【云端大事件】沈阳欣欣晶智计算机安全检测技术有限公司入驻华为云市场，助力信息安全等级保护测评业务上云

【导语：】2018年7月10日，沈阳欣欣晶智计算机安全检测技术有限公司入驻华为云市场，在华为云市场发布了等保测评、安全咨询、应急保障、安全运维、渗透测试等安全服务，帮助企业和用户把等级保护的要求与实际建设需求更好地结合起来，更好地满足用户的实际安全保障需求，同时开展客观、公正、安全的测评服务。等保测评服务有哪些好处，具体实施流程又是怎样呢？各类安全服务又能解决什么问题呢？一起来了解一下。

一、 等级保护是国家信息安全的基本制度

  随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。条例中规定：我国的计算机信息系统实行安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》（公通字[2007]43号）明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评……”。并制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准，形成了信息安全等级保护标准体系。2017年6月1日发布了《网络安全法》。第二十一条再次明确规定了：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。第三十八条明确规定：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。具体如下图所示：

二、 各行业落实信息安全等级保护工作

  随着国家相关机关不断出台等级保护规范标准，各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如，卫生部2011年印发（卫办发[2011]85号）《卫生行业信息安全等级保护工作的指导意见》的通知，明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》，2013年制定了《征信机构管理办法》（中国人民银行令[2013]第1号），明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技[2014]4号）明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”，“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作，建立、健全信息安全管理制度，落实安全保护技术措施，全面贯彻落实信息安全等级保护制度。

三、 等级保护工作的实施过程

  信息系统安全等级保护测评(简称“等级保护测评”)包括系统定级备案、安全建设整改、等级保护测评、定期安全检查四个阶段。

等级保护工作的实施过程如下图所示：

²  系统定级备案：通过定级对象分析、定级要素分析，初步确定系统等级，协助召开定级专家咨询会议，确定系统等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。

²  安全建设整改：协助建设单位按照同步规划、同步建设、同步实施的原则，做好项目建设的安全规划。依据对系统脆弱性评估结果，弥补技术层面的安全漏洞，建立健全信息安全管理制度，根据前期信息安全保障体系设计方案，指导系统运维方落实相关安全保障措施。

²  等级测评阶段：根据《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》对系统开展安全评估工作，了解系统现有的安全保障措施与国家信息安全等级保护标准要求之间的差距，并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测结果进行验证、分析和整体评价，确认信息系统整体安全防护能力，并出具测评报告。

²  检查监督：用户需要对信息系统的安全技术和安全管理上各层面的安全控制进行检查，准备需要的文档和资料，配合有关部门进行检查、监督工作。

四、 等级保护测评流程

  等级保护测评是指信息系统运营、使用单位委托具有我测评机构对其建设的已定级的信息系统进行等级保护测评过程，测评机构在测评过程中采用访谈、检查和测试三大类的测评方法，具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类，对信息系统进行安全测评和风险评估，验证信息系统是否满足相应安全保护等级要求，并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图：

五、 等保测评适用于哪些行业

  政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；

  金融行业：金融监管机构、各大银行、证券、保险公司等；

  电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；

  能源行业：电力公司、石油公司、烟草公司；

  企业单位：大中型企业、央企、上市公司等；

  其它有信息系统定级需求的行业与单位。

六、 等保测评能够带来哪些好处

²  保障基础设施安全：保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

²  保障网络连接安全：保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。保障计算环境的安全：保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

²  保障应用系统安全：保障应用程序层对网络信息的保密性、完整性和信源的真实性的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

²  保障数据安全及备份恢复：保障数据完整性、数据保密性、备份和恢复等。

²  安全管理体系保障：根据国家有关信息安全等级保护方面的标准和规范要求，建立一套切实可行的安全管理体系，加强安全管理机制。

七、 安全咨询服务解决的问题

²  能够前瞻性的做出用户网络安全战略、战术规划。

²  梳理用户的信息资产情况。

²  充分了解用户信息与网络系统面临的威胁、脆弱性，并得出其风险级别。

²  根据风险分析结果能够提出针对性的解决方案和建议。

²  能够确切的提炼出用户信息与网络系统的安全需求。

²  建立合理的与用户安全策略一致的动态安全体系框架。

²  制定切实可行的安全策略指导文档。

²  建立正确的安全体系运行和管理机制，保证安全体系的正常运行。

²  从业务需求出发规划和设计应用系统的安全性指标。

²  从平台、程序、用户等角度实施应用系统运维制度、规范和流程。

²  选取合适的、有效的，能够满足用户安全策略需要的安全技术和产品。

八、 应急保障服务解决的问题

²  即时解决安全故障，使政府、金融、高校、企业用户，网络和信息系统服务恢复正常运行，尽可能得挽回或减少损失。

²  对安全故障发生的系统，做安全检查和处置，保证网络和信息系统的安全。

²  修补安全故障发生系统，存在的安全漏洞；加强安全防护措施，防止类似的事件再次发生。

²  收集由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据。

²  编写应急响应报告，内容包括：在应急响应服务中所遇到的安全问题、安全事故处理过程、处理结果。在48小时汇总形成应急响应报告，提交给用户。

²  针对政府、金融、高校、企业用户的应急响应：在半小时内响应，在2小时内到达现场，并在4小时候内使安全事件的事态得到控制，给出相应的解决方案。

九、 安全运维服务具体内容

²  辅助建设可落地的安全运维体系。

²  提供每季度安全巡检服务，包括：网络、主机、应用、数据等。

²  新的业务系统上线前，提供安全检查服务。

²  对网络攻击事件，提供应急响应服务。

²  定期安全审计服务，安全设备日志分析服务，发现其中的异常点。

十、 渗透测试服务具体内容

²  渗透目标类型：提供Internet网络渗透测试、无线网络渗透测试、拨号网络渗透测试等。

²  渗透攻击路径：提供外网渗透测试、内网络渗透测试、不同网段/VLAN间的渗透测试。

²  渗透层次：提供网络层渗透测试、系统层渗透测试和应用渗透测试。

²  渗透测试好处：评估信息系统被入侵的可能性；

发现信息系统存在的深层次安全隐患；

验证信息系统现有安全措施的防护强度；

在入侵者发起攻击前封堵可能被利用的攻击途径。