一、信息系统安全等级保护建设的必要性
信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
二、确定综合经营管理系统的保护级别
根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
三、建设目标
在今年的《信息系统安全等级保护基本要求(报批稿)》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。
等级保护保护整改与安全建设工作重要性
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程
启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一) 等级保护差距分析
1. 等级保护风险评估
1) 评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:
● 了解信息系统的管理、网络和系统安全现状;
● 确定可能对资产造成危害的威胁;
● 确定威胁实施的可能性;
● 对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
● 对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
● 明确信息系统的已有安全措施的有效性;
● 明晰信息系统的安全管理需求。
2) 评估内容
● 资产识别与赋值
● 主机安全性评估
● 数据库安全性评估
● 安全设备评估
现场风险评估用到的主要评估方法包括:
● 漏洞扫描
● 控制台审计
● 技术访谈
3) 评估分析
根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2. 等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。
1) 准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:
● 安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
● 安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
● 系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
● 物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2) 现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间 的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
● 查验文档资料
● 人员访谈
● 现场测试
3) 生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二) 等级保护整改建议方案
1. 整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2. 总体框架
根据等保安全要求,启明星辰提出如下的安全整改建议,其中PMOT体系是信息安全保障总体框架模型。
图 信息安全PMOT体系模型
启明星辰根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全
及安全运维体系,具体内容包括:
● 建立和完善安全策略:最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
● 安全技术体系:安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
● 建立和完善安全
:建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。
● 安全运维体系:机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全
Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4 等级保护整改与安全建设总体框架
3. 方案说明
● 信息安全策略
信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT信息安全体系的顶层,也是安全
的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。
● 安全技术体系
启明星辰根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要内容包括:网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。
● 安全
为满足等保基本要求,应建立和完善安全
,包括:完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。
● 安全运维体系
为满足等保基本要求,应建立和完善安全运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
(三) 等级保护整改实施
为了更好地协助客户落实等保的整改工作,启明星辰可以作为集成商、咨询方、或者监理方,协助客户落实整改实施方案,或协助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和安全建设工作。
1. 制定整改实施方案
在确定整改实施的承建单位后,启明星辰会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖安全建设阶段的各项实施细节,主要有:
● 项目产品配置清单
● 实施设计方案
● 实施准备工作描述,实施工作步骤
● 实施风险规避方案
● 实施验证方案
● 现场培训方案
工程实施文档应经客户方的项目负责人确认后,方可进行实施。
2. 整改建设实施
启明星辰承担项目实施的工作,确保落实客户信息系统的安全保护技术措施,建立健全信息安全管理制度,全面贯彻落实信息安全等级保护制度。
3. 整改实施项目验收
整改实施工作完成后,启明星辰提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
4. 等级保护运维
在整改建设与实施工作完成之后,启明星辰将协助用户完成安全运维策略的制定,协助用户培养专业人才,进行运行管理和控制、安全状态监控、安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检查的工作。