依據(jù)公通字[2007]43號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營(yíng)、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。
??????? 等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循國(guó)家等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。
??????? 啟明星辰等級(jí)保護(hù)整改與安全建設(shè)過(guò)程
??????? 啟明星辰等級(jí)保護(hù)整改與安全建設(shè)是基于國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況，通過(guò)一套規(guī)范的等保整改過(guò)程，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。
??????? 啟明星辰等保整改與建設(shè)過(guò)程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。
??????? (一) 等級(jí)保護(hù)差距分析
??????? 1. 等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估
??????? 1) 評(píng)估目的
??????? 對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國(guó)家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。
??????? 等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國(guó)家等保要求之間的符合程度。可以說(shuō)，風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。
??????? 啟明星辰通過(guò)專(zhuān)業(yè)的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)：
??????? ● 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；
??????? ● 確定可能對(duì)資產(chǎn)造成危害的威脅；
??????? ● 確定威脅實(shí)施的可能性；
??????? ● 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；
??????? ● 對(duì)最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；
??????? ● 明確信息系統(tǒng)的已有安全措施的有效性；
??????? ● 明晰信息系統(tǒng)的安全管理需求。
??????? 2) 評(píng)估內(nèi)容
??????? ● 資產(chǎn)識(shí)別與賦值
??????? ● 主機(jī)安全性評(píng)估
??????? ● 數(shù)據(jù)庫(kù)安全性評(píng)估
??????? ● 安全設(shè)備評(píng)估
??????? 現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括：
??????? ● 漏洞掃描
??????? ● 控制臺(tái)審計(jì)
??????? ● 技術(shù)訪談
??????? 3) 評(píng)估分析
??????? 根據(jù)現(xiàn)場(chǎng)收集的信息及對(duì)這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。
??????? 2. 等保差距分析
???????? 通過(guò)差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距，確定不符合安全項(xiàng)。
??????? 1) 準(zhǔn)備差距分析表
???????? 項(xiàng)目組通過(guò)準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場(chǎng)溝通的對(duì)象（部門(mén)和人員），準(zhǔn)備相應(yīng)的檢查內(nèi)容。
???????? 在整理差距分析表時(shí)，整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求，根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。
???????? 差距分析表包含以下內(nèi)容：
??????? ● 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；
??????? ● 安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理；
??????? ● 系統(tǒng)運(yùn)維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置；
??????? ● 物理安全差距分析：包括物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。
???????? 不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。
??????? 2) 現(xiàn)場(chǎng)差距分析
??????? 整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求，對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距，確定不符合項(xiàng)。
??????? 現(xiàn)場(chǎng)工作階段，整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。
??????? 在差距分析階段，可以通過(guò)以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過(guò)分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改。
??????? ● 查驗(yàn)文檔資料
??????? ● 人員訪談
??????? ● 現(xiàn)場(chǎng)測(cè)試
??????? 3) 生成差距分析報(bào)告
??????? 完成現(xiàn)場(chǎng)差距分析之后，整改項(xiàng)目組歸納整理、分析現(xiàn)場(chǎng)記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成《等級(jí)保護(hù)差距分析報(bào)告》。
??????? (二) 等級(jí)保護(hù)整改建議方案
??????? 1. 整改目標(biāo)溝通確認(rèn)
??????? 通過(guò)與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門(mén)和信息安全管理部門(mén)進(jìn)行廣泛的溝通協(xié)商，啟明星辰會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改工作的工作目標(biāo)，提出等級(jí)保護(hù)整改建議方案。
??????? 對(duì)暫時(shí)難以進(jìn)行整改的部分內(nèi)容，將在討論后作為遺留問(wèn)題，明確列在整改建議方案中。
??????? 2. 總體框架
??????? 根據(jù)等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。
????????????????????????????????????????????????????????????????????????????? 圖? 信息安全PMOT體系模型
??????? 啟明星辰根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，來(lái)構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括：
??????? ● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。
??????? ● 安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測(cè)響應(yīng)體系、冗余與備份以及安全管理中心。
??????? ● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理。
??????? ● 安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。
??????? 展開(kāi)后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全基本要求。
???????????????????????????????????????????????????????????????????? 圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架
??????? 3. 方案說(shuō)明
??????? ● 信息安全策略
??????? 信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對(duì)技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。
??????? ● 安全技術(shù)體系
??????? 啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購(gòu)和安全控制開(kāi)發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測(cè)響應(yīng)體系、冗余與備份、信息安全管理中心。
??????? ● 安全管理體系
??????? 為滿足等?；疽?，應(yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。
??????? ● 安全運(yùn)維體系
??????? 為滿足等保基本要求，應(yīng)建立和完善安全運(yùn)維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。
??????? (三) 等級(jí)保護(hù)整改實(shí)施
??????? 為了更好地協(xié)助客戶落實(shí)等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實(shí)整改實(shí)施方案，或協(xié)助進(jìn)行整改實(shí)施方案的評(píng)審、招投標(biāo)、項(xiàng)目監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。
??????? 1. 制定整改實(shí)施方案
??????? 在確定整改實(shí)施的承建單位后，啟明星辰會(huì)提交相關(guān)的工程實(shí)施文檔，包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)，主要有：
??????? ● 項(xiàng)目產(chǎn)品配置清單
??????? ● 實(shí)施設(shè)計(jì)方案
??????? ● 實(shí)施準(zhǔn)備工作描述，實(shí)施工作步驟
??????? ● 實(shí)施風(fēng)險(xiǎn)規(guī)避方案
??????? ● 實(shí)施驗(yàn)證方案
??????? ● 現(xiàn)場(chǎng)培訓(xùn)方案
??????? 工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后，方可進(jìn)行實(shí)施。
??????? 2. 整改建設(shè)實(shí)施
??????? 啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作，確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施，建立健全信息安全管理制度，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。
??????? 3. 整改實(shí)施項(xiàng)目驗(yàn)收
??????? 整改實(shí)施工作完成后，啟明星辰提出驗(yàn)收申請(qǐng)和工程測(cè)試驗(yàn)收方案，由客戶審批工程測(cè)試驗(yàn)收方案（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）的符合性及可行性。
??????? 4. 等級(jí)保護(hù)運(yùn)維
??????? 在整改建設(shè)與實(shí)施工作完成之后，啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定，協(xié)助用戶培養(yǎng)專(zhuān)業(yè)人才，進(jìn)行運(yùn)行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進(jìn)、等級(jí)保護(hù)測(cè)評(píng)和等級(jí)保護(hù)監(jiān)督檢查的工作。
?