解決方案您當前的位置:首頁 > 首頁 > 解決方案 >
2004年以來,國家發布了《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》、《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》等一系列關于實施等級保護的文件,以有效提高我國信息安全建設整體水平為目標;同時現在的信息安全風險和信息安全事件越來越頻繁發生,因此全國黨政機關、事業單位和國有企業全面開展信息安全等級保護工作,確保核心信息系統的安全防護。
二)面臨挑戰
1、 整體安全技術管控手段缺失
目前,大多數政府部門及單位對于信息安全的技術管控并沒有整體概念及手段。如,在信息系統被入侵后再實施補救手段,并沒有事先對于信息系統進行整體的安全防護,包括相關網站防入侵、安全監控、安全運維、備份恢復等。
2、 信息安全管理體系不全,職能及責任劃分不清晰
缺乏整體的信息安全管理體系,沒有對其信息系統及相關責任部門進行職能及責任劃分,沒有對信息系統網絡及系統安全管理、人員安全管理等方面進行規范。從而導致在信息系統面臨安全威脅時,沒有相應的預防及應急措施,沒有清晰的職能及責任劃分來指引信息系統的整體安全管理。
3、 安全與信息系統運行的沖突
信息安全技術對于信息系統安全運行的優化及調整的同時,會對信息系統原本穩定的運行造成一定的影響,需要建立風險規避機制。如,對信息系統網絡進行安全優化時,若沒有相應的規避風險措施及手段,將會導致信息系統服務中止或延遲。
三)解決方案
本方案設計時,對業務系統的運行環境進行了整體考慮,通過等級保護改造后,能使整體環境達到相應的安全保護強度,為其他系統部署創造統一的安全環境。本方案主要針對定級為三級或二級的業務系統進行相應環境建設,可以滿足國家等級保護三級或二級的相關要求。
1、 等級保護流程及基本要求
![\](/uploadfile/2018/0826/20180826113819.jpg "\")
2、 等保技術要求
2.1 物理安全要求及方案
(1)背景需求
物理安全主要是對機房的物理位置和物理訪問控制方面的要求,達不到要求的需要重新裝修或者重建。
(2)政策要求
物理安全主要包括:位置選擇、物理訪問控制、防盜竊防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、電力供應、電磁防護。
(3)凹盾方案
凹盾具有豐富的智能樓宇、安全機房建設與實施經驗,并具備相應資質,如建筑智能化工程設計與施工二級資質、安防工程企業資質一級證書。
2.2 其他安全技術要求及方案
(2)解決方案
a) 邊界區域安全
NGFW:全面解決訪問控制、入侵防范、木馬防范、惡意代碼防范,防 WEB 攻擊問題。
VPN:解決結構安全中的冗余要求,加密功能解決通信與數據的保密性。
S3000:實現網絡安全審計。
上網行為實時監控,實現訪問策略與控制
上網日志歸檔、上網行為分析報表
帶寬管理、應用管理
郵件攔截與審核
b) 業務區域安全
SECSYS:解決違規外聯控制,對安全網絡域所有計算機上的重要信息進行安全管理,對網絡資源進行管理,對移動存儲與外聯接入進行控制與審計。
c) 應用區域安全
AMA:實現對網絡設備、主機、存儲等設備簡化管理,并實現對其集中的、實名制的、可控的、可審計的管理。
實現實名統一管理
實現分層次管理
精細化統一權限、訪問控制管理
用戶操作審計
賬號自動發現與管理
d) 數據區域安全
DAA:實現細粒度審計、精準化行為回溯、全方位風險控制,為核心數據庫提供全方位、細粒度的保護功能。
e) 安全管理中心
NxSOC:不僅針對設備層進行安全管理,還覆蓋了用戶業務層的安全。通過對業務系統進行建模,仿真業務流程,保證用戶業務的可用性與可靠性。
3、 等保管理要求
凹盾具有非常豐富的信息安全等級保護經驗,有一套完整的安全管理體系與理念,可以協助客戶制定完善的安全管理制度與規范,為信息安全的實施保駕護航。
4、 等保監督與自查要求
凹盾提供安全掃描安全加固、網站滲透,安全意識培訓、應急預案體系建設服務等一系列安全服務,協助客戶盡早發現潛在風險,及時處理安全問題,為信息安全的整體建設提供堅強后盾,為等保后續的監督自查提供保障。
四)方案價值
1、標準流程、快速實施:通過標準化流程進行等保定級、備案、差距分析、整改規劃及實施、測評及監督管理;
2、一站式服務、安全保障:凹盾完善的安全產品線、豐富的等保實施經驗、專業的安全集成與運維服務,實現一站式的安全保障;
3、理解政策、確保達標:凹盾深刻理解國家等保政策及標準要求,為客戶提供定制化解決方案,確保信息系統達到等級保護要求。
