商用密码咨询

安全咨询服务

Security services

等级保护是我国在信息安全保障领域的一项基本制度,开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务,是企业义不容辞的信息安全义务。纳入等级保护监管范围的企业需要根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素进行定级及备案工作。

信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
 
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
 
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点, 在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。

《信息安全等级整改建议方案》
《系统风险及漏洞整改修复结果汇总》

商用密码应用安全性评估,简称“密评” ,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
《中华人民共和国密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。

密评的内容包括密码应用安全的三个方面:合规性、正确性和有效性。
商用密码应用合规性评估
商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
商用密码应用正确性评估
商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务部署应用是否正确。
商用密码应用有效性评估
商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。

密评定级备案咨询
参考相关国标、行标及行业主管单位下发的指导文件,协助用户确定测评系统边界,并明确定级标准与测评定级。协助完成《密评备案表》和《专家评审意见》等材料,完成系统测评备案流程。
密码应用差距分析
通过工具扫描和人工核查等安全测试方法,对被测系统进行安全风险评估、排查与差距分析,结合密码应用测评标准提供差距分析报告与整改实施建议。
密评建设方案支撑
根据《GB/T39786-2021 信息系统密码应用基本要求》等相关标准文件,结合行业特性要求、监管单位要求和密码安全业务需求进行密码应用方案设计与撰写,协助用户对方案进行机构评审或专家评审。
密评整改咨询指导
对系统密码应用设计与建设方案进行评估,梳理密码支撑能力建设合规性与合理性,提供密码应用支撑体系建设与实施难点咨询服务,指导用户开展密码合规性建设与密码服务运营。

《商用密码应用解决方案》
《商用密码应用实施方案》
《商用密码应用应急处置方案》

信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。通过对信息系统提供风险评估服务,可以系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件的危害程度,提出有针对性的威胁防护策略。

《中华人民共和国网络安全法》第十七条国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》国办发〔2019〕57号 第二十五条“国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。”

对当前的信息化环境从管理和技术上进行充分的信息安全风险评估,并依据风险评估结果制订相应的风险管控方案。具体建设内容包括:
1. 技术风险评估:
1)对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等进行安全风险评估;
2)对核心业务系统进行WEB安全、数据安全、业务逻辑安全风险评估;
3)对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估;
4)渗透模拟黑客可能使用的攻击技术和漏洞发现技术,对业务系统进行授权渗透测试,对目标系统进行深入的探测,以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。
2. 管理风险评估
1)采用调查访谈并结合实地考察的形式,对数据中心和核心系统的安全管理制度进行疏理和安全风险评估;
2)对业务管控制度和流程进行安全风险评估,采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程,试用流程中涉及的软件,察看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当,监督检查办法是否健全;
3. 信息安全风险管控方案
其于上述风险评估结果,针对具体的安全漏洞和风险设计管控方案,包括但不限于安全漏洞加固方案、信息安全管理规范优化提升方案、信息安全防护技术解决方案等。

GB/T 20984-2007《信息安全技术信息安全风险评估规范》
GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》
GB/T 20918-2007《信息技术软件生存周期过程风险管理》
GB/Z 24364-2009《信息安全技术信息安全风险管理指南》
GB/T 31722-2015《信息技术安全技术信息安全风险管理》
HS/T 28-2010《海关信息系统信息安全风险评估规范》
JR/T 0058-2010《保险信息安全风险评估指标体系规范》
MH/T 0040-2012《民用运输航空公司网络与信息系统风险评估规范》
DB44/T 2010-2017《云计算平台信息安全风险评估指南》
DB32/T 1439-2009《信息安全风险评估实施规范》

《系统信息安全风险评估服务方案》

信息安全规划咨询(Cybersecurity Consultation Service,CSCS)依据国家政策和国家信息安全标准,基于客户信息安全需求,提供企业信息安全规划与管理方面的安全咨询。安全咨询协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。

随着企业信息化水平的快速提升,信息系统的安全稳定运行,信息资产的安全保护将直接影响大型企业的生产、经营和管理活动的正常开展。开展信息安全规划,加强企业信息安全建设,保障信息系统安全、稳定、高效运行将是与IT规划同等重要的任务。

一、信息安全总体规划
    信息安全管理模式调查
    信息安全现状报告
    信息安全愿景规划
    信息安全管理架构设计
    信息安全技术架构设计
    信息安全专项规划
    信息安全规划实施路线图

二、信息安全管理体系规划
    企业信息安全风险评估方法
    整合的信息安全管理体系(ISO27000、等级保护体系、ISO2000融合)
    企业信息安全治理机制、组织结构设计
    企业信息安全管理制度规范
    企业信息安全精细化管理(流程化、指标化、工具化)
    企业IT审计体系

三、信息安全技术架构设计及专项规划
    信息安全总体技术架构设计
    信息安全架构实施标准
    网络分区分域与边界防护标准设计
    敏感数据保护方案设计
    数据安全解决方案设计
    ERP安全风险管控设计
    云安全解决方案设计
    集团移动办公与无线安全解决方案设计
    工业控制系统信息安全设计
    一体化Web安全防护方案设计
    灾备系统建设方案设计
    信息安全集中审计平台解决方案设计
    统一身份管理平台解决方案设计
    统一安全监测、预警平台解决方案设计等

四、信息安全管理辅助工具设计与选型建议
    集团型信息安全管理软件平台
    基于威胁情报的信息安全运维软件平台
    开发安全管理平台
    大数据安全分析软件平台
    数据防泄露DLP工具
    数据加密工具
    其他安全工具

五、信息安全服务
    企业信息安全服务能力设计
    企业信息安全培训体系设计
    企业信息安全年运维服务
    信息安全意识宣传年服务
    云计算模式的安全运维服务等

《网络信息安全规划方案》

信息系统运维服务包括,信息系统相关的主机设备、操作系统、数据库和存储设备及其他信息系统的运行维护与安全防范服务,保证用户现有的信息系统的正常运行,降低整体管理成本,提高网络信息系统的整体服务水平。同时根据日常维护的数据和记录,提供用户信息系统的整体建设规划和建议,更好的为用户的信息化发展提供有力的保障。

用户信息系统的组成主要可分为两类:硬件设备和软件系统。硬件设备包括网络设备、安全设备、主机设备、存储设备等;软件设备可分为操作系统软件、典型应用软件(如:数据库软件、中间件软件等)、业务应用软件等。

通过运行维护服务的有效管理来提升用户信息系统的服务效率,协调各业务应用系统的内部运作,改善网络信息系统部门与业务部门的沟通,提高服务质量。结合用户现有的环境、组织结构、资源和管理流程的特点,从流程、人员和技术三方面来规划用户的网络信息系统的结构。将用户的运行目标、业务需求与服务的相协调一致。

信息系统服务的目标是,对用户现有的信息系统基础资源进行监控和管理,及时掌握网络信息系统资源现状和配置信息,反映信息系统资源的可用性情况和健康状况,创建一个可知可控的环境,从而保证用户信息系统的各类业务应用系统的可靠、高效、持续、安全运行。
服务项目范围覆盖的信息系统资源以下方面的关键状态及参数指标:
      运行状态、故障情况
      配置信息
      可用性情况及健康状况性能指标
      统计运维数椐、提供信息系   统管理和工作报告、归纳总结并提供用户想了解的数椐报告

《信息系统运维服务咨询报告》

网络信息安全的运行和防护不仅关系到整个数据中心业务系统稳定运行,同时,由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,致使网络极易遭到黑客、恶性软件或非法授权的入侵与攻击。

鉴于数据信息的严肃性和敏感性,为了保障和加强系统安全,需要建设安全保障系统,满足信息安全等级保护的要求。使系统具有抵御和防范大规模、较强恶意攻击、较为严重的自然灾害、计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。

    网络安全设计要求:
    1、保证主要网络和通信线路冗余;
    2、保证网络各个部分的带宽满足业务高峰期需要;
    3、加强网络访问控制;
    主机安全设计要求:
    1、具有身份认证与标识、鉴别功能;
    2、控制用户对资源的访问权限;
    应用安全设计要求:
    1、对用户进行资源访问授权;
    2、通信完整性,通过哈希值、摘要保证通信完整性;
    3、通信保密性要求,通过专用的通信协议或加密的方式保证通信过程的加密性。
    4、系统提供完整的交易日志;
    数据安全设计要求
    1、保证数据完整性,保密性;
    2、提供完备的和切实可行的数据备份与恢复方案,以及切换演练和应急切换步骤。

《信息系统安全等级保护基本要求》GB/T22239-2008
《信息技术安全 信息系统等级保护安全设计技术要求》GB/T 25070-2010
《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006
《IT主流设备安全基线技术规范》(Q/CSG 11804-2010)
《信息系统应用开发安全技术规范》(Q/CSG 11805-2011)

《系统安全设计方案》