深信服等级保护咨询服务技术白皮书讲述.docx

深信服等级保护咨询服务技术白皮书深信服科技有限公司2015年3月等级保护概述等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）、《信息安全等级保护管理办法》（公通字[2007]43 号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861 号）等文件的精神，提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，自2007 年开始，从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。深信服长期密切跟踪国家等级保护相关政策，参与了等级保护标准制定与研讨、国家项目等多项相关工作，协助客户进行了等级保护试点、重要信息系统定级、等级保护整改等多项工作，在等级保护工作实践中积累了丰富的经验。深信服进行等级保护咨询服务时，主要参考标准如下：《计算机信息系统安全保护等级划分准则》（GB 17859-1999）《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护基本要求》（GB/T 22239-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《信息系统安全等级保护测评要求》（V2.0(送审稿)）《信息安全技术网络基础安全技术要求》（GB/T 20270-2006）《信息安全技术信息系统通用安全技术要求》（GB/T 20271-2006）《信息安全技术操作系统安全技术要求》（GB/T 20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T 20273-2006）《信息安全技术应用系统安全等级保护通用技术指南》（GA/T 711-2007）《信息安全技术服务器技术要求》（GB/T 21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T 671-2006）《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T 20282-2006）《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）深信服等级保护咨询服务流程定级备案深信服咨询顾问协助用户单位，依据《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级，准备定级备案表和定级报告，协助用户单位向所在地区的公安机关办理备案手续。差距评估通过等级差距分析，可以明确客户信息系统的现状，确定不符合安全项，明确安全建设需求。整理差距分析表深信服咨询顾问根据与客户确认的计划，做现场检查测试前的准备，主要包括准备差距分析表，明确现场访谈的对象（部门和人员），准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。在整理差距分析表时，深信服咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求，根据客户信息系统分析结果及风险评估的结果进行调整，去掉不适用项，增加不能满足客户信息系统需求的安全要求，一般来说，差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距，根据这些差距提出安全建议：安全技术差距分析安全管理差距分析现场差距分析现场差距分析阶段，深信服咨询顾问依据差距分析表中的各项安全要求，对比现状和安全要求之间的差距，确定不满足要求的安全项。现场工作阶段，深信服咨询顾问可分为管理检查组和技术检查组，在客户方人员的配合下，分工如下：管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查，并填写差距分析表的相关部分；技术检查组负责安全技术类文档分析、现场访谈、现场检查，并填写差距分析表的相关部分。在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料／数据，以确认客户信息系统的建设是否符合该等级的安全要求，需要进行哪些方面的整改和安全建设。查看制度和记录为了获取和分析业务系统现有的安全控制措施，需要查看安全策略文档（例如政策法规、指导性文档）、管理制