網(wǎng)絡(luò)安全等級保護(簡稱等保)是我國網(wǎng)絡(luò)安全保障工作的基本制度、基本策略和基本方法,已在全國范圍內(nèi)全面開展實施。《網(wǎng)絡(luò)安全法》明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度,從法律上為等級保護制度的落實提供了法理依據(jù)。
等級保護工作內(nèi)容包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查等環(huán)節(jié),工作內(nèi)容眾多且復(fù)雜,企業(yè)組織應(yīng)嚴(yán)格按照等保要求通過等級測評并在測評后實行安全運維管理,有效落實等級保護制度要求,做好安全保障工作,全面提升安全防護水平。
01 標(biāo)簽
等保管理、合規(guī)管理、安全運維、持續(xù)運營
02 用戶痛點
在等保2.0時代背景下,網(wǎng)絡(luò)安全呈現(xiàn)復(fù)雜化趨勢,對安全理念、技術(shù)、管理等均提出了更高要求,呈現(xiàn)標(biāo)準(zhǔn)化、體系化、常態(tài)化等特點,如何進行等保建設(shè)和通過等級測評,并在通過測評后按照等保要求進行有效運維管理與持續(xù)性改進成為用戶單位不得不面對的問題。當(dāng)前大部分的用戶單位開展等級保護工作主要依賴第三方安全服務(wù)機構(gòu)提供的等級保護相關(guān)服務(wù),但存在如下困擾:
無法全面了解等級保護體系:用戶單位雖然明白等級保護的意義,但是往往是知其然而不知其所以然??傮w上,對于等級保護標(biāo)準(zhǔn)體系的總體目標(biāo)、內(nèi)容構(gòu)成、工作方法及運作過程等知之甚少,難以真正領(lǐng)略等級保護標(biāo)準(zhǔn)體系的精髓,并真正運用到信息系統(tǒng)的建設(shè)及運維管理過程中。
難以識別并管理系統(tǒng)基本構(gòu)成:等保對象相關(guān)的資產(chǎn)構(gòu)成的邊界不清晰,同時內(nèi)部資產(chǎn)缺乏有效的梳理,導(dǎo)致在運行和管理過程中難以根據(jù)等保對象的構(gòu)成部分進行精細(xì)化的運維管控;
無法建立并跟蹤系統(tǒng)合規(guī)狀態(tài):通過第三方服務(wù)報告及技術(shù)文檔,無法簡單明了地了解等保對象的指標(biāo)差距、總體情況和具體項目,更不能通過這些文檔來跟蹤相關(guān)指標(biāo)差距項目的實時狀態(tài);
無法掌握系統(tǒng)的安全狀態(tài):用戶單位無法通過第三方服務(wù)文檔明確地掌握等保對象相關(guān)資產(chǎn)的脆弱性和高風(fēng)險項,對于總體安全狀態(tài),對整體的安全狀態(tài)沒有清晰,完整的認(rèn)識;
無法即時管控工作進度:等保建設(shè)工作屬于體系化、標(biāo)準(zhǔn)化、規(guī)范化等要求較高的工作,用戶單位在對等級保護工作內(nèi)容還未達到透徹了解的情況下,難以做到對等級保護工作進行合理、有力、規(guī)范的控制和管理。因此,在等級保護工作開展的過程中,用戶單位往往不能做到即時動態(tài)地管控等級保護工作內(nèi)容和工作進度的情況;
無法實施等保標(biāo)準(zhǔn)化管理:用戶單位在等級保護建設(shè)及運維工作中經(jīng)常存在以下問題:各種管理制度或多或少地缺失,未進行體系化的梳理與落實;雖通過第三方服務(wù)方式進行增補與修訂,但難以根據(jù)本單位的實際情況將制度系統(tǒng)地、規(guī)范地應(yīng)用到信息系統(tǒng)的日常管理之中,并規(guī)范有序地實施等級保護的標(biāo)準(zhǔn)化管理。
03 解決方案
基于網(wǎng)絡(luò)安全等級保護基本要求,結(jié)合行業(yè)用戶的業(yè)務(wù)目標(biāo)、技術(shù)和應(yīng)用場景等因素,中信網(wǎng)安面向用戶單位建立一套覆蓋基本信息、定級備案、建設(shè)整改、等級測評、安全自查、安全管理等全過程的綜合管理系統(tǒng),幫助用戶有序開展等級保護工作,落實各項安全保護管理制度和安全技術(shù)保護措施,建立體系化、標(biāo)準(zhǔn)化、規(guī)范化的管理體系,有效提升系統(tǒng)全生命周期的安全管理能力,達到如下目標(biāo):
全面、系統(tǒng)地了解等級保護標(biāo)準(zhǔn)體系;
識別并管理等級保護信息系統(tǒng)基本構(gòu)成;
建立并跟蹤等級信息系統(tǒng)合規(guī)狀態(tài);
直觀準(zhǔn)確地掌握信息系統(tǒng)安全狀態(tài);
即時動態(tài)地管理等級保護工作進度;
規(guī)范有序?qū)嵤┑燃壉Wo標(biāo)準(zhǔn)化管理。
等保工作狀態(tài)可視化
01 基本信息識別
華安星等級保護綜合管理系統(tǒng)(以下簡稱“系統(tǒng)”)自帶資產(chǎn)發(fā)現(xiàn)與識別能力,對用戶單位內(nèi)部的資產(chǎn)進行主動探測,全面識別包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、應(yīng)用資產(chǎn)、數(shù)據(jù)資產(chǎn)等在內(nèi)的各類資產(chǎn),同時輔以人工操作,明確以等保對象為中心的業(yè)務(wù)邊界,并對各類資產(chǎn)進行動態(tài)刻畫和標(biāo)識,在線動態(tài)構(gòu)建網(wǎng)絡(luò)拓?fù)浜瓦壿嬐負(fù)洌Ω黝愘Y產(chǎn)進行在線監(jiān)控,形成詳細(xì)的資產(chǎn)清單,為等保測評和日常運維提供基礎(chǔ)支撐。
02 合規(guī)管理
系統(tǒng)以等級保護為依據(jù),從定級、備案、建設(shè)整改、等級測評、安全自查等全過程進行有效管理,并在關(guān)鍵節(jié)點提供等保行業(yè)實踐模板和過程數(shù)據(jù)的歸集與管理,有效地引導(dǎo)并指導(dǎo)用戶單位掌控等保的全過程,幫助用戶單位掌握等保工作的進度、項目狀態(tài)和等保對象的合規(guī)與安全狀態(tài)。
03 制度管理
許多安全事件的發(fā)生都是由于管理制度的缺失或管理不到位所導(dǎo)致的,在具體落實管理制度的過程中,由于缺乏統(tǒng)一標(biāo)準(zhǔn)、分工不明確、人為操作不規(guī)范、管理與執(zhí)行過程缺乏記錄等問題,造成管理不合規(guī)并引發(fā)安全事件風(fēng)險。根據(jù)系統(tǒng)內(nèi)置各類安全管理制度實踐模板,用戶可結(jié)合自身業(yè)務(wù)情況建立符合自身安全需求的各類管理制度,并將管理制度落實電子化、標(biāo)準(zhǔn)化、流程化,在提高工作效率的同時,保障管理制度的有效落地,提高安全管理水平。
04 持續(xù)運營
隨著業(yè)務(wù)、環(huán)境等因素的變化,等保指標(biāo)也會隨之動態(tài)變化,等保合規(guī)并不意味著安全建設(shè)的結(jié)束,而往往是新的安全建設(shè)的開始,需結(jié)合自身業(yè)務(wù)進行安全管理和運營。系統(tǒng)提供了內(nèi)建的符合等級保護安全管理基本要求的管理體系和安全運維管理的最佳實踐模板,用戶可結(jié)合自身情況,圍繞安全管理制度建立歸一化流程、記錄一體化運行管理。
此外系統(tǒng)提供豐富的接口,支持對各類設(shè)備的日志實時采集,對各類資產(chǎn)進行運行監(jiān)控、脆弱性與合規(guī)性監(jiān)測,并進行關(guān)聯(lián)分析,匹配安全自查、監(jiān)督檢查、通報預(yù)警機制,當(dāng)出現(xiàn)安全異常安全事件時,能夠快速評估并進行響應(yīng)處置。
04 用戶反饋
通過應(yīng)用華安星等級保護綜合管理系統(tǒng),對本單位9個等保對象相關(guān)的資產(chǎn)進行全面發(fā)現(xiàn),并輔以人工識別確定業(yè)務(wù)邊界,完成資產(chǎn)全面梳理,并以此為基礎(chǔ),對等保工作過程進行全流程管理,建立等保臺賬和標(biāo)準(zhǔn)化運營管理體系,實現(xiàn)各參與角色的標(biāo)準(zhǔn)化持續(xù)性運維,降低了合規(guī)測評與日常運維過程中可能出現(xiàn)的人為等因素的安全風(fēng)險。
——某三甲醫(yī)院
華安星等級保護綜合管理系統(tǒng)對本單位的30余個等保對象進行全過程管理,通過系統(tǒng)對網(wǎng)絡(luò)安全等級保護工作參與的各角色進行統(tǒng)一的管理,建立了統(tǒng)一的管理體系。同時通過內(nèi)置的標(biāo)準(zhǔn)化接口實現(xiàn)與漏洞工具的對接,匹配安全通報模塊,出現(xiàn)異常安全事件時,能進行及時通報預(yù)警、整改、處置與響應(yīng),實現(xiàn)了安全事件的閉環(huán)管理。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<