完善等级保护系统 保障本单位信息系统的安全可控
副标题[/!--empirenews.page--]
近日,一直关注自身信息系统安全的某政府部门,积极响应国家政策,对其电子政务系统进行了等级保护整改和测评。鉴于系统整改和评测的专业性和新生性,加上机构自身人力和技能所限,该部门在充分考量后决定委托北京网御星云信息技术有限公司(以下简称网御星云)进行了等级保护系统性咨询整改,以期快速达到国家等级保护制度要求,做到本单位信息系统的安全可控,保障本单位信息化建设持续健康发展。
项目具体过程与内容如下:
一、 电子政务信息系统调查与评估
网御星云在该部门信息系统中先以全面客观的信息资产调查表为工具,通过管理访谈、业务访谈、资产调查等,以核查和访谈的方式完成信息资产调查工作;然后根据信息系统调查结果和访谈结果,分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素,调查评估工作针对该信息系统网络系统和多个典型电子政务应用系统进行,包括并不限于:
1、电子政务系统信息资产调查。包括网络拓扑、网络设备、主机、应用软件等信息资产的调查。
2、电子政务系统应用与业务调查。包括系统基本信息、组织管理框架、系统业务流程、系统业务特性、系统处理的信息特性和安全属性等内容。
3、系统安全措施及风险调查。包括现有的安全技术措施、现有安全管理措施和主机设备的安全弱点抽样评估等。
工具扫描
采用扫描工具对主机、网络和数据库等进行评估,发现信息系统安全隐患和弱点,并提供相应的扫描报告。
人工评估
以不断更新的业界最佳实践为基础,采用人工方式对各种类型的设备进行安全评估,发现漏洞及配置问题,并给出整改建议。
网络架构评估
对路由表、路由性能、路由协议加密、访问配置等问题进行综合评估,对业务网络整体结构合理性与优化调整给出评估建议。
渗透测试
在客户授权批准并签订承诺书的条件下进行了渗透测试,并在项目经理和系统管理员全程监控的情况下,对选定的系统进行渗透测试。在渗透测试过程,不采用造成不可弥补损失的黑客入侵手法,目的仅为侵入系统,将入侵的过程和细节产生报告给用户。
系统应用安全评估
对应用系统进行安全评估,从应用系统的开发、安装部署、网络通讯、认证授权、安全审计、备份容错、运行维护等进行评估,鉴别应用系统所存的风险,并且提供详尽的报告和详尽的建议。
等级保护咨询的重点在以上评估的基础上针对定级的等级要求进行详细的差距分析,并出具相应报告。
[page] 二、 等级保护差距分析
1. 差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与信息安全等级保护级别规范相应保护等级要求之间的差距,确定不符合安全项。
差距分析项目组通过准备好的差距分析表,与某电子政务外网确认现场沟通的对象(部门和人员),准备相应的检查内容。在整理差距分析表时,差距分析项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,即对本安全防护等级的不适用的指标项进行适当裁剪,裁剪后的指标项作为本次差距分析的输入。
差距分析表包括如下四方面内容:
安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2. 现场差距分析
差距分析项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定符合项、基本符合项和不符合项。
现场工作阶段,差距分析项目组可分为管理检查组和技术检查组两个小组,分工如下:
管理检查组:负责安全管理和物理安全类文档资料分析、现场访谈、现场测试,并填写差距分析表的相关部分;
技术检查组:负责安全技术和运维类文档分析、现场访谈、现场测试,并利用风险评估的结果,填写差距分析表的相关部分。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
查验文档资料
为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档、安全管理制度、日常操作规程和其它相关文档(例如定级报告)等,查验是否按照管理要求制定了相关的文档,制定中是否定义了安全要求中的内容,是否留有制度执行的记录等。
人员访谈
整改项目组与有关的管理、技术员工进行逐个访谈沟通,根据相关人员的回答,获得相应信息,并可验证制定的执行情况。
通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到员工的安全意识和安全技能等自身素质。
现场测试
(编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |