試，通過接入內部網(wǎng)絡發(fā)起內部攻擊，主要針對信息系統(tǒng)的后臺管理系統(tǒng)進行測試。

04 源代碼評估

源代碼安全測試對所提供的源代碼采用工具進行安全掃描，分析和軟件安全風險管理，并給出安全問題審計結果，安全問題描述和推薦修復建議。

依據(jù)CVE（Common Vulnerabilities & Exposures）安全漏洞庫、設備及軟件廠商公布的漏洞，根據(jù)測試用例對信息系統(tǒng)的源代碼進行安全掃描，對安全漏洞進行識別，給出整改建議

第三，信息系統(tǒng)安全整改服務

1安全加固與優(yōu)化

根據(jù)前期對信息系統(tǒng)進行的調研、評估與測評結果，以脆弱性評估報告和滲透測試報告為依據(jù)，根據(jù)網(wǎng)絡安全特殊需求和業(yè)務流程制定安全加固方案，在不影響當前業(yè)務開展的前提下，對信息系統(tǒng)內的操作系統(tǒng)、數(shù)據(jù)庫、安全設備以及中間件的安全配置策略進行加強，及時消除因安全漏洞被惡意攻擊者利用從而引發(fā)的風險。

根據(jù)信息系統(tǒng)網(wǎng)絡現(xiàn)狀，本次項目安全加固對象分為四類，即信息系統(tǒng)內的操作系統(tǒng)、數(shù)據(jù)庫、中間件以及網(wǎng)絡與安全設備。

2等級保護制度建設

制定和完善與信息系統(tǒng)的安全保護等級相適應的配套管理制度，制度相關內容如下：

(1)安全管理機構：加強和完善安全機構的建設，設立指導和管理信息安全工作的信息安全領導小組，設立安全主管、安全管理各個方面的負責人，明確定義各個工作崗位的職責。建立各種安全管理活動的審批程序，明確對內對外的溝通協(xié)作方式，建立對各項安全管理活動的監(jiān)督審核機制。

(2)安全管理制度：在差距分析的基礎上，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，由專門的組織機構負責管理制度的制訂、發(fā)布和貫徹落實。定期對制度進行評審和修訂，確保管理制度的適用性。

(3) 安全建設人員：主要涉及兩方面，對內部人員的安全管理和對外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識教育和培訓和外部人員訪問管理等方面。

(4)系統(tǒng)建設管理：為了建設符合安全等級保護要求的信息系統(tǒng)、系統(tǒng)建設管理主要關注的是信息系統(tǒng)生命周期中的前三個階段（即設計、采購、實施）中各項安全管理活動，實現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期。系統(tǒng)建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮，具體包括系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務商選擇等方面。

(5) 安全運維管理：系統(tǒng)運行涉及到很多管理方面，要保證系統(tǒng)始終處于相應安全保護等級的安全狀態(tài)中。要監(jiān)控系統(tǒng)發(fā)生的重大變化，以便修改對應的安全措施。系統(tǒng)運維管理主要包括環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等方面。