說起等保大家可能都不陌生，前年的時(shí)候鬧的比較兇，去年貌似動(dòng)靜不大，據(jù)說今年又開始轟轟烈烈實(shí)施了。今天一直在想弄一個(gè)基于等級(jí)保護(hù)的安全解決方案，不妥之處還請大家一起討論。

解決方案的整體思路為 現(xiàn)狀分析 ---> 差距分析 --> 需求分析 --> 安全規(guī)劃 ，簡單來說先分析企業(yè)的安全現(xiàn)狀，再分析目前企業(yè)的現(xiàn)狀與等級(jí)保護(hù)的一個(gè)差距，由差距我們得到需求，由需求最后得出企業(yè)在未來 3- 5 年內(nèi)的安全解決方案。

1、概述

為了加強(qiáng)對(duì)國家信息系統(tǒng)的保密管理，確保信息安全，國家明確提出了信息系統(tǒng)的建設(shè)使用單位必須根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)分等級(jí)實(shí)施保護(hù)。
2007 年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》。《辦法》將信息系統(tǒng)的安全保護(hù)等 級(jí)分為以下五級(jí)：

◆ 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 造成損害，但不損害國家安全、社會(huì)秩序和公共利益。
◆ 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安 全。
◆ 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害， 或者對(duì)國家安全造成損害。
◆ 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重 損害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。
◆ 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。

根據(jù)對(duì)等級(jí)保護(hù)要求的理解，我們設(shè)計(jì)了基于等級(jí)保護(hù)的安全解決方案，方案主要分為 4 個(gè)階段來進(jìn)行：

◆ 現(xiàn)狀評(píng)估：分析信息安全現(xiàn)狀；
◆ 差距分析：識(shí)別企業(yè)目前的安全現(xiàn)狀與等級(jí)保護(hù)之間的差距；
◆ 需求分析：確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求；
◆ 安全規(guī)劃：規(guī)劃未來 3-5年內(nèi)的需要實(shí)施的安全項(xiàng)目。


2、信息安全現(xiàn)狀分析

    等級(jí)保護(hù)自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。”
具體框架結(jié)構(gòu)如圖所示：

根據(jù)以上等級(jí)保護(hù)的基本框架，我們分析 XXXX 目前在 物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、安全管理等幾方面目前的安全現(xiàn)狀。

   2.1、物理安全

        //分析目前物理安全的現(xiàn)狀

  2.2、網(wǎng)絡(luò)安全

        //分析目前網(wǎng)絡(luò)安全的現(xiàn)狀

  2.3、主機(jī)系統(tǒng)安全

        //分析目前主機(jī)系統(tǒng)安全的現(xiàn)狀

  2.4、應(yīng)用安全

        //分析目前應(yīng)用安全的現(xiàn)狀

  2.5、數(shù)據(jù)安全

        //分析目前數(shù)據(jù)安全的現(xiàn)狀

  2.6、安全管理

        //分析目前安全管理的現(xiàn)狀

3、差距分析

差距分析章節(jié)主要是通過訪談或問卷的方式來分析企業(yè)目前和等級(jí)保護(hù)之間的差距，并進(jìn)行評(píng)分，由此得出企業(yè)等級(jí)保護(hù)的符合度。

   3.1、物理安全


    ● 問題總數(shù)是根據(jù)《信息安全等級(jí)保護(hù)考核管理具體指標(biāo)》來進(jìn)行分析的；
    ● 有效問題總數(shù)是根據(jù)不同的等級(jí)來適用不同的要求或要求的強(qiáng)度的不同；
    ● 滿分是根據(jù)問題總數(shù) * 3 來得到的。
    ● 評(píng)分標(biāo)準(zhǔn)：
         ■ 全部符合為 3 分
         ■ 部分符合為 1 分
         ■ 不符合為   0 分
    ● 實(shí)際得分是根據(jù)企業(yè)的實(shí)際情況，結(jié)合上述的評(píng)分標(biāo)準(zhǔn)得出的。


   3.2、網(wǎng)絡(luò)安全

       // 分析方法同上

  3.3、主機(jī)系統(tǒng)安全

         // 分析方法同上

  3.4、應(yīng)用安全

         // 分析方法同上

  3.5、數(shù)據(jù)安全

         // 分析方法同上

  3.6、安全管理

         // 分析方法同上

4、需求分析

需求分析主要也是從幾個(gè)方面來展開說明，如主機(jī)層面、網(wǎng)絡(luò)層面、終端、管理等等，需求分析主要針對(duì)上述的差距來得到的，分析企業(yè)目前存在的差距應(yīng)當(dāng)怎樣來解決，這就引出了需求。（PS：涉及面較廣，就不一一介紹了）

5、安全規(guī)劃

安全規(guī)劃部分就是在我們得到了企業(yè)的需求之后，提出的后期的一個(gè)解決方案，方案可分三期來進(jìn)行，解決方案主要圍繞人、技術(shù)、管理、產(chǎn)品來進(jìn)行，譬如購買產(chǎn)品、人員的培訓(xùn)、管理體系的完善、制度的完善等。此部分設(shè)計(jì)的篇幅較大，我這里只提下基本的綱要，就不一一敘述了。