深信服等级保护咨询服务技术白皮书1深信服等级保护咨询服务技术白皮书深信服科技有限公司2015年3月深信服等级保护咨询服务技术白皮书2目录1.等级保护概述.............................................................................................................................32.深信服等级保护咨询服务流程.................................................................................................42.1.定级备案.........................................................................................................................42.2.差距评估.........................................................................................................................42.2.1.整理差距分析表.................................................................................................42.2.2.现场差距分析.....................................................................................................52.2.3.与客户沟通、确认现场记录.............................................................................62.2.4.生成差距分析报告.............................................................................................62.3.方案设计.........................................................................................................................62.4.整改建设.........................................................................................................................62.5.测评验收.........................................................................................................................62.6.定期评估.........................................................................................................................73.深信服等级保护咨询服务优势.................................................................................................73.1.参与相关安全标准编写,在等级保护领域具有权威性.............................................73.2.与主管部门联系紧密,充分理解相关政策要求.........................................................73.3.多年技术积累,更精准的应用层技术能力.................................................................73.4.卓越的新技术跟踪能力,有力面对最新安全形势.....................................................83.5.深厚的虚拟化技术实力,应对云计算环境的转变.....................................................83.6.承担多个国家重点公关项目,具有良好的行业标杆.................................................84.深信服等级保护咨询服务资质.................................................................................................85.深信服等级保护咨询服务团队介绍和案例...........................................................................10深信服等级保护咨询服务技术白皮书31.等级保护概述等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)等文件的精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,自2007年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。深信服长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,协助客户进行了等级保护试点、重要信息系统定级、等级保护整改等多项工作,在等级保护工作实践中积累了丰富的经验。深信服进行等级保护咨询服务时,主要参考标准如下:《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息系统安全等级保护定级指南》(GB/T22240-2008)《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统安全等级保护实施指南》(GB/T25058-2010)《信息系统安全等级保护测评要求》(V2.0(送审稿))《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)深信服等级保护咨询服务技术白皮书4《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术应用系统安全等级保护通用技术指南》(GA/T711-2007)《信息安全技术服务器技术要求》(GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)2.深信服等级保护咨询服务流程2.1.定级备案深信服咨询顾问协助用户单位,依据《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。2.2.差距评估通过等级差距分析,可以明确客户信息系统的现状,确定不符合安全项,明确安全建设需求。2.2.1.整理差距分析表深信服咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。在整理差距分析表时,深信服咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:深信服等级保护咨询服务技术白皮书5安全技术差距分析安全管理差距分析2.2.2.现场差距分析现场差距分析阶段,深信服咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。现场工作阶段,深信服咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填写差距分析表的相关部分;技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的相关部分。在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。查看制度和记录为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)和其它相关文档(例如定级报告)等。人员访谈深信服咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。根据客户的回答,获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,不同于调查表,项目组成员可以广泛提问,从多个角度获得多方面的信息。现场检查深信服咨询顾问也可对客户办公环境和机房内设备作现场检查,或观察人员的行为或环境状况,观察制度的执行情况及技术要求落实情况。根据现场勘查的结果,获得相应咨询信息。深信服等级保护咨询服务技术白皮书62.2.3.与客户沟通、确认现场记录在差距分析阶段,深信服咨询顾问如实记录通过文档检查、现场访谈和现场检查获得的信息系统现状,并与客户相关人员沟通、确认现场记录,确保记录的准确性。2.2.4.生成差距分析报告深信服咨询顾问归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,生成等级保护差距分析报告。2.3.方案设计深信服辰咨询顾问参考国家标准《信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》,依据差距分析的结论,在与客户充分沟通后,结合客户实际情况,给出专家级的安全整改和建议方案。在整改建议方案中,深信服咨询顾问会对第一级至第五级信息系统安全保护环境的各个方