前面我們將安全設計與實施看了一遍，接下來我們則進入安全運行與維護，如圖所示進入第四層左側部分安全運行與維護。有關右側部分應急響應與保障另文說明之，應急這塊在《網絡安全法》中有第二十五條單獨進行規(guī)范，所以也是非常重要的一個工作。完成上個階段實施后，就進入運行和維護階段，這是網絡生命周期的工作常態(tài)。

　　該階段的目標是按照等級保護對象安全運行與維護是等級保護實施過程中確保等級保護對象正常運行的必要環(huán)節(jié)，涉及的內容較多，包括安全運行與維護機構和安全運行與維護機制的建立，環(huán)境、資產、設備、介質的管理，網絡、系統(tǒng)的管理，密碼、密鑰的管理，運行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計和安全檢查等內容。圖片

　　這些內容在《網絡安全等級保護基本要求》中，涉及從技術到管理眾多測評項。我一再說，落實等級保護工作從規(guī)劃已經開始，而不是測評才開始。從規(guī)劃開始就遵循“三同步”原則叫安全建設；測評完成后，發(fā)現的安全問題叫安全整改。等級測評后發(fā)現的有很多問題是在安全規(guī)劃之初因對安全工作了解不深入不全面，遺留問題。安全建設過程中未考慮周全的地方，在安全整改過程中也是一個補救過程。安全建設整改最終目的是提升網絡安全綜合防護水平和能力。

　　做過網絡安全等級保護測評的朋友，對安全運行與維護應該比較熟悉了。對于扎實開展了規(guī)劃設計實施的朋友其實對這塊應該更熟悉。這涉及到運行管控、變更管控、狀態(tài)監(jiān)控、服務商管控、等級測評、檢查改進等幾部分內容。接下來我們將展開探討：

　　第一階段：運行管理和控制

　　該階段又可以由運行管理職責確定、運行管理過程控制兩部分內容構成。

　　運行管理職責確定是需要輸入安全詳細設計方案，安全組織機構表，根據劃分運行管理角色、授予管理權限、定義人員職責，通過對運行管理活動或任務的角色劃分，并授予相應的管理權限，來達到確定安全運行管理的具體人員和職責的目標。應至少劃分為系統(tǒng)管理員、安全管理員和安全審計員。最終輸出運行管理人員角色和職責表。

　　劃分運行管理角色應注意：根據管理制度和實際運行管理需求，劃分運行管理需要的角色及用戶，并由系統(tǒng)管理員創(chuàng)建角色及用戶。越高安全保護等級的運行管理角色劃分越細。

　　授予管理權限應注意：根據管理制度和實際運行管理需要，由安全管理員授予每一個運行管理角色及用戶不同的管理權限。安全保護等級越高的系統(tǒng)管理權限的劃分也越細。

　　定義人員職責應注意：根據不同的安全保護等級要求的控制粒度，分析所需要運行管理控制內容，并以此定義不同運行管理角色的職責。由安全審計員對系統(tǒng)管理員、安全管理員操作日志進行審計。

　　運行管理過程控制是需要輸入運行管理需求，運行管理人員角色和職責表。通過制定運行管理操作規(guī)程，確定運行管理人員的操作目的、操作內容、操作時間和地點、操作方法和流程等，并進行操作過程記錄，確保對操作過程進行控制。最終輸出各類運行管理操作規(guī)程。

　　建立操作規(guī)程應注意：將操作過程或流程規(guī)范化，并形成指導運行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。操作規(guī)程應至少覆蓋運維人員、使用用戶等的各類操作，如：移動介質使用規(guī)程、終端使用規(guī)程、數據庫操作規(guī)程等。安全保護等級越高的系統(tǒng)，對更多的操作要形成操作規(guī)程文件。

　　操作過程記錄應注意：對運行管理人員按照操作規(guī)程執(zhí)行的操作過程形成相關的記錄文件，可能是日志文件，記錄操作的時間和人員、正常或異常等信息。

　　這個階段的工作是由運營、使用單位完成。

　　第二階段：變更管理和控制

　　該階段又可以由變更需求和影響分析、變更過程控制兩部分內容構成。

　　變更需求和影響分析是需要輸入變更需求，通過對運行與維護過程中的變更需求和變更影響的分析，來確定變更的類別，計劃后續(xù)的活動內容。最終形成變更方案。

　　變更需求分析應注意：對運行與維護過程中的變更需求進行分析，確定變更的內容、變更資源需求和變更范圍等，判斷變更的必要性和可行性。

　　變更影響分析應注意：對運行與維護過程中的變更可能引起的后果進行判斷和分析、確定可能產生的影響大小、確定進行變更的先決條件和后續(xù)活動等。

　　明確變更的類別應注意：確定等級保護對象是局部調整還是重大變更。如果是由等級保護對象類型發(fā)生變化、承載的信息資產類型發(fā)生變化、等級保護對象服務范圍發(fā)生變化和業(yè)務處理自動化程度發(fā)生變化等原因引起等級保護對象安全保護等級發(fā)生變化的重大變更，則需要重新確定等級保護對象安全保護等級，返回到等級保護實施過程的等級保護對象定級階段。如果是局部調整，則確定需要配套進行的其他工作內容。

　　制定變更方案則需要依據上面變更需求分析、變更影響分析、明確變更的類別進行方案開發(fā)。

　　變更過程控制是需要輸入變更方案，通過變更內容審核和審批、建立變更過程日志、形成變更結果報告，確保運行與維護過程中的變更實施過程受到控制，各項變化內容進行記錄，保證變更對業(yè)務的影響最小。最終輸出并更結果報告。

　　變更內容審核和審批應注意：對變更目的、內容、影響、時間和地點以及人員權限進行審核，以確保變更合理、科學的實施。按照機構建立的審批流程對變更方案進行審批。

　　建立變更過程日志應注意：按照批準的變更方案實施變更，對變更過程各類系統(tǒng)狀態(tài)、各種操作活動等建立操作記錄或日志。

　　形成變更結果報告應注意：收集變更過程的各類相關文檔，整理、分析和總結各類數據，形成變更結果報告，并歸檔保存。

　　這個階段的工作是由運營、使用單位完成。

　　第三階段：安全狀態(tài)監(jiān)控

　　該階段又可以由監(jiān)控對象確定、監(jiān)控對象狀態(tài)信息收集、監(jiān)控狀態(tài)分析和報告三部分內容構成。

　　監(jiān)控對象確定需要輸入安全詳細設計方案，系統(tǒng)驗收報告等，通過對安全關鍵點分析、形成監(jiān)控對象列表，確定可能會對等級保護對象安全造成影響的因素，即確定安全狀態(tài)監(jiān)控的對象。最終輸出監(jiān)控列表。

　　安全關鍵點分析應注意：對影響系統(tǒng)、業(yè)務安全性的關鍵要素進行分析，確定安全狀態(tài)監(jiān)控的對象，這些對象可能包括防火墻、人侵檢測、防病毒、核心路由器、核心交換機、主要通信線路、關鍵服務器或客戶端等系統(tǒng)范圍內的對象；也可能包括安全標準和法律法規(guī)等外部對象。

　　形成監(jiān)控對象列表應注意：根據確定的監(jiān)控對象，分析監(jiān)控的必要性和可行性、監(jiān)控的開銷和成本等因素，形成監(jiān)控對象列表。

　　監(jiān)控對象狀態(tài)信息收集需要輸入監(jiān)控對象列表，通過選擇監(jiān)控工具、狀態(tài)信息收集，收集安全狀態(tài)監(jiān)控的信息，識別和記錄入侵行為，對等級保護對象的安全狀態(tài)進行監(jiān)控。最終輸出安全狀態(tài)信息。

　　選擇監(jiān)控工具應注意：根據監(jiān)控對象的特點、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點等，選擇合適的監(jiān)控工具。

　　監(jiān)控工具也可能不是自動化的工具，而只是由各類人員構成的，遵循一定規(guī)則進行操作的組織或者是兩者的綜合。

　　狀態(tài)信息收集應注意：收集來自監(jiān)控對象的各類狀態(tài)信息，可能包括網絡流量、日志信息、安全報警和性能狀況等；或者是來自外部環(huán)境的安全標準和法律法規(guī)的變更信息。

　　監(jiān)控狀態(tài)分析和報告需要輸人安全狀態(tài)信息，通過對安全狀態(tài)信息進行分析，及時發(fā)現安全事件或安全變更需求，并對其影響程度和范圍進行分析，形成安全狀態(tài)結果分析報告。最終輸出安全狀態(tài)分析報告。

　　狀態(tài)分析應注意：對安全狀態(tài)信息進行分析，及時發(fā)現險情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢。

　　影響分析應注意：根據對安全狀況變化的分析，分析這些變化對安全的影響，通過判斷他們的影響決定是否有必要作出響應。

　　形成安全狀態(tài)分析報告應注意：根據安全狀態(tài)分析和影響分析的結果，形成安全狀態(tài)分析報告，上報安全事件或提出變更需求。

　　這個階段的工作是由運營、使用單位完成。

　　第四階段：安全自查和持續(xù)改進

　　該階段又可以由安全狀態(tài)自查、改進方案制定、安全改進實施三部分內容構成。

　　安全狀態(tài)自查需要輸入等級保護對象詳細描述文件、變更結果報告、安全狀態(tài)分析報告，通過對等級保護對象的安全狀態(tài)進行自查，為等級保護對象的持續(xù)改進過程提供依據和建議，確保等級保護對象的安全保護能力滿足相應等級安全要求。安全自查報告。最終輸出安全自查報告。這點需要給大家強調一下，其實公安機關每年都有安全監(jiān)督檢查，其前期階段也是需要各單位進行安全自查，在這個過程中可以把工作做在平時，以便更好的應對公安機關要求以及自查后的臨檢工作。

　　確定自查對象和自查方法應注意：確定檢查的對象和方法，確定本次安全自查的范圍及安全自查工具、調研表格等。

　　制定自查計劃和自查方案應注意：確定自查工作的角色和職責，確定自查工作的方法，成立安全自查工作組。制定安全自查工作計劃和安全自查方案，說明安全自查的范圍、對象、工作方法等，準備安全自查需要的各類表單和工具。

　　安全自查實施應注意：根據安全自查計劃，通過詢問、檢查和測試等多種手段，進行安全狀況自查，記錄各種自查活動的結果數據，分析安全措施的有效性、安全事件產生的可能性和定級對象的實際改進需求等。

　　安全自查結果和報告應注意：總結安全自查的結果，提出改進的建議，并產生安全自查報告。將安全自查過程的各類文檔、資料歸檔保存。

　　改進方案制定需要輸入安全自查報告，依據安全檢查的結果，調整等級保護對象的安全狀態(tài)，保證等級保護對象安全防護的有效性。最終輸出安全改進方案。

　　在這里，再多說一句。很多單位在等級保護測評結束后，公安機關要求限期整改，感覺到疑惑。網絡安全工作開展的目標和態(tài)度如果正確了，其實這點理論上沒有什么可以感覺疑惑的，網絡安全最終的目標或目的是達到整體安全。工作目標和目的在，與公安機關要求理論上沒關系，而是應該主動完成整改工作。不然，你的安全工作做得是什么呢？難道只是別人給你評一個分數嗎？這只是面子問題，沒有解決里子存在的問題。

　　安全改進的立項應注意：根據安全檢查結果確定安全改進的策略，如果涉及安全保護等級的變化，則應進入安全保護等級保護實施的一個新的循環(huán)過程；如果安全保護等級不變，但是調整內容較多、涉及范圍較大，則應對安全改進項目進行立項，重新開始安全實施/實現過程；如果調整內容較小，則可以直接進行安全改進實施。

　　制定安全改進方案應注意：確定安全改進的工作方法、工作內容、人員分工、時間計劃等，制定安全改進方案。安全改進方案只適用于小范圍內的安全改進，如安全加固、配置加強、系統(tǒng)補丁等。

　　安全改進實施需要輸入安全改進方案，通過安全方案實施控制、安全措施測試與驗收、配套技術文件和管理制度的修訂，保證按照安全改進方案實現各項補充安全措施，并確保原有的技術措施和管理措施與各項補充的安全措施一致有效地工作。最終輸出測試或驗收報告。按照安全改進方案實施和落實各項補充的安全措施后，要調整和修訂各類相關的技術文件和管理制度，保證原有體系完整性和一致性。

　　這個階段的工作是由運營、使用單位完成。

　　第五階段：服務商管理和監(jiān)控

　　該階段又可以由服務商選擇、服務商管理、服務商監(jiān)控三部分內容構成。

　　服務商選擇需要輸入安全詳細設計方案，實施方案等，通過對安全服務商服務能力分析、網絡安全風險分析、服務內容互斥分析，來確定符合國家規(guī)定或行業(yè)規(guī)定的設計、測評、建設資質的服務商，為后續(xù)的管理和監(jiān)控奠定基礎。最終輸出已選擇的服務商，安全服務方案。這方面屬于我們常規(guī)中說的供應鏈安全，作為網絡運營、使用單位應該慎重選擇安全服務機構，以免為單位引入新風險。

　　服務能力分析應注意：從影響系統(tǒng)、業(yè)務安全性等關鍵要素層面分析服務商服務能力，根據國家招投標相關要求，選擇最佳服務商，這些要素可能包括服務商的基本情況、企業(yè)資質和人員資質、信譽、技術力量和行業(yè)經驗、內部控制和管理能力、持續(xù)經營狀況、服務水平及人員配備情況等。

　　網絡安全風險分析應注意：在選擇服務商時，需要識別服務商的網絡安全風險，防止高風險、不合格服務商承擔安全運行維護項目，網絡安全風險點包括但不限于以下幾點：

　　——服務商可能的泄密行為；

　　——服務商服務能力及行業(yè)經驗；

　　——物理訪問、信息資料丟失、系統(tǒng)越權訪問、誤操作等；

　　——服務商企業(yè)資質、人員資質及網絡安全口碑、業(yè)績；

　　——服務商以往服務項目案例。

　　服務內容互斥分析應注意：在選擇服務商時，需要識別服務商提供的服務與之前或后續(xù)提供的服務之間沒有互斥性。承擔等級保護對象安全建設服務的機構應具備等級保護安全建設服務機構資質。承擔等級測評服務的機構具備等級測評機構資質。

　　服務商管理需要輸入已選擇的服務商，安全服務方案，通過人員管理、服務管理，從而對服務商從多維度進行切實有效管理，使得服務商在約定范圍內開展服務工作。

　　人員管理應注意：為確保服務商服務工作符合約定要求，使用單位對服務人員的管理措施應至少包括但不限于：

　　——使用單位需制定服務商人員管理規(guī)定，包含但不限于上崗資質審核機制、保密協(xié)議、品行管理、服務技能考核、行為管理、系統(tǒng)權限管理、口令管理等。

　　——使用單位負責對服務商核心人員的確定和變更進行備案。

　　——服務商人員在為使用單位提供服務的過程中，嚴格遵守使用單位的各項規(guī)定、管理要求，服從使用單位安排。

　　——如因服務商人員原因，給使用單位或第三方造成人員人身傷害或財產損失的，服務商應承擔賠償責任。

　　——使用單位督促服務商對服務人員開展培訓及安全教育工作。

　　服務管理應注意：為確保服務商服務工作符合約定要求，服務商應滿足但不限于：

　　——服務商提供齊全進場相關資料（如企業(yè)資質、人員資質、人員名單、物資資料等），并接受使用單位的審核。

　　——服務商基本信息發(fā)生變更，如：法人、單位名稱、銀行賬戶等，應提前通知使用單位。

　　——按照約定要求服務商提供各項服務，保質保量完成服務目標；如因服務商未完成服務目標給使用單位造成損失的，應予賠償。

　　——服務商確保所提供服務不存在任何侵犯第三方著作權、商標權、專利權等合法權益的情形；服務商保護好對服務過程中產生的研究成果及知識產權，未經使用單位許可，服務商不得以任何形式向任何第三方轉讓權利義務。

　　——服務商提供項目驗收和考核的相關材料，配合使用單位組織開展項目結題驗收和考核工作。

　　——使用單位根據約定的售后服務內容及標準，實時跟蹤服務商售后服務考核情況，作為后續(xù)服務商選擇參考。

　　服務商監(jiān)控需要輸入服務商日常服務記錄，安全服務方案，通過對服務商及其人員在服務過程中的行為進行有效監(jiān)控，若發(fā)現不合規(guī)行為，限時保質整改，確保服務商服務工作持續(xù)、規(guī)范、高效。最終輸出服務商分析評價報告。

　　在選擇安全服務商過程中，需要注意包含但不限于以下注意事項：

　　——使用單位負責組織制定服務評審標準及辦法，并依據辦法對服務質量進行評審；服務商應接受使用單位對其提供服務情況進行的監(jiān)督和檢查，并應及時按照使用單位要求對所提供的服務進行改進或調整，使服務質量符合使用單位要求。

　　——使用單位對服務商日常工作進行指導，當發(fā)現服務商工作中存在問題時，要求服務商及時糾正，因服務商原因（故意或過失）給使用單位造成損失的，服務商應承擔全部賠償責任。

　　——使用單位監(jiān)管項目進展情況期間，對于重大情況服務商應及時主動報告。

　　——使用單位負責對服務商人員定期進行考核評價，考核方式可采用日常考核、季度考核和年度考核，也可采用適合使用單位的考核方式；如發(fā)生嚴重違反合作原則、傷害使用單位利益、影響服務質量等行為，使用單位有權隨時向服務商提出人員撤換要求。

　　——服務過程中，服務商如因正當理由需要調整、變更人員的，應提前通知使用單位，做好工作交接，并獲得使用單位同意后方可進行。

　　這個階段工作主要由運營、使用單位，網絡安全服務機構等共同完成。

　　第六個階段：等級測評

　　該階段需要輸入等級保護對象詳細描述文件、等級保護對象安全保護等級定級報告、系統(tǒng)驗收報告等文件，通過網絡安全等級測評機構對已經完成等級保護建設的等級保護對象定期進行等級測評，確保等級保護對象的安全保護措施符合相應等級的安全要求。最終輸出安全等級測評報告，整改需求。所以測評結束之后測評報告必不可少，另外安全整改需求也是必須，整改工作也是本文第五階段持續(xù)改進所強調的內容。

　　在此階段，網絡安全等級測評機構依據有關等級保護對象安全保護等級測評的規(guī)范或標準對等級保護對象開展等級測評。運營、使用單位參考等級測評出具的安全等級測評報告，分析確定整改需求。

　　這個階段是現階段所有單位最熟知的一個階段，也就是很多行業(yè)有硬性指標，要求所謂“過等保”。

　　這個階段工作主要由主管部門，運營、使用單位，網絡安全等級測評機構等共同完成。