深信服等级保护咨询服务技术白皮书

深信服等级保护咨询服务技术白皮书 深信服等级保护咨询服务技术白皮书深信服科技有限公司2015年3月目录1.等级保护概述32.深信服等级保护咨询服务流程42.1.定级备案42.2.差距评估52.2.1.整理差距分析表52.2.2.现场差距分析52.2.3.与客户沟通、确认现场记录62.2.4.生成差距分析报告62.3.方案设计62.4.整改建设72.5.测评验收72.6.定期评估73.深信服等级保护咨询服务优势73.1.参与相关安全标准编写，在等级保护领域具有权威性73.2.与主管部门联系紧密，充分理解相关政策要求83.3.多年技术积累，更精准的应用层技术能力83.4.卓越的新技术跟踪能力，有力面对最新安全形势83.5.深厚的虚拟化技术实力，应对云计算环境的转变83.6.承担多个国家重点公关项目，具有良好的行业标杆94.深信服等级保护咨询服务资质95.深信服等级保护咨询服务团队介绍和案例101. 等级保护概述等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。为进一步贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号）、关于信息安全等级保护工作的实施意见（公通字200466 号）、信息安全等级保护管理办法（公通字200743 号）、关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号）等文件的精神，提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，自2007 年开始，从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。深信服长期密切跟踪国家等级保护相关政策，参与了等级保护标准制定与研讨、国家项目等多项相关工作，协助客户进行了等级保护试点、重要信息系统定级、等级保护整改等多项工作，在等级保护工作实践中积累了丰富的经验。深信服进行等级保护咨询服务时，主要参考标准如下： 计算机信息系统安全保护等级划分准则（GB 17859-1999）信息系统安全等级保护定级指南（GB/T 22240-2008）信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统安全等级保护实施指南（GB/T 25058-2010）信息系统安全等级保护测评要求（V2.0(送审稿)）信息安全技术 网络基础安全技术要求（GB/T 20270-2006）信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）信息安全技术 操作系统安全技术要求（GB/T 20272-2006）信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2006）信息安全技术 应用系统安全等级保护通用技术指南（GA/T 711-2007）信息安全技术 服务器技术要求（GB/T 21028-2007）信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006）信息安全技术 信息系统安全管理要求（GB/T 20269-2006）信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007）2. 深信服等级保护咨询服务流程2.1. 定级备案深信服咨询顾问协助用户单位，依据信息系统安全等级保护定级指南，确定信息系统的安全保护等级，准备定级备案表和定级报告，协助用户单位向所在地区的公安机关办理备案手续。2.2. 差距评估通过等级差距分析，可以明确客户信息系统的现状，确定不符合安全项，明确安全建设需求。2.2.1. 整理差距分析表深信服咨询顾问根据与客户确认的计划，做现场检查测试前的准备，主要包括准备差距分析表，明确现场访谈的对象（部门和人员），准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。在整理差距分析表时，深信服咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求，根据客户信息系统分析结果及风险评估的结果进行调整，去掉不适用项，增加不能满足客户信息系统需求的安全要求，一般来说，差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距，根据这些差距提出安全建议：l 安全技术差距分析l 安全管理差距分析2.2.2. 现场差距分析现场差距分析阶段，深信服咨询顾问依据差距分析表中的各项安全要求，对比现状和安全要求之间的差距，确定不满足要求的安全项。现场工作阶段，深信服咨询顾问可分为管理检查组和技术检查组，在客户方人员的配合下，分工如下：l 管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查，并填写差距分析表的相关部分；l 技术检查组负责安全技术类文档分析、现场访谈、现场检查，并填写差距分析表的相关部分。在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料数据，以确认客户信息系统的建设是否符合该等级的安全要求，需要进行哪些方面的整改和安全建设。l 查看制度和记录为了获取和分析业务系统现有的安全控制措施，需要查看安全策略文档（例如政策法规、指导性文档）、管理制度（例如运维管理规定、机房管理制度等）和其它相关文档（例如定级报告）等。l 人员访谈深信服咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。根据客户的回答，获得相应信息，并可验证之前收集到的资料，从而提高其准确度和完整性。通过访谈管理和技术人员，项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息，也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性，不同于调查表，项目组成员可以广泛提问，从多个角度获得多方面的信息。l 现场检查深信服咨询顾问也可对客户办公环境和机房内设备作现场检查，或观察人员的行为或环境状况，观察制度的执行情况及技术要求落实情况。根据现场勘查的结果，获得相应咨询信息。2.2.3. 与客户沟通、确认现场记录在差距分析阶段，深信服咨询顾问如实记录通过文档检查、现场访谈和现场检查获得的信息系统现状，并与客户相关人员沟通、确认现场记录，确保记录的准确性。2.2.4. 生成差距分析报告深信服咨询顾问归纳整理、分析现场记录，找出目前信息系统与等级保护安全要求之间的差距，生成等级保护差距分析报告。2.3. 方案设计深信服辰咨询顾问参考国家标准信息系统安全等级保护基本要求、信息安全技术信息系统等级保护安全设计技术要求，依据差距分析的结论，在与客户充分沟通后，结合客户实际情况，给出专家级的安全整改和建议方案。在整改建议方案中，深信服咨询顾问会对第一级至第五级信息系统安全保护环境的各个方面提出整改方案。在方案中会从技术和安全管理制度两个方面提出整改需求。并提出整改方案对应表，在对应表中将每一项等保要求与保护措施的对应起来，是等保整改建议方案的概括与总结。2.4. 整改建设深信服咨询顾问根据安全整改方案，结合用户的实际需求，协助用户完成设备的选型、采购、安装、策略配置等活动，协助用户搭建完善的技术防护系统和安全管理体系，保障信息系统的安全稳定运行。2.5. 测评验收深信服咨询顾问协助用户单位选择第三方测评机构，开展信息系统等级保护验收测评工作，保障通过等级保护验收测评。2.6. 定期评估测评通过后，根据国家相关要求，需要定期对信息系统安全状况、安全保护制度及措施的落实情况进行评估。第三级信息系统每年至少进行一次评估，第四级信息系统每半年至少进行一次评估。深信服可以在测评通过后，定期为客户提供评估服务，确保信息系统长期处于一种动态的合规安全状态中。3. 深信服等级保护咨询服务优势3.1. 参与相关安全标准编写，在等级保护领域具有权威性深信服曾先后参与了等级保护相关产品标准的起草和编制工作，配合国家主管部门执笔编写了SSL VPN技术规范和第二代防火墙标准等。尤其是2015年2月，第二代防火墙标准的发布，标志着下一代防火墙将会在未来的等级保护中全面替统防火墙和入侵防御等传统设备，一种新的区域边界防护模式诞生。3.2. 与主管部门联系紧密，充分理解相关政策要求深信服与公安部网络安全保卫局、公安部1所、公安部3所、国家信息安全测评中心、公安部等级保护评估中心等国家级管理或科研机构开展多种模式的合作，保障了深信服对国家等级保护政策的充分理解。3.3. 多年技术积累，更精准的应用层技术能力深信服从2000年成立以来，就专注于应用层安全技术的研发工作，先后将应用层安全技术应用于VPN产品（目前国内市场占有率第一和标准制定者）、上网行为管理产品（目前国内市场占有率第一）和下一代防火墙产品（国内第一款该产品和标准制定者）等多条产品线，而应用层的安全目前已经成为信息安全的核心。一家公司的应用层安全能力直接体现了其技术实力，体现其发现系统安全隐患的能力，体现其风险评估的能力，深信服在此方面是当之无愧的行业翘楚。3.4. 卓越的新技术跟踪能力，有力面对最新安全形势深信服不仅在深圳设有研发中心，在北京也设有研发中心，同时在美国硅谷也设有研发中心，跟踪全球最新的技术和安全形势，全面的研发布局确保深信服可以第一时间跟踪全球最新的技术方向，为客户提供符合最新安全动向的咨询服务。3.5. 深厚的虚拟化技术实力，应对云计算环境的转变深信服自2011年推出应用虚拟化技术后，又先后推出了桌面虚拟化技术、服务器虚拟化技术、存储虚拟化技术、网络虚拟化技术等。在虚拟化技术研发中的积累，保障了深信服在云计算环境下咨询服务能力不会随着环境的变化而降低，反而在云计算以及虚拟化环境下的等级保护咨询服务能力是深信服的优势。3.6. 承担多个国家重点公关项目，具有良好的行业标杆深信服多次承担国家信息安全重点攻关项目及等级保护试点性项目，为多个国家部委、地方政府、金融、医疗和教育等行业，提供了诸如系统定级、系统备案、差距评估、整改方案设计、系统整改建设、验收测评、定期评估等级保护服务工作。基于这些丰富的实施经验，深信服总结研发了等级保护知识库，充盈的知识库为等级保护实施工作提供强大的知识后盾。4. 深信服等级保护咨询服务资质作为国内信息安全等级保护工作的引领者和倡导者之一，深信服已经获得了等级保护咨询服务相关的资质。 信息安全服务资质 网络安全应急服务资质CNNVD技术支撑资质5. 深信服等级保护咨询服务团队介绍和案例5.1. 深信服等级保护咨询服务团队介绍深信服等级保护咨询服务团队组建于2011年，现共有65人左右，其中包括40人的咨询顾问团队和25人的安全攻防团队，其中顾问团队大多由主要由业界专家、国际咨询顾问公司及国内大型系统集成公司等人员组成，安全攻防团队由具有多年攻防安全研究的资深白帽子组成。公司多名顾问取得CISP、CCIE、COBIT、ITIL等业界相关认证, 并大多具有在大型机构从事IT咨询、IT运维、IT稽核的工作背景。公司多名顾问参与多项国家信息安全标准的撰写和审核,其中包括等级保护、风险评估等。等级保护咨询服务团队自成立以来，凭借领先的风险管理技术、丰富的等级保护咨询经验、专业化的人才优势及庞大的资源库，为客户提供量身定做专业的等级保护咨询服务，赢得了客户的高度赞誉和广泛的认可。5.2. 典型客户介绍国土资源部海关总署中央党校公安部某局最高人民法院国家质量监督检验总局水利部国家标准化委员会文化部最高人民检察院河北省政府芜湖市政府福建省统计局上海市公安局湖南省卫生厅河南省环保厅浙江省环保厅中国