等保咨询服务方案V1.0

等保咨询服务方案

2022年4月26日

文档控制

文档信息表

1概述

1.1目的

略。

1.2范围

哪些行业需要进行等级保护测评？

机关：各大部委、各省级机关、各地市级机关、各事业单位等；

金融行业：金融监管机构、各大银行、证券、保险公司等；

电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；

能源行业：电力公司、石油公司、烟草公司等；

企业单位：大中型企业、央企、上市公司等；

其它有信息系统定级需求的行业与单位。

2现状分析

2017年6月1日正式实施的《中华人民共和国网络安全法》要求规范网络运行安全，特别强调要保障关键信息基础设施的运行安全。强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。可见，开展等级保护工作是企业义不容辞的网络安全义务。

等级保护是我国在信息安全保障领域的一项基本制度，开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关、社会稳定的政治任务。

3风险分析

根据网络安全法、等级保护内容分析，未履行网络安全建设工作重点存在如下风险：

1.履行网络安全保护义务，接受和社会的监督，承担社会责任。

2.从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

3.关键信息基础设施的运营者不履行网络安全法第三十三条、第三十四条、第三十六条、第三十规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

4.有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

●设置恶意程序的；

●对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

●擅自终止为其产品、服务提供安全维护的。

4方案设计原则

强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。可见，开展等级保护工作是企业义不容辞的网络安全义务。

4.1建设原则

充分考虑方案实施的可行性，并遵守以下建设原则：

●一次咨询，服务到家的原则

为用户提供省心、省预算、专业的等保咨询服务，解决等保测评、整改中碰到的所有问题，全程用户只要投入少量精力就可完成等保测评工作。售后每年提前与贵单位联系解决等保复审的问题，提前做好相关的测评工作，解决测评的同时，最大限度的发挥资产价值，最大限度的为用户降低成本。

●需求、风险、代价平衡的原则

对任何信息化安全建设，没有绝对的安全，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到安全性与可用性相容，做到技术上可实现，经济上可执行，既符合网络安全相关的要求，又符合信息化安全建设的现状。

●技术与管理相结合原则

信息安全涉及技术要求、管理要求等，单靠技术或单靠管理都不可能实现。因此在考虑信息系统等级保护安全方案时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。 

●分步建设原则

随着网络攻防技术的不断发展，安全需求也会不断变化，再加上环境、条件、时间的，要求安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。因此，在考虑信息系统等级保护安全方案时，应首先满足基本的和必须的安全需要，并在此基础上有良好的可扩展性，以满足今后新的应用和网络安全技术的所产生的信息安全需求。

●三同步原则

协助建设单位按照同步规划、同步建设、同步运行的原则，做好项目建设的安全规划。

4.2实施策略

通过以上的几个指导原则，实施时建议采用如下策略：

◆根据等级保护的测评等级，涉及采购安全设备时优先选择性价比最高、功能最实用和售后服务有保障的安全产品，最大限度的满足测评要求，最大限度的发挥安全产品的作用，可以有效的减少系统投资；

◆采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力；

◆在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内的网络安全等级保护相关要求、漏洞标准等标准；

◆产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观；

5总体规划方案

5.1等保咨询总览

本方案针对等级保护咨询整体进行规划，信息安全等级保护咨询服务分为定级备案咨询、合规检测评估、信息安全整改咨询、协助预测评、测评整改和配合完成测评六个阶段。

5.1.1定级备案咨询

●依据《信息安全等级保护管理办法》、《GAT 13-2017网络安全等级保护定级指南》通过定级对象分析、定级要素分析，初步确定系统保护等级，协助召开定级专家咨询会议，确定系统保护等级，协助撰写《网络安全等级保护定级报告》，协助联络机关，将初步定级结果《网络安全等级保护备案表》上报上级主管单位审核完成定级备案工作。

5.1.2合规检测评估

●基于等保2.0的相关规范标准对定级对象采用技术手段和访谈调查方式进行全面的调研与检测，了解系统边界、功能、服务范围、涉及部门、重要程度，全面进行差距分析和脆弱性评估；找出不足之处和安全漏洞，为等级保护体系设计提供客观依据，出具《调研检测报告》，提出技术与管理整改建议。

5.1.3协助预测评

●准备接受测评的材料，协助测评机构开展预测评，由测评机构出具整改建议书。

5.1.4信息安全整改建设

●根据测评机构出具的整改建议书，结合实际现状建议整改内容，开展相关项目整改；

●新增设备系统进场后，指导与辅助供应商安装调试、策略配置，达到等保合规要求；

●建立健全信息安全管理制度；根据前期调研检测报告，指导系统运维方落实相关安全保障措施。全面实现管理项整改建设，包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等；建立相关管理流程、管理机制，提供相关管理工具，保障管理执行。

5.1.5测评整改

5.1.6配合完成测评

●提交测评材料，配合测评机构开展测评工作，获得测评报告，确保顺利通过测评；

5.2等保咨询服务

5.2.1定级备案咨询

(一)工作内容

（1）系统梳理

网络拓扑调查：通过对系统网络拓扑结构的调查，确定各个网络安全域，分析网络拓扑结构安全。

资产信息调查：通过对资产信息的调查，确定系统中重要资产，比如服务器、核心交换机、边界防火墙、IDS等。

服务信息调查：通过对服务信息的调查，确定系统服务对象。

系统边界调查：通过对系统边界的调查，确定各子系统边界情况。

（2）定级对象分析

业务类型分析：通过对业务类型的分析，确定各系统的重要性。

管理机构分析：通对管理机构的分析，确定安全管理机构设置的合理性。

（3）定级要素分析

业务信息分析：通过以上调查与分析，明确业务信息（系统数据）被破坏后受侵害的客体（公民、法人和其他组织的合法权益，社会秩序、公共利益，）和侵害程度。

系统服务分析：通过以上调查与分析，明确系统被破坏或者中断服务后受侵害的客体（公民、法人和其他组织的合法权益，社会秩序、公共利益，）和侵害程度。

综合分析：通过对业务信息分析与系统服务分析，分别确定其安全等级

确定等级：取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。

（4）撰写定级报告

撰写定级报告：通过以上调查与分析，撰写系统定级报告，包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。

（5）协助定级备案

协助填写备案表：协助业主完成系统安全等级保护备案表的填写。

协助评审审批：协助业主组织召开系统定级结果评审会，协助业主完成整个定级审批过程。

(二)交付成果

《信息系统安全等级保护定级报告》

《信息系统定级备案表》

5.2.2合规检测评估

为确保信息系统的安全保护措施符合相应安全等级的基本安全要求，需要实施合规检测评估，以提出合理、有效的安全整改建议，为信息系统制定信息安全规划和决策提供依据。

5.2.2.1等级保护差距分析

(一)工作内容

按照等级保护实施要求，信息系统应该具备相应等级的安全防护能力，部署相应的安全设备，制定相应的安全管理机构、制度、岗位等。

差距分析就是依据等级保护技术标准和管理规范，比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。

差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为：

1、技术差距检测：

(1)物理安全：针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

(2)网络安全：对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。

(3)主机安全：评估信息系统的主机系统安全保障情况。主要包含：身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。

(4)应用安全：对信息系统进行应用安全符合性调查。主要包含：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。

(5)数据安全：评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。

2、管理差距检测：

(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

(3)人员安全管理：评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。

(4)系统建设管理：评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

(5)系统运维管理：评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

3、等级保护差距分析：

基于技术、管理层面的标准合规性检测结果，根据国家等级保护标准，结合行业规范，针对标准的每项具体要求，从微观角度展开，深入分析信息系统与相应等级要求之间的差距，并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价，确认信息系统的整体安全防护能力有无缺失，是否能够对抗相应等级的安全威胁，为安全规划设计提供依据。

(二)交付成果

《信息系统等级保护调研检测报告》

5.2.2.2渗透测试

通过模拟黑客对信息系统进行渗透测试，发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

(一)工作内容

针对信息系统的渗透测试将采取两种类型：

第一类型：互联网渗透测试，是通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性；

第二类型：内网渗透测试，通过接入内部网络发起内部攻击，主要针对信息系统的后台管理系统进行测试。

(二)交付成果

《信息系统渗透测试报告》

5.2.3协助预测评

(一)工作内容

     准备接受测评的材料，协助测评机构开展预测评，由测评机构出具整改建议书。

(二)交付成果

《整改建议书》

5.2.4信息安全整改建设

 信息系统安全整改包含3方面工作内容：首先整改机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改，其次以等级保护对应等级的管理要求为依据建立健全信息安全管理制度，最后依照信息系统安全规划方案指导信息系统优化和完善信息系统安全防护措施，并对系统安全整改情况进行跟踪和效果评价，为后续开展的等级测评工作奠定良好基础。

5.2.4.1安全设备合规配合

(一)工作内容

 新增设备系统进场后，指导与辅助供应商安装调试、策略配置，达到等保合规要求。

(二)交付成果

《设备配合与合规记录》

5.2.4.2安全加固与优化

根据前期脆弱性评估、渗透测试结果，结合信息系统的业务需求，对信息系统相关设备进行安全策略加强、调优等，加强网络、系统和设备抵御攻击和威胁的能力，整体提高网络安全防护水平。

(一)工作内容

根据前期对信息系统进行的调研、评估与现状测评结果，以脆弱性评估报告和渗透测试报告为依据，根据网络安全特殊需求和业务流程制定安全加固方案，在不影响当前业务开展的前提下，对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强，及时消除因安全漏洞被恶意攻击者利用从而引发的风险。

根据信息系统网络现状，本次项目安全加固对象分为四类，即信息系统内的操作系统、数据库、中间件以及网络与安全设备。

(二)交付成果

《信息系统安全加固与优化方案》

5.2.4.3等级保护制度建设

以等级保护差距分析结果为依据，依照安全保障体系设计所提及的建设内容，按照等级保护标准要求，制定等级保护管理体系框架，明确管理方针、策略，以及相应的规定、操作规程、业务流程和记录表单；整改机构从结合信息系统实际业务流程的原则出发，指导系统运维方按照等级保护对应等级的管理标准，编写管理制度文件，并进行反复沟通和修订，确保所制定的文件的适用性，且满足各系统相应保护等级的安全管理要求。

(一)工作内容

制定和完善与信息系统的安全保护等级相适应的配套管理制度，制度相关内容如下：

(1)安全管理机构：加强和完善安全机构的建设，设立指导和管理信息安全工作的信息安全领导小组，设立安全主管、安全管理各个方面的负责人，明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序，明确对内对外的沟通协作方式，建立对各项安全管理活动的监督审核机制。

(2)安全管理制度：在差距分析的基础上，建立信息安全工作总体方针、安全策略，以方针策略为依据建立配套的安全管理制度及流程规范，由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订，确保管理制度的适用性。

(3)人员安全管理：主要涉及两方面，对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。

(4)系统建设管理：为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段（即设计、采购、实施）中各项安全管理活动，实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。

(5)系统运维管理：系统运行涉及到很多管理方面，要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化，以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。

(二)交付成果

《信息系统安全管理制度》

5.2.5配合完成测评

(一)交付成果

 提交测评材料，配合测评机构开展测评工作，由测评机构出具测评报告，确保顺利通过测评；

(二)交付成果

《信息系统等级测评报告》

6咨询周期

等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。在系统整改完成后2周内完成信息安全等级测评工作，配合测评过机构出具等保测评报告。

7方案成效

通过本次等保咨询能够顺利完成等保测评工作。

8方案服务报价

9.1.1参考标准

●GAT 13-2017 信息安全技术 网络安全等级保护 定级指南

●GBT 25070-2019 信息安全技术 网络安全等级保护 安全设计技术要求

●GBT 22239-2019 信息安全技术 网络安全等级保护 基本要求

●GBT 28448-2019 信息安全技术 网络安全等级保护 测评要求

●GBT 36627-2018 信息安全技术 网络安全等级保护 测试评估技术指南

9.1.2相关术语

●网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

●网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

●网络运营者，是指网络的所有者、管理者和网络服务提供者。

●网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

●个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。