等保合規安全解決方案

近日，國務院國資委發布了《中央企業負責人經營業績考核辦法》（國資委令第40號，以下簡稱《考核辦法》）。

 對中央企業負責人實施經營業績考核是國資委依法履行出資人職責的重要手段。自2003年公布《中央企業負責人經營業績考核暫行辦法》（國資委令第2號）以來，先后4次進行修訂完善。從15年的業績考核工作實踐來看，中央企業負責人經營業績考核制度建立和實施，對推動中央企業提高資產經營效率和管理水平、提升可持續發展能力、實現國有資產保值增值發揮了重要作用。

為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，全面落實中央高質量發展部署要求，國資委在深入研究、廣泛征求中央企業和地方國資委意見的基礎上，修訂形成了《中央企業負責人經營業績考核辦法》，經由國資委黨委會議和主任辦公會議審議通過，以國資委40號令的形式發布。

不難看出，《國家網絡安全事件應急預案》的網絡安全事件分級，可以對照《網絡安全等級保護》的安全保護等級的防護等級。這樣，應對網絡安全事件也就有了實踐的方法與理論指導，按照網絡安全等級保護的基本理論和法律依據。

首先，為用戶提供安全建設規劃

根據等級化安全保障體系的設計思路，等級保護的安全建設規劃包括以下內容：

01安全域設計：

根據系統定級情況，通過分析系統業務流程、功能模塊，根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。

02確定安全域安全要求：

參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級，明確各安全域所需采用的安全指標。

03安全保障體系方案設計：

根據安全域框架，設計系統各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統整體的安全保障體系框架；物理安全、網絡安全、服務器安全等安全技術設計，安全管理制度規劃與設計。

通過如上內容的規劃，系統可以形成整體的等級化的安全保障體系，同時根據安全術建設和安全管理建設，保障系統整體的安全。

其次，為用戶提供安全等級現狀分析

01

為確保信息系統的安全保護措施符合相應安全等級的基本安全要求，需要實施安全等級現狀測評，以提出合理、有效的安全整改建議，為信息系統制定信息安全規劃和決策提供依據。

指導系統運維方開展安全評估工作，簡要了解系統現有安全保障措施與國家信息安全等級保護等級標準要求之間的差距，制定信息安全規劃方案；同時檢查系統在技術層面存在的脆弱性漏洞，為后續安全加固工作奠定基礎。

差距分析將從技術上的安全物理環境、安全通信網絡、安全計算環境、安全區域邊界和安全管理中心五個層面和管理上的安全管理制度、安全管理制度、安全管理機構、安全管理人員和安全運維管理等五個方面分別進行。具體內容為：

1.1技術差距檢測：

(1)安全物理環境：針對信息系統所處的物理環境即機房、線路、基礎支撐設施等進行標準符合性識別。主要包含：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面。

(2)安全通信網絡：對評估工作范圍內的網絡與安全設備、網絡架構進行網絡安全符合性調查。主要包含：結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護等方面。

(3)安全計算環境：評估信息系統的主機系統安全保障情況。主要包含：身份鑒別、訪問控制、安全審計、系統保護、入侵防護、惡意代碼防護、資源控制等方面。

(4)安全區域邊界：對信息系統進行應用安全符合性調查。主要包含：身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面。

(5)安全管理中心：評估信息系統的數據安全保障情況。主要檢查系統的數據在采集、傳輸、處理和存儲過程中的安全。

1.2管理差距檢測：

(1)安全管理制度:評估安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。

(2)安全管理機構:評估安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。

(3) 安全管理人員：評估機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。

(4)安全建設人員：評估系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。

(5)安全運維管理：評估系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。

1.3等級保護差距分析：

基于技術、管理層面的標準合規性檢測結果，根據國家等級保護標準，結合行業規范，針對標準的每項具體要求，從微觀角度展開，深入分析信息系統與相應等級要求之間的差距，并從宏觀角度對計算環境、區域邊界和通信網絡等方面對單元檢測的結果進行驗證、分析和整體評價，確認信息系統的整體安全防護能力有無缺失，是否能夠對抗相應等級的安全威脅，為安全規劃設計提供依據。

02 脆弱性分析

脆弱性（弱點）是指可能為許多目的所利用的系統某些方面，包括系統弱點、安全漏洞和實現的缺陷等。為識別和分析信息系統所存在的脆弱性，確認需要實施安全加固與調優的事項，將首先進行脆弱性檢測工作，從網絡層、主機層和應用層三個方面進行檢測，本次脆弱性檢測的主要內容是漏洞掃描和系統配置檢查。

系統脆弱性檢測涉及三個層面工作內容，包含整體的網絡架構分析，服務器、網絡與安全設備的配置檢查，以及漏洞掃描檢測工作。具體內容如下：

2.1網絡架構分析：

進行網絡架構分析的目的是查找需要對網絡結構實施優化的事項，具體內容如下：

(1)網絡現狀識別：涉及應用系統和用戶分布，安全域劃分，區域邊界之間所采取的訪問控制措施，網絡帶寬需求及現狀，對數據流向的安全控制，設備鏈路冗余設計，對網絡帶寬的管控措施，遠程訪問通信鏈路的加密，各區域內所采取的入侵檢測，安全審計措施，網絡出口所采取的入侵防范、病毒過濾、垃圾郵件過濾措施、終端用戶接入認證等內容。

(2)網絡安全分析：從網絡的整體架構進行考慮，緊密結合業務應用現狀，識別重要信息系統部署和用戶所在網絡區域的分布情況，分析網絡設計布局的合理性，是否存在單點隱患，確認鏈路帶寬是否滿足業務要求，檢查產品設備老化問題，確認設備性能是否滿足要求，分析網絡區域邊界是否定義清晰，安全域劃分是否合理，服務器、終端接入是否安全，各類安全設備的部署是否到位等。

2.2設備配置檢查：

檢查系統相關服務器、交換機與安全設備的配置策略，具體內容如下：

(1)服務器手工檢查：檢查服務器操作系統、數據庫和中間件的開放服務及端口、賬戶設置、文件權限設置、審計、共享資源、補丁更新和病毒防護等情況；

(2)網絡設備手工檢查：檢測交換機或路由器的Vlan劃分、路由表配置、訪問控制列表ACL、IP和MAC地址綁定情況、設備登錄認證方式、口令設置等配置項；

(3)安全設備手工檢查：獲取防火墻的訪問控制策略、以透明還是路由方式部署、NAT地址轉換、網絡連接數限制等信息，檢查入侵檢測、安全審計設備的審計策略配置、特征庫版本情況等。

2.3漏洞掃描檢測：

借助專業化漏洞檢測工具，對檢測范圍內的交換機、路由器和服務器實施掃描，發現配置上存在的弱點，作為對手工檢查工作所獲取數據的補充，同時也是制定安全加固方案的重要依據。

03 滲透測試服務

通過模擬黑客對信息系統進行滲透測試，發現分析并驗證其存在的主機安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站腳本漏洞及弱口令等安全隱患，評估系統抗攻擊能力，提出安全加固建議。

針對信息系統的滲透測試將采取兩種類型：

第一類型：互聯網滲透測試，是通過互聯網發起遠程攻擊，比其他類型的滲透測試更能說明漏洞的嚴重性；

第二類型：內網滲透測試，通過接入內部網絡發起內部攻擊，主要針對信息系統的后臺管理系統進行測試。

04 源代碼評估

源代碼安全測試對所提供的源代碼采用工具進行安全掃描，分析和軟件安全風險管理，并給出安全問題審計結果，安全問題描述和推薦修復建議。

依據CVE（Common Vulnerabilities & Exposures）安全漏洞庫、設備及軟件廠商公布的漏洞，根據測試用例對信息系統的源代碼進行安全掃描，對安全漏洞進行識別，給出整改建議

第三，信息系統安全整改服務

1安全加固與優化

根據前期對信息系統進行的調研、評估與測評結果，以脆弱性評估報告和滲透測試報告為依據，根據網絡安全特殊需求和業務流程制定安全加固方案，在不影響當前業務開展的前提下，對信息系統內的操作系統、數據庫、安全設備以及中間件的安全配置策略進行加強，及時消除因安全漏洞被惡意攻擊者利用從而引發的風險。

根據信息系統網絡現狀，本次項目安全加固對象分為四類，即信息系統內的操作系統、數據庫、中間件以及網絡與安全設備。

2等級保護制度建設

制定和完善與信息系統的安全保護等級相適應的配套管理制度，制度相關內容如下：

(1)安全管理機構：加強和完善安全機構的建設，設立指導和管理信息安全工作的信息安全領導小組，設立安全主管、安全管理各個方面的負責人，明確定義各個工作崗位的職責。建立各種安全管理活動的審批程序，明確對內對外的溝通協作方式，建立對各項安全管理活動的監督審核機制。

(2)安全管理制度：在差距分析的基礎上，建立信息安全工作總體方針、安全策略，以方針策略為依據建立配套的安全管理制度及流程規范，由專門的組織機構負責管理制度的制訂、發布和貫徹落實。定期對制度進行評審和修訂，確保管理制度的適用性。

(3) 安全建設人員：主要涉及兩方面，對內部人員的安全管理和對外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識教育和培訓和外部人員訪問管理等方面。

(4)系統建設管理：為了建設符合安全等級保護要求的信息系統、系統建設管理主要關注的是信息系統生命周期中的前三個階段（即設計、采購、實施）中各項安全管理活動，實現信息系統的安全管理貫穿系統的整個生命周期。系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮，具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇等方面。

(5) 安全運維管理：系統運行涉及到很多管理方面，要保證系統始終處于相應安全保護等級的安全狀態中。要監控系統發生的重大變化，以便修改對應的安全措施。系統運維管理主要包括環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等方面。