等保合规安全解决方案

近日，国务院国资委发布了《中央企业负责人经营业绩考核办法》（国资委令第40号，以下简称《考核办法》）。

 对中央企业负责人实施经营业绩考核是国资委依法履行出资人职责的重要手段。自2003年公布《中央企业负责人经营业绩考核暂行办法》（国资委令第2号）以来，先后4次进行修订完善。从15年的业绩考核工作实践来看，中央企业负责人经营业绩考核制度建立和实施，对推动中央企业提高资产经营效率和管理水平、提升可持续发展能力、实现国有资产保值增值发挥了重要作用。

为深入贯彻习近平新时代中国特色社会主义思想和党的十九大精神，全面落实中央高质量发展部署要求，国资委在深入研究、广泛征求中央企业和地方国资委意见的基础上，修订形成了《中央企业负责人经营业绩考核办法》，经由国资委党委会议和主任办公会议审议通过，以国资委40号令的形式发布。

不难看出，《国家网络安全事件应急预案》的网络安全事件分级，可以对照《网络安全等级保护》的安全保护等级的防护等级。这样，应对网络安全事件也就有了实践的方法与理论指导，按照网络安全等级保护的基本理论和法律依据。

首先，为用户提供安全建设规划

根据等级化安全保障体系的设计思路，等级保护的安全建设规划包括以下内容：

01安全域设计：

根据系统定级情况，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

02确定安全域安全要求：

参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。

03安全保障体系方案设计：

根据安全域框架，设计系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成系统整体的安全保障体系框架；物理安全、网络安全、服务器安全等安全技术设计，安全管理制度规划与设计。

通过如上内容的规划，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障系统整体的安全。

其次，为用户提供安全等级现状分析

01

为确保信息系统的安全保护措施符合相应安全等级的基本安全要求，需要实施安全等级现状测评，以提出合理、有效的安全整改建议，为信息系统制定信息安全规划和决策提供依据。

指导系统运维方开展安全评估工作，简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距，制定信息安全规划方案；同时检查系统在技术层面存在的脆弱性漏洞，为后续安全加固工作奠定基础。

差距分析将从技术上的安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心五个层面和管理上的安全管理制度、安全管理制度、安全管理机构、安全管理人员和安全运维管理等五个方面分别进行。具体内容为：

1.1技术差距检测：

(1)安全物理环境：针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

(2)安全通信网络：对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。

(3)安全计算环境：评估信息系统的主机系统安全保障情况。主要包含：身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。

(4)安全区域边界：对信息系统进行应用安全符合性调查。主要包含：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。

(5)安全管理中心：评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。

1.2管理差距检测：

(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

(3) 安全管理人员：评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。

(4)安全建设人员：评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

(5)安全运维管理：评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

1.3等级保护差距分析：

基于技术、管理层面的标准合规性检测结果，根据国家等级保护标准，结合行业规范，针对标准的每项具体要求，从微观角度展开，深入分析信息系统与相应等级要求之间的差距，并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价，确认信息系统的整体安全防护能力有无缺失，是否能够对抗相应等级的安全威胁，为安全规划设计提供依据。

02 脆弱性分析

脆弱性（弱点）是指可能为许多目的所利用的系统某些方面，包括系统弱点、安全漏洞和实现的缺陷等。为识别和分析信息系统所存在的脆弱性，确认需要实施安全加固与调优的事项，将首先进行脆弱性检测工作，从网络层、主机层和应用层三个方面进行检测，本次脆弱性检测的主要内容是漏洞扫描和系统配置检查。

系统脆弱性检测涉及三个层面工作内容，包含整体的网络架构分析，服务器、网络与安全设备的配置检查，以及漏洞扫描检测工作。具体内容如下：

2.1网络架构分析：

进行网络架构分析的目的是查找需要对网络结构实施优化的事项，具体内容如下：

(1)网络现状识别：涉及应用系统和用户分布，安全域划分，区域边界之间所采取的访问控制措施，网络带宽需求及现状，对数据流向的安全控制，设备链路冗余设计，对网络带宽的管控措施，远程访问通信链路的加密，各区域内所采取的入侵检测，安全审计措施，网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。

(2)网络安全分析：从网络的整体架构进行考虑，紧密结合业务应用现状，识别重要信息系统部署和用户所在网络区域的分布情况，分析网络设计布局的合理性，是否存在单点隐患，确认链路带宽是否满足业务要求，检查产品设备老化问题，确认设备性能是否满足要求，分析网络区域边界是否定义清晰，安全域划分是否合理，服务器、终端接入是否安全，各类安全设备的部署是否到位等。

2.2设备配置检查：

检查系统相关服务器、交换机与安全设备的配置策略，具体内容如下：

(1)服务器手工检查：检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况；

(2)网络设备手工检查：检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项；

(3)安全设备手工检查：获取防火墙的访问控制策略、以透明还是路由方式部署、NAT地址转换、网络连接数限制等信息，检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等。

2.3漏洞扫描检测：

借助专业化漏洞检测工具，对检测范围内的交换机、路由器和服务器实施扫描，发现配置上存在的弱点，作为对手工检查工作所获取数据的补充，同时也是制定安全加固方案的重要依据。

03 渗透测试服务

通过模拟黑客对信息系统进行渗透测试，发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

针对信息系统的渗透测试将采取两种类型：

第一类型：互联网渗透测试，是通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性；

第二类型：内网渗透测试，通过接入内部网络发起内部攻击，主要针对信息系统的后台管理系统进行测试。

04 源代码评估

源代码安全测试对所提供的源代码采用工具进行安全扫描，分析和软件安全风险管理，并给出安全问题审计结果，安全问题描述和推荐修复建议。

依据CVE（Common Vulnerabilities & Exposures）安全漏洞库、设备及软件厂商公布的漏洞，根据测试用例对信息系统的源代码进行安全扫描，对安全漏洞进行识别，给出整改建议

第三，信息系统安全整改服务

1安全加固与优化

根据前期对信息系统进行的调研、评估与测评结果，以脆弱性评估报告和渗透测试报告为依据，根据网络安全特殊需求和业务流程制定安全加固方案，在不影响当前业务开展的前提下，对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强，及时消除因安全漏洞被恶意攻击者利用从而引发的风险。

根据信息系统网络现状，本次项目安全加固对象分为四类，即信息系统内的操作系统、数据库、中间件以及网络与安全设备。

2等级保护制度建设

制定和完善与信息系统的安全保护等级相适应的配套管理制度，制度相关内容如下：

(1)安全管理机构：加强和完善安全机构的建设，设立指导和管理信息安全工作的信息安全领导小组，设立安全主管、安全管理各个方面的负责人，明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序，明确对内对外的沟通协作方式，建立对各项安全管理活动的监督审核机制。

(2)安全管理制度：在差距分析的基础上，建立信息安全工作总体方针、安全策略，以方针策略为依据建立配套的安全管理制度及流程规范，由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订，确保管理制度的适用性。

(3) 安全建设人员：主要涉及两方面，对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。

(4)系统建设管理：为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段（即设计、采购、实施）中各项安全管理活动，实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。

(5) 安全运维管理：系统运行涉及到很多管理方面，要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化，以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。