联想网御：按需防御的等级保护

联想网御按需防御等级安全体系框架图

　　7月20日，公安部、国家保密局、国家密码管理局、国务院信息办等4部门在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级的工作。这次会议的召开再次表明了信息安全等级保护工作的重要性及国家主管部门对此的高度重视。联想网御公司作为国内信息安全企业的代表，直接参与了等级保护相关政策和标准的起草编制工作，并承担了国家电子政务信息安全的四个试点项目。基于多年来对国内信息安全建设的经验，联想网御独到地提出了“按需防御等级保护”的解决方案。

　　安全体系要等级化

　　国家实施等级保护的目标是通过等级保护的方法，依据信息系统的重要程度，以及系统被破坏后对国家安全、社会秩序、经济建设、公共利益造成的影响程度，对信息系统进行等级划分，明确各个系统的安全等级，从国家信息安全的高度找出安全等级最高、对国家最重要的信息系统，然后集中资源对这些系统进行重点保护。

　　对一个信息系统而言，安全保障措施需要做到什么程度才算安全？是不是有钱就要购买最高级的安全产品，没钱就不投入安全建设呢？是否需要过分强调安全的重要性而限制业务的发展呢？一个信息系统需要的安全措施强度是与该系统所承担的业务职能和系统重要性相关的，依据等级保护方法划分系统安全等级，再根据安全等级确定适当等级的安全措施，达到适度安全，才能真正做到合理的安全防护。

　　基于将等级化融合到安全保障体系设计的思想，联想网御提出了“等级化安全体系”的核心理念。该体系是依据国家信息安全等级保护制度，根据不同用户在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助用户构建一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

　　按需防御的等级保护

　　联想网御在总结实施国家电子政务等级保护试点经验的基础上，融合公司在电信、金融、电力等行业进行等级化安全体系咨询服务的经验，推出了按需防御的等级保护，使等级保护真正做到可实施、可操作。

　　按需防御的等级保护是联想网御推进安全建设的基本方法，它包含在联想网御最新的下一代安全架构(NSA)中。该方法以国家相关的法规标准为依据，以联想网御等级保护知识库和支撑平台为基础，形成了科学合理的安全规划、解决方案和系列安全服务，帮助用户构建等级安全体系，实现按需防御。

　　按需防御以满足不同类型信息系统和不断变化的信息系统安全需求为目标，构建按需防御的等级保护安全体系包括三个步骤。

　　第一步评估定级，定义安全需求。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整、准确的按需防御的安全需求。第二步体系建设，实现按需防御。通过体系设计制定等级方案，进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设，满足评估定级阶段形成的安全需求，实现按需防御。第三步安全运维，确保持续安全。通过安全预警、安全监控、安全加固、预防性维护、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。

　　依据按需防御的等级保护安全理念，联想网御设计了基于核心技术的等级保护服务组件，用于实现按需防御的等级安全体系。具体包括风险评估、系统定级、等级评估、等级安全体系规划设计、安全预警、安全监控、安全加固、安全审计、应急响应等。

　　目前，联想网御的按需防御等级保护解决方案已经在佛山市南海区电子政务等级保护等项目中得到了成功应用。