Image
全國統(tong)一服務(wu)熱(re)線
0351-4073466

如何實現等級保護管理工作的體系化、標準化和規范化

編輯:2022-07-22 11:40:28

網(wang)絡安全(quan)(quan)等(deng)級(ji)保護(hu)(簡稱等(deng)保)是我(wo)國(guo)(guo)網(wang)絡安全(quan)(quan)保障工作的基本(ben)制度、基本(ben)策略和基本(ben)方法,已(yi)在全(quan)(quan)國(guo)(guo)范(fan)圍內全(quan)(quan)面開展實(shi)施。《網(wang)絡安全(quan)(quan)法》明確規定(ding)國(guo)(guo)家(jia)實(shi)行網(wang)絡安全(quan)(quan)等(deng)級(ji)保護(hu)制度,從法律上(shang)為等(deng)級(ji)保護(hu)制度的落(luo)實(shi)提供了法理依據。


等(deng)級(ji)保護工作(zuo)內容包括定級(ji)、備案(an)、建設(she)整(zheng)改、等(deng)級(ji)測評、監(jian)督檢查等(deng)環節,工作(zuo)內容眾(zhong)多且復雜,企業組織應嚴格按照等(deng)保要(yao)求(qiu)通(tong)過(guo)等(deng)級(ji)測評并在測評后實行安全運維管理,有效落(luo)實等(deng)級(ji)保護制度要(yao)求(qiu),做好安全保障(zhang)工作(zuo),全面提升安全防護水平。


標簽

01

等保管理(li)、合規管理(li)、安全(quan)運維、持續(xu)運營(ying)


用戶痛點

02

在等保2.0時代背景下,網絡安全呈現復雜化趨勢,對安全理念、技術、管理等均提出了更高要求,呈現標準化、體系化、常態化等特點,如何進行等保建設和通過等級測評,并在通過測評后按照等保要求進行有效運維(wei)管理(li)與持續性改進成為用戶單位不得(de)不面對的問題。當前(qian)大部分的用戶單位開展(zhan)等級(ji)保護工(gong)作主要依(yi)賴第三方安全服務機構提(ti)供的等級(ji)保護相關服務,但(dan)存在如(ru)下(xia)困擾:


無法全面了解等級保護體系:用戶單(dan)位雖然(ran)明白等(deng)級(ji)(ji)(ji)保(bao)護的(de)意義,但是往(wang)往(wang)是知(zhi)其然(ran)而(er)不知(zhi)其所(suo)以然(ran)。總(zong)體(ti)(ti)上,對于等(deng)級(ji)(ji)(ji)保(bao)護標準體(ti)(ti)系的(de)總(zong)體(ti)(ti)目標、內容(rong)構成(cheng)、工(gong)作方法及運(yun)作過(guo)程(cheng)等(deng)知(zhi)之甚(shen)少,難(nan)以真(zhen)正領略(lve)等(deng)級(ji)(ji)(ji)保(bao)護標準體(ti)(ti)系的(de)精髓,并(bing)真(zhen)正運(yun)用到(dao)信息(xi)系統的(de)建設及運(yun)維管理過(guo)程(cheng)中(zhong)。


難以識別并管理系統基本構成:等(deng)保對(dui)象(xiang)相關的(de)(de)資(zi)產構(gou)成(cheng)的(de)(de)邊界不清晰,同時內部資(zi)產缺(que)乏有(you)效的(de)(de)梳理,導致在(zai)運(yun)行和管理過程(cheng)中(zhong)難以根據等(deng)保對(dui)象(xiang)的(de)(de)構(gou)成(cheng)部分進(jin)行精細化的(de)(de)運(yun)維管控(kong);


無法建立并跟蹤系統合規狀態:通(tong)過第三方(fang)服務報告及技(ji)術(shu)文檔,無法簡單明(ming)了地了解等保對象的指標差距、總體(ti)情況和具體(ti)項目(mu)(mu),更不(bu)能通(tong)過這些文檔來跟蹤相關指標差距項目(mu)(mu)的實(shi)時狀態;


無法掌握系統的安全狀態:用戶單位(wei)無(wu)法通(tong)過(guo)第(di)三(san)方服務(wu)文檔明確地掌握等保對(dui)象(xiang)相關資(zi)產的脆弱性和高風險(xian)項,對(dui)于總體安(an)全(quan)狀態,對(dui)整體的安(an)全(quan)狀態沒有(you)清晰,完整的認識;


無法即時管控工作進度:等保(bao)建設工(gong)作屬于(yu)體系化、標(biao)準(zhun)化、規范(fan)化等要求較高的(de)工(gong)作,用戶單位在(zai)(zai)對等級保(bao)護工(gong)作內容還未(wei)達到透徹了解的(de)情(qing)況(kuang)下,難以做到對等級保(bao)護工(gong)作進行合理(li)、有力、規范(fan)的(de)控制和管理(li)。因此,在(zai)(zai)等級保(bao)護工(gong)作開(kai)展(zhan)的(de)過程(cheng)中,用戶單位往往不能做到即時(shi)動態地管控等級保(bao)護工(gong)作內容和工(gong)作進度的(de)情(qing)況(kuang);


無法實(shi)施等保標準化管理:用(yong)戶單位在等(deng)級(ji)保護建設及運維工作中經常存在以下問題:各種管理制(zhi)度或多或少地缺失,未進行體系(xi)(xi)化(hua)的(de)(de)梳理與落實;雖通過第三方服務(wu)方式(shi)進行增補與修訂,但(dan)難(nan)以根據本單位的(de)(de)實際情況(kuang)將制(zhi)度系(xi)(xi)統地、規范地應用(yong)到信息(xi)系(xi)(xi)統的(de)(de)日常管理之中,并規范有序地實施等(deng)級(ji)保護的(de)(de)標準化(hua)管理。


解決方案

03

基于網絡安全(quan)(quan)等級(ji)(ji)保護(hu)(hu)基本要求,結合行業用(yong)戶(hu)(hu)的業務目標、技(ji)術(shu)和(he)應(ying)用(yong)場(chang)景等因素,中信(xin)網安面向用(yong)戶(hu)(hu)單位建(jian)立(li)一(yi)套覆蓋基本信(xin)息、定級(ji)(ji)備案(an)、建(jian)設整改、等級(ji)(ji)測評、安全(quan)(quan)自查、安全(quan)(quan)管理等全(quan)(quan)過(guo)程的綜合管理系(xi)統,幫助用(yong)戶(hu)(hu)有(you)(you)序(xu)開展等級(ji)(ji)保護(hu)(hu)工作,落(luo)實(shi)各項(xiang)安全(quan)(quan)保護(hu)(hu)管理制度和(he)安全(quan)(quan)技(ji)術(shu)保護(hu)(hu)措施,建(jian)立(li)體系(xi)化、標準(zhun)化、規范化的管理體系(xi),有(you)(you)效(xiao)提升系(xi)統全(quan)(quan)生命(ming)周期(qi)的安全(quan)(quan)管理能(neng)力,達(da)到如(ru)下(xia)目標:


  • 全面(mian)、系統地了解等級保護標準體系;

  • 識別并管理等級保護(hu)信(xin)息系統基本(ben)構成(cheng);

  • 建立(li)并跟蹤等級信息系(xi)統合規(gui)狀態(tai);

  • 直觀準確地掌握信息系統安全狀態(tai);

  • 即(ji)時動態地(di)管理等級(ji)保護工作進度;

  • 規范有序實施等級保護標準(zhun)化管理。


01

基本信息識別

華安(an)星等級保護綜合管(guan)理系統(tong)(以下簡稱“系統(tong)”)自帶資(zi)(zi)產(chan)發現與識別(bie)能力,對(dui)(dui)用戶(hu)單位內部(bu)的(de)資(zi)(zi)產(chan)進行(xing)(xing)主動(dong)探測,全面識別(bie)包含網絡(luo)設備(bei)、安(an)全設備(bei)、服務器(qi)設備(bei)、應用資(zi)(zi)產(chan)、數據資(zi)(zi)產(chan)等在內的(de)各(ge)類資(zi)(zi)產(chan),同時輔以人(ren)工操(cao)作,明(ming)確以等保對(dui)(dui)象為中(zhong)心的(de)業務邊界,并(bing)對(dui)(dui)各(ge)類資(zi)(zi)產(chan)進行(xing)(xing)動(dong)態(tai)刻畫和標識,在線動(dong)態(tai)構建網絡(luo)拓(tuo)撲和邏輯拓(tuo)撲,并(bing)對(dui)(dui)各(ge)類資(zi)(zi)產(chan)進行(xing)(xing)在線監控,形(xing)成詳(xiang)細的(de)資(zi)(zi)產(chan)清單,為等保測評和日常(chang)運維提供基礎支撐。


02

合規管理

系(xi)統(tong)以(yi)等(deng)級(ji)保護為依據(ju),從定級(ji)、備(bei)案、建設整(zheng)改、等(deng)級(ji)測評(ping)、安(an)全自查等(deng)全過程(cheng)進行有(you)效管(guan)理,并在關鍵節點提供等(deng)保行業實踐模板和過程(cheng)數據(ju)的(de)(de)歸集與管(guan)理,有(you)效地引導并指導用(yong)(yong)戶(hu)單位掌(zhang)控(kong)等(deng)保的(de)(de)全過程(cheng),幫助用(yong)(yong)戶(hu)單位掌(zhang)握等(deng)保工(gong)作的(de)(de)進度、項目(mu)狀態和等(deng)保對(dui)象的(de)(de)合規與安(an)全狀態。


03

制度管理

許多(duo)安全(quan)(quan)(quan)事件的發生都是由于管(guan)(guan)理(li)(li)制(zhi)度的缺失或(huo)管(guan)(guan)理(li)(li)不到(dao)位所導致(zhi)的,在(zai)具體落(luo)(luo)實管(guan)(guan)理(li)(li)制(zhi)度的過程中,由于缺乏(fa)統一標準、分工不明確、人為操作不規范(fan)、管(guan)(guan)理(li)(li)與執行過程缺乏(fa)記錄(lu)等問題,造成管(guan)(guan)理(li)(li)不合規并引(yin)發安全(quan)(quan)(quan)事件風險。根(gen)據(ju)系統內置各(ge)類安全(quan)(quan)(quan)管(guan)(guan)理(li)(li)制(zhi)度實踐模板,用戶(hu)可結(jie)合自(zi)身業(ye)務情況建立符(fu)合自(zi)身安全(quan)(quan)(quan)需求的各(ge)類管(guan)(guan)理(li)(li)制(zhi)度,并將管(guan)(guan)理(li)(li)制(zhi)度落(luo)(luo)實電子化、標準化、流程化,在(zai)提(ti)高工作效(xiao)率的同時,保障管(guan)(guan)理(li)(li)制(zhi)度的有效(xiao)落(luo)(luo)地,提(ti)高安全(quan)(quan)(quan)管(guan)(guan)理(li)(li)水平。


04

持續運營

隨著(zhu)業務、環境等因素的(de)變化(hua),等保指(zhi)標也(ye)會隨之動態變化(hua),等保合規并不意味著(zhu)安(an)全(quan)(quan)建(jian)設的(de)結束(shu),而往往是新的(de)安(an)全(quan)(quan)建(jian)設的(de)開始,需結合自(zi)身業務進(jin)行安(an)全(quan)(quan)管(guan)理(li)(li)和(he)運營(ying)。系(xi)統(tong)提供了內(nei)建(jian)的(de)符合等級(ji)保護安(an)全(quan)(quan)管(guan)理(li)(li)基本要求(qiu)的(de)管(guan)理(li)(li)體系(xi)和(he)安(an)全(quan)(quan)運維管(guan)理(li)(li)的(de)最(zui)佳實踐模板,用戶(hu)可結合自(zi)身情況,圍繞安(an)全(quan)(quan)管(guan)理(li)(li)制度建(jian)立歸一化(hua)流程(cheng)、記錄(lu)一體化(hua)運行管(guan)理(li)(li)。


此(ci)外系統提供豐富(fu)的接口,支(zhi)持對各類(lei)設備的日志實時(shi)采集,對各類(lei)資產(chan)進行(xing)(xing)運(yun)行(xing)(xing)監(jian)控(kong)、脆弱性與(yu)合(he)規(gui)性監(jian)測,并進行(xing)(xing)關聯分析(xi),匹配(pei)安(an)全自(zi)查、監(jian)督(du)檢查、通報(bao)預警機制,當(dang)出(chu)現安(an)全異常安(an)全事(shi)件(jian)時(shi),能夠(gou)快速評估并進行(xing)(xing)響(xiang)應處(chu)置。


用戶反饋

04

通過應用華安星等(deng)(deng)級保(bao)護綜(zong)合管理系(xi)統,對本單位9個等(deng)(deng)保(bao)對象(xiang)相關的(de)資產(chan)進行全(quan)面發(fa)現(xian),并輔以人(ren)工識別確定業(ye)務邊(bian)界,完(wan)成(cheng)資產(chan)全(quan)面梳理,并以此為基礎,對等(deng)(deng)保(bao)工作過程(cheng)進行全(quan)流程(cheng)管理,建(jian)立(li)等(deng)(deng)保(bao)臺賬和(he)標準(zhun)化運營管理體系(xi),實現(xian)各參與角色的(de)標準(zhun)化持(chi)續性(xing)運維,降低了合規測評與日常運維過程(cheng)中(zhong)可能出(chu)現(xian)的(de)人(ren)為等(deng)(deng)因素的(de)安全(quan)風險(xian)。

——某三甲醫院


華(hua)安(an)(an)(an)星等級保(bao)(bao)護(hu)綜合管理(li)(li)系統(tong)(tong)(tong)對本單(dan)位的(de)(de)30余個(ge)等保(bao)(bao)對象進(jin)(jin)行(xing)全(quan)過程管理(li)(li),通過系統(tong)(tong)(tong)對網絡(luo)安(an)(an)(an)全(quan)等級保(bao)(bao)護(hu)工(gong)作參與的(de)(de)各角色(se)進(jin)(jin)行(xing)統(tong)(tong)(tong)一的(de)(de)管理(li)(li),建立了統(tong)(tong)(tong)一的(de)(de)管理(li)(li)體系。同時(shi)通過內置的(de)(de)標準(zhun)化接(jie)口實現與漏洞工(gong)具(ju)的(de)(de)對接(jie),匹配安(an)(an)(an)全(quan)通報模塊(kuai),出現異常安(an)(an)(an)全(quan)事件(jian)時(shi),能(neng)進(jin)(jin)行(xing)及時(shi)通報預(yu)警、整改、處(chu)置與響應,實現了安(an)(an)(an)全(quan)事件(jian)的(de)(de)閉(bi)環管理(li)(li)。

——某高校


文章來源:天億網絡安全


Image
Image
版權所(suo)有:山西科信(xin)源科技(ji)股(gu)份(fen)有限公(gong)司
咨(zi)詢熱線(xian):0351-4073466?
地址:(北區)山(shan)西省太原市迎澤區新建(jian)南路文(wen)源巷24號(hao)文(wen)源公(gong)務中心5層
? ? ? ? ? ?(南區)太(tai)原(yuan)市小店區南中環街(jie)529 號(hao)清控創(chuang)新基地(di)A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團