說起等保大家可能都不陌生，前年的時候鬧的比較兇，去年貌似動靜不大，據(jù)說今年又開始轟轟烈烈實施了。今天一直在想弄一個基于等級保護的安全解決方案，不妥之處還請大家一起討論。

解決方案的整體思路為 現(xiàn)狀分析 ---> 差距分析 --> 需求分析 --> 安全規(guī)劃 ，簡單來說先分析企業(yè)的安全現(xiàn)狀，再分析目前企業(yè)的現(xiàn)狀與等級保護的一個差距，由差距我們得到需求，由需求最后得出企業(yè)在未來 3- 5 年內(nèi)的安全解決方案。

1、概述

為了加強對國家信息系統(tǒng)的保密管理，確保信息安全，國家明確提出了信息系統(tǒng)的建設(shè)使用單位必須根據(jù)分級保護管理辦法和有關(guān)標準，對信息系統(tǒng)分等級實施保護。
2007 年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安全等級保護管理辦法》?！掇k法》將信息系統(tǒng)的安全保護等 級分為以下五級：

◆ 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益 造成損害，但不損害國家安全、社會秩序和公共利益。
◆ 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益 產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安 全。
◆ 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害， 或者對國家安全造成損害。
◆ 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重 損害，或者對國家安全造成嚴重損害。
◆ 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

根據(jù)對等級保護要求的理解，我們設(shè)計了基于等級保護的安全解決方案，方案主要分為 4 個階段來進行：

◆ 現(xiàn)狀評估：分析信息安全現(xiàn)狀；
◆ 差距分析：識別企業(yè)目前的安全現(xiàn)狀與等級保護之間的差距；
◆ 需求分析：確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求；
◆ 安全規(guī)劃：規(guī)劃未來 3-5年內(nèi)的需要實施的安全項目。


2、信息安全現(xiàn)狀分析

    等級保護自上而下分別為：類、控制點和項。其中，類表示《信息系統(tǒng)安全等級保護基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關(guān)鍵控制點，如物理安全大類中的“物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項，如“機房出入應(yīng)安排專人負責(zé)，控制、鑒別和記錄進入的人員?！?BR>具體框架結(jié)構(gòu)如圖所示：

根據(jù)以上等級保護的基本框架，我們分析 XXXX 目前在 物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、安全管理等幾方面目前的安全現(xiàn)狀。

   2.1、物理安全

        //分析目前物理安全的現(xiàn)狀

  2.2、網(wǎng)絡(luò)安全

        //分析目前網(wǎng)絡(luò)安全的現(xiàn)狀

  2.3、主機系統(tǒng)安全

        //分析目前主機系統(tǒng)安全的現(xiàn)狀

  2.4、應(yīng)用安全

        //分析目前應(yīng)用安全的現(xiàn)狀

  2.5、數(shù)據(jù)安全

        //分析目前數(shù)據(jù)安全的現(xiàn)狀

  2.6、安全管理

        //分析目前安全管理的現(xiàn)狀

3、差距分析

差距分析章節(jié)主要是通過訪談或問卷的方式來分析企業(yè)目前和等級保護之間的差距，并進行評分，由此得出企業(yè)等級保護的符合度。

   3.1、物理安全


    ● 問題總數(shù)是根據(jù)《信息安全等級保護考核管理具體指標》來進行分析的；
    ● 有效問題總數(shù)是根據(jù)不同的等級來適用不同的要求或要求的強度的不同；
    ● 滿分是根據(jù)問題總數(shù) * 3 來得到的。
    ● 評分標準：
         ■ 全部符合為 3 分
         ■ 部分符合為 1 分
         ■ 不符合為   0 分
    ● 實際得分是根據(jù)企業(yè)的實際情況，結(jié)合上述的評分標準得出的。


   3.2、網(wǎng)絡(luò)安全

       // 分析方法同上

  3.3、主機系統(tǒng)安全

         // 分析方法同上

  3.4、應(yīng)用安全

         // 分析方法同上

  3.5、數(shù)據(jù)安全

         // 分析方法同上

  3.6、安全管理

         // 分析方法同上

4、需求分析

需求分析主要也是從幾個方面來展開說明，如主機層面、網(wǎng)絡(luò)層面、終端、管理等等，需求分析主要針對上述的差距來得到的，分析企業(yè)目前存在的差距應(yīng)當(dāng)怎樣來解決，這就引出了需求。（PS：涉及面較廣，就不一一介紹了）

5、安全規(guī)劃

安全規(guī)劃部分就是在我們得到了企業(yè)的需求之后，提出的后期的一個解決方案，方案可分三期來進行，解決方案主要圍繞人、技術(shù)、管理、產(chǎn)品來進行，譬如購買產(chǎn)品、人員的培訓(xùn)、管理體系的完善、制度的完善等。此部分設(shè)計的篇幅較大，我這里只提下基本的綱要，就不一一敘述了。