• 总部联系方式    

    总部电话:021-51212121

    总部传真:021-51212480(自动)/021-51212481(人工)

    服务热线:400-628-6280

    邮箱:support@huagai.com

    地址:上海市静安区江场西路299弄中铁中环时代广场4号楼4层

    邮编:200436

    路线图:

  • 等保安全建设解决方案 浏览次数:997 次   浏览时间:2018/11/15 17:05:12
  • 需求分析:

           随着互联网的快速发展,计算机应用已经成为了企业高效办公的主要工具之一,而随着共享经济时代/互联网时代的来临,不同系统的数据共享和数据传递也成为了企业信息应用中不可缺少的一部分,应用系统数量的增加,数据流通规则的复杂增加了管理的难度和安全风险。因此,全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起正式施行《中华人民共和国网络安全法》(后文中简称“网络安全法”),以保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。而在网络安全法第二十一条中提到国家实行网络安全等级保护制度;第三十一条提出关键信息基础设施在网络安全等级保护制度的基础上实行重点保护,同时鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系——网络安全等级保护体系。

     

    解决方案目的:

           等保解决方案是贯穿网络安全等级保护体系建设生命周期的整体解决方案,以帮助各单位/企业更好的执行网络安全法中提到的网络安全等级保护体系,在满足国家法律法规,行业标准及规范的基础上持续不断改进、加强应用系统网络安全防护,做到符合单位政策,通过国家检查,保障网络保密性、完整性和可用性。


    解决方案原理及实施简述:

           为了达到等保解决方案的最终目的,满足国家、法律、行业、单位自身的网络安全要求,将目标分解后得出,首先满足法律法规要求(法律法规要求可视为基础安全基线);法律法规的安全基线中又包含了网络安全等级保护(简称等保基线);行业要求一般根据不同行业都不相同,例如医疗行业中,社保有要求禁止社保接入网络与互联网物理相连,而行业要求一般与上级主管单位有关,有相关的文件支持(简称行业基线);最后每单位/企业都有不同的自身要求,比如最近调研某汽车公司时,他们的要求是安全目标对标福特汽车,甚至有些单位/企业会提出要求认证某个体系(简称企业基线)。这些基线被分析/分解后可以变成对应可量化的实施动作(与风险相关的基线无法进行精准的分解),这些实施动作不外乎硬件、技术、管理这三大类,而这些实施在执行后所能证明有效,并确实满足各种要求,即实施的结果或整个解决方案的产出物就是等保测评报告和风险评估报告。




           而如上图所示大多数的要求都可能直指等保基线,所以在等保解决方案中会以持续完成等保测评并可以每年拿到等保测评报告(等保三级要求每年进行一次测评)为目标进行整体的方案设计,而风险评估将会成为增值服务部分进行额外的说明和计划。

          根据整个等保体系建设生命周期进行拆分,大致可分为五个步骤,分别为“系统定级”、“安全规划设计”、“安全实施/实现”、“安全运行管理”和“通过等保测评”



           在等保解决方案中,首先会根据上文中大模块进行需求分析,法律要求,公安要求为主,行业要求和单位自身要求为副,将需求拆分成具体的基线,属于等保的部分即可进入等保定级的环节,将基线内容量化,而不属于等保的部分将法律和公安要求作为提醒及记录项保存,在等保解决方案执行时作为基线标准的一部分提出,而行业及单位要求作为风险评估项目进行。

           系统定级:等保定级分为两个维度,系统中断影响(偏可用性)和数据破坏影响(保密性、完整性),根据这两个维度对不同客体的影响进行判定等保系统等级(如下图),等保定级跟随两个维度的高级别进行定级。



           安全规划设计:在这个环节中,等保解决方案采取了1+1的建设模式,即1名专家+一名项目经理,由专家进行需求的深层分析,包括业务影响程度分析(BIA)的排列,将单位/企业的系统进行优先级排序,找到最重要的应用系统,然后进行对现有环境的等保评估,列出与对应等保等级保护相关的风险项,并根据信息资产的不同重要性和影响性进行风险等级的划分。而后开始排列风险项修正的优先级,由项目经理参与计算每个风险项修正的实施操作,以此来判定需要投入的经费,咨询专家会根据经费进行性价比分析,并与单位/企业相关负责人讨论、确定具体实施的内容后,开始安全建设方案的设计和相关协助经费申请,产品选型等工作。       等保管理办法中规定由单位自主定级,但需要上级主管部门同意,故有了定级的申请与审批流程,而在等保解决方案中给予定级很大的支持,由我方专业人员进行定级申请和备案流程的工作代理,单位只需要核对申请书中的文字部分(没有重大错误)即可。




           安全实施/实现:这个环节主要由拥有PMP证书资质的项目经理牵头,咨询专家配合完成,主要是完成上一个环节的实际项目执行,完善网络安全架构,包括硬件部署,硬件策略设置,以及软件主机,应用系统的安全策略加固,甚至提供ITIL/ISO20000/COBIT等信息化管理的最佳实践。

           安全运行管理:等保解决方案不仅仅关注网络安全建设,还渗透到了建设完成后的运行期,在运行过程中的质量管理,安全管理,涉及到安全的方方面面,贯穿CIA三要素(保密性,完整性,可用性),在这个生命周期节点,主要由具备CISA证书资质咨询专家进行周期性的观察、访谈、记录、抽样等方法进行审核,并根据结果进行整改建议的撰写和讨论,解决过往项目实行完效果不佳,尤其是很多整改类项目只为了通过进行的实施,却无形中增加了周期性检查的风险和临时抽查的风险,华盖解决方案为保证整体解决方案在建设后的可用性,同样进行了持续专家跟进,并提供各种运行期适合单位/企业的信息化最佳实践。

           通过等保测评:之前的努力都是为了最终的结果,作为等保解决方案的最后生命周期环节,我们严防虎头蛇尾的情况发生,专业售前、咨询专家、项目经理将共同参与,接受来自国家等保测评认证机构的外部审核/测评,并协助单位/企业提供各种文字,沟通,会议上的支持,让测评变的更简单,申请流程变的更自然,确保单位/企业更早的拿到正式通过等保测评的测评报告。

           接下来是继续上一个步骤的安全运行管理,等保解决方案不会因为测评结束而结束,而是提供持续不断的安全保障服务,提供一流的专家给予最大范围的安全保证,直到通过每一年的等保测评,一直为整个应用系统的生命周期保驾护航。

          

    信息安全建设咨询专家:徐亮彧

     

         更多安全解决方案等你来选:ISO27001/GB22080信息安全体系建设解决方案、风险评估解决方案、ISO22301/GB30146公共安全业务连续性管理解决方案。

上一篇:没有了 下一篇:Hillstone金融行业安全解决方案