專家級服務

安全咨詢服務

安全咨詢服務包括信息系統等級保護咨詢、雲安全咨 詢、信息系統安全規劃建設咨詢、ISO27001 信息安全管理體系咨詢、數據安全咨詢以及安全開發生命周期 咨詢。隨著信息安全等級保護工作進入 2.0 時代,安 恒信息通過專業和體系的安全咨詢服務結合公司全産 品線的優勢,幫助客戶開展符合等級保護 2.0 要求的 信息系統安全保障體系的規劃與建設。

服務內容

安恒信息等級保護咨詢服務的範圍是指客戶的等級保護定級對象,包括但不限于客戶的信息系統、基礎網絡架構、雲計算平台、大數據平台、物聯網、工業控制系統等已定級對象和擬定級對象。安恒信息通過技術、産品、服務的等保咨詢服務結合,對定級對象的安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心和安全管理要求進行等級保護咨詢服務。

服務方式

安恒信息等級保護咨詢服務,根據等級保護工作的五個階段,從定級、備案、建設整改、等級測評、監督檢查等各階段提供全生命周期的安全咨詢服務,提供交鑰匙工程,使客戶輕松拿到備案證明和通過等保測評。

安恒信息等級保護工作流程如下:

現狀調研服務

安恒信息從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心和安全管理要求幾個方面對客戶定級對象進行全面細致的調研,梳理信息系統基本情況,爲等保咨詢服務提供基礎信息。

現狀調研服務采用訪談、調研表及文檔核查相結合的方式,在調研表、文檔核查的基礎上進行有針對性的訪談了解,全面深入地掌握信息系統的基本現狀情況。

乙方項目人員將預先編制好的調研表下發給甲方相關項目負責人及各個管理員(網絡、系統、應用、安全管理員),調研表的內容包括:項目參與及配合人員名單、信息系統網絡拓撲情況、網絡邊界情況、網絡設備情況、安全設備情況、終端設備情況、服務器設備情況、應用系統軟件情況、信息系統承載業務情況、業務應用流程圖、業務數據及備份情況、管理制度清單。各管理員填寫完成以後統一發送到甲方項目負責人,並由甲方項目負責人反饋給乙方。

對于已有的機房物理環境文檔、安全管理制度文檔、日常信息安全審批文檔,由甲方項目負責人提供給乙方項目人員相關的電子版或者複印件,方便後續的訪談調研。

根據提供的文檔記錄及各個管理員反饋的調研表,乙方項目人員有針對性地進行訪談了解,訪談的主要內容包括機房物理環境的調研、網絡拓撲結構的調研、網絡安全區域的調研、網絡設備資産的確認、安全設備資産的確認、服務器設備資産的確認、終端設備資産的確認、應用系統詳細業務流程的調研、業務數據備份的調研、安全管理制度的調研。

系統現狀調研主要采用資料獲取、現場交流填寫調研表格、人員訪談幾種方式進行,調研小組利用系統相關信息獲取、現場填寫調研表格、人員訪談方式現場進行調研記錄。在系統調研實施中,不同的對象調研使用的調研方式也不相同,下面是各種對象調研方式說明:

序號

調研對象

調研方式

 

物理環境調研中心機房調研。

現場交流填寫調研表格、

 

網絡系統調研:網絡設備、安全設備、網絡架構調研。

現場交流填寫調研表格

 

主機系統調研:主機服務器設備調研。

現場交流填寫調研表格

 

應用系統調研:應用軟件的調研。

現場交流填寫調研表格

 

安全管理調研:現有的信息安全管理體系調研。

資料獲取、人員訪談。

定級備案服務

安恒信息協助客戶對信息系統進行准確的定級,保證系統所定級別符合信息系統的業務安全要求,並編寫信息系統的定級報告。協助客戶開展信息系統的備案工作,向公安機關提交信息系統備案相關的備案表及附件材料,保證客戶順利完成信息系統備案工作。

信息系統定級工作將分爲現狀調研、安全級別評定、報告編制及評審、定級備案表編制、定級備案等步驟進行,具體內容如下:

1.定級對象現狀調研

依據《信息系統安全保護等級定級指南》對客戶

系統等信息系統和網絡現狀進行調研與分析。

2.業務信息安全級別評定

依據《信息系統安全保護等級定級指南》分別判定業務系統的業務信息安全級別和系統服務安全級別,並根據業務信息安全級別和系統服務安全級別綜合判定信息系統安全級別。

3.信息系統定級報告編制及評審

依據信息系統所屬級別,編制等級保護定級備案表和信息系統定級報告。並邀請信息安全等級保護相關專家或內部人員,開展信息系統定級情況評審工作,保障信息系統定級的准確性。

4.信息系統安全等級保護備案表編制

參照業務信息安全級別和系統服務安全級別,判定信息系統所屬級別,編制等級保護定級備案表。

5.信息系統備案

根據等級保護定級備案表和信息系統定級報告,最終完成定級備案過程。

1、確定定級對象

信息系統可能比較龐大,爲了進行等級化、差異化的重點保護,應將較大的信息系統劃分爲若幹個較小的、可能具有不同安全保護等級的定級對象。作爲定級對象的信息系統應具有如下基本特征:

  • 具有唯一確定的安全責任單位:作爲定級對象的信息系統應能夠唯一地確定其安全責任單位。
  • 具有信息系統的基本要素:作爲定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作爲定級對象。
  • 承載單一或相對獨立的業務應用:定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。

只有以上三個條件同時滿足時,才可以作爲定級對象進行定級。

2、確定受侵害的客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公衆利益以及公民、法人和其他組織的合法權益。其中,影響公民、法人和其他組織的合法權益是指由法律確認的並受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

確定作爲定級對象的信息系統受到破壞後所侵害的客體時,應首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公衆利益,最後判斷是否侵害公民、法人和其他組織的合法權益。安恒信息在定級過程中將根據業務特點,綜合分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系,從而協助客戶確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。

3、確定對客體的侵害程度

對客體的侵害外在表現爲對定級對象的破壞,其危害方式表現爲對信息安全的破壞和對信息系統服務的破壞,其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種危害方式。

安恒信息將對客戶信息系統進行總體的評估,從而確認客戶信息系統在保密性、完整性和可用性三個方面受到破壞後,對業務造成的損失程度來確定侵害的客觀方面,參考公安部定級指南,信息安全和系統服務安全受到破壞後,可能産生以下危害後果:

- 影響行使工作職能;

- 導致業務能力下降;

- 引起法律糾紛;

- 導致財産損失;

- 造成社會不良影響;

- 對其他組織和個人造成損失;

- 其他影響。

侵害程度是客觀方面的不同外在表現的綜合體現,因此,安恒信息將根據不同的受侵害客體、不同危害後果分別確定其危害程度。對不同危害後果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域範圍、客戶人數或業務量等不同方面確定,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢複費用等方面進行確定。

由于各行業信息系統所處理的信息種類和系統服務特點各不相同,信息安全和系統服務安全受到破壞後關注的危害結果、危害程度的計算方式均可能不同,因此,安恒信息將協助客戶分析本行業信息特點和系統服務特點,制定危害程度的綜合評定方法,並給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義,然後根據具體的定級對象,判定其定級對象遭到破壞後對客戶造成的侵害程度。

4、確定安全保護等級

安恒信息參考公安部定義的等級保護定級指南,結合前面明確的定級對象、定級對象被破壞後所侵害的客體,以及對客體的侵害程度,分別確定業務信息安全保護等級和信息安全服務保護等級,從而最終確定定級對象的安全保護等級。

業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2業務信息安全保護等級矩陣表,即可得到業務信息安全保護等級。

表 業務信息安全保護等級矩陣表

業務信息安全被破壞時所侵害的客體

對相應客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第三級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2系統服務安全保護等級矩陣表,即可得到系統服務安全保護等級。

表 系統服務安全保護等級矩陣表

系統服務安全被破壞時所侵害的客體

對相應客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第三級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

作爲定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。

5、定級報告編制

現場調研後,安恒信息項目經理或安全專家會准備《信息系統安全等級保護定級報告模板》,給出定級報告示例。並協助信息管理部門和業務部門依據定級報告模板,起草各信息系統安全等級保護定級報告,在定級報告編制過程中,安恒信息項目經理或安全專家將根據已經掌握的信息系統情況,對各信息系統定級報告的合理性進行初步研究和審核把關,對照國家對不同等級的要求,在報告內容、行文格式、定級准確性等方面給出修改意見。

差距分析服務

安恒信息技術人員根據等級保護基本要求條款,參考等級保護2.0內容,進行合規性差距分析,通過訪談、上機核查的方式,對等級保護要求的技術和管理等方面進行差距分析。

差距分析服務工作實施過程劃分爲兩個階段:

1.對標差距分析階段:

制定和修改《信息系統調查表》等文件,並下發調查表。

分析和整理系統資料,依據系統資料和《信息安全技術 信息系統安全等級保護基本要求》、《信息安全技術 信息系統安全等級保護測評要求》,制定對標差距分析方案。

依據方案,檢查各服務器、網絡設備、安全設備的配置情況,以及主要安全功能的實現和使用狀況。准確記錄各種核查和測試結果,並獲得用戶的確認。

根據核查和測試結果,進行綜合分析,判斷安全管理和安全技術的各個方面與測評指標的符合程度,判斷分析安全風險,給出安全風險的度量,判斷分析各種可能的攻擊行爲和後果,分析給出各種安全建議和各種安全控制措施。

根據綜合分析結果和彙總統計結果,編制差距分析報告。

2.整改建議編制階段:

根據對標差距分析結果,對對標差分發現的安全問題進行分析,給出相應的整改建議,編制安全整改及加固建議。​

滲透測試服務

滲透測試是通過真實模擬黑客使用的工具、分析方法來對網站進行模擬攻擊,並結合智能工具掃描結果,由高級工程師進行深入的手工測試和分析,識別工具弱點掃描無法發現的問題。主要分析內容包括邏輯缺陷、上傳繞過、輸入輸出校驗繞過、數據篡改、功能繞過、異常錯誤等以及其他專項內容測試與分析。

滲透測試是有效發現信息系統安全風險、提升安全評估和差距分析效果的重要手段,等級保護第三級系統必須開展滲透測試,安恒滲透測試服務方式參見滲透測試白皮書。

建設整改服務

1.整改方案設計服務

信息系統安全整改建設方案設計主要是依據風險評估及差距分析報告,對客戶信息系統面臨的安全風險進行總結分析,對信息系統不符合信息系統等級保護建設基本要求的部分提供可行性整改建議或方案,從整體上把控,使得客戶信息系統在進行安全建設整改後可一次性通過等級保護的測評。

​2.管理體系設計服務

信息安全管理體系是信息安全工作十分重要的組成部分,是信息安全建設中重要的一環。信息安全管理體系建設,依據等級保護基本要求、ISO27001及客戶相關制度和標准,爲客戶建立起由安全策略、管理制度、操作規程等構成的全面的體系化安全管理模式。通過信息安全管理體系的建設,完善信息安全策略和制度體系安全框架,形成內容覆蓋全面、層次分明、結合實際並且可以落地執行的信息安全管理體系。

​3.等保集成服務

安恒信息通過整改建設方案,對安全産品進行采購部署,協助客戶完成等保集成服務。

協助等保測評服務

安恒信息在協助客戶完成等級保護差距分析、整改建設,並確保無誤後,安恒信息協助客戶配合第三方等級保護測評機構完成等級保護測評工作,拿到基本符合的等級保護測評報告。

系統安全等級測評主要從技術和管理兩個方面檢查安全措施的落實情況,獲取該測評機構出具的正式等級保護測評報告,測評結果爲“基本符合”及以上。

等級保護測評流程如下: