关键词:等保2.0,信息安全合规,网络安全,广告行业信息化
摘要:御盾安全协助某全球知名传媒企业在国内开展信息安全等级保护工作,为其提供整体的信息安全合规咨询服务及信息系统架构安全的整改建议和方案,通过漏洞扫描、主机安全加固、完善设备审计、规范安全审核和安全检查、更新安全策略等措施,全面提高客户信息系统的安全防御能力,为广告行业信息化健康发展提供可靠保障。
项目背景
作为全球领先的户外广告传媒公司,该公司业务受众群体覆盖了世界80多个国家/地区,是具有全球影响力和中国本地化程度上相当灵活的传媒企业之一,随着中国户外广告市场的高速发展,该公司在中国的表现已成为全球广告市场中的一个亮点。
随着数据安全法及等级保护2.0政策法规的发布,国家对数据安全管控越来越严格,这对各行各业数据安全防护管理都提出了更高的要求。此外,随着业务的不断拓展,公司的广告业务越来越多需要通过信息系统承载和运行的,相关财务、业务数据也都是网络信息化方式存储,信息系统的快速发展和应用伴随而来的是日益复杂的安全威胁,信息系统的安全需求与日俱增。为了尽快落实等级保护制度的相关要求,进一步提升自身的安全防护能力,公司将全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,提高公司广告信息安全防护能力、隐患发现能力、应急处置能力,为信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
需求分析
企业信息安全合规建设不仅需要符合信息安全等级保护规范的要求,还需建立高效稳定的业务安全支撑平台来保障企业运转秩序和信息系统稳定安全:
1、政策合规
企业信息安全建设需要符合信息安全等级保护规范的要求,建立高效稳定的业务安全支撑平台;
2、信息系统安全
企业信息系统涉及诸多敏感数据,需要能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄露;
3、运维管理安全
随着企业信息化的深入推进,企业运维管理压力也逐渐增大,人员的不可控行为以及多接口、多体系的数据访问控制、身份鉴别体系等使得企业信息安全管理难度加大,需要对维护及管理人员实施完善的管理和监测,集中统一管理和安全审计,统一身份认证和流程管理。
现状分析
一、系统情况
客户的IMM系统主要面向单位内部系统提供库存管理、销售管理、合同管理等服务,涉及公司诸多敏感信息,系统安全不容忽视。
二、风险分析
1、系统缺乏安全防护能力
IMM系统基于云平台部署,主要涉及linux操作系统,linux操作系统目前大部分处于无恶意代码安全防护状态,面临较大的安全威胁;
2、系统存在安全漏洞
由于IMM系统软件为定制化产品,在软件开发阶段缺少安全设计,导致这类软件存在部分的安全漏洞,如缺失完整的审计记录功能,安全审计功能不完善可能导致安全审计员无法利用审计日志对部分安全事件予以准确定位和追溯,同时无法及时了解设备实际运行状况以及存在的安全隐患;
3、安全策略与管理流程有待完善
追求可用性而牺牲安全是IMM系统普遍存在的问题,缺乏完整有效的安全策略与管理流程也给IMM系统带来了一系列的安全问题,如安全组策略过于宽泛、不完善的信息安全管理制度等,都会引发信息安全事件。
解决方案
一、等保咨询服务流程
1、定级备案
协助客户依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级,准备定级备案表和定级报告,协助客户向所在地区的公安机关办理备案手续;
2、差距分析
通过等级差距分析,明确客户信息系统的现状,确定不符合安全项,明确安全建设需求;
3、方案设计
参考国家标准《信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》,依据差距分析的结论,在与客户充分沟通后,结合客户实际情况,给出安全整改和建设方案;
4、整改建设
根据安全整改方案,结合客户实际需求,协助客户完成设备的选型、采购、安装、策略配置等活动,协助客户搭建完善的技术防护系统和安全管理体系,保障信息系统的安全稳定运行;
5、等级测评
协助客户选择第三方测评机构,开展信息系统等级保护验收测评工作,保障通过等级保护验收测评;
6、定期评估
测评通过后,御盾安全定期为客户提供评估服务,确保信息系统长期处于一种动态的合规安全状态中。
二、等保建设方案
1、通过建立审核跟踪,持续保存云控制台审计记录,对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。同时完善设备审计记录内容,对设备的配置管理操作行为、重要的业务操作等行为进行审计,满足网络安全法需要保留日志180天的要求;
2、通过梳理云安全组配置信息,根据实际业务并按照最小化原则重新调整对外开放的端口及策略,制定安全审核和安全检查制度,规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查;
3、通过主机安全加固服务,对身份鉴别、访问控制、安全审计、入侵防范、数据完整性、数据保密性、数据备份恢复、个人信息保护等方面进行技术加固,提升安全计算环境的整体安全性和稳定性;
4、通过漏洞扫描工具以本地扫描的方式对范围内的系统和网络进行扫描,查找网络结构、网络设备、服务器主机、数据和用户账号口令等安全对象目标存在的安全风险、漏洞和威胁;
5、网络安全是动态的,需要时刻关注最新漏洞和安全动态,制定更新的安全策略以应付外来入侵和蠕虫病毒等威胁。针对单位各台服务器的漏洞和脆弱性,定期的进行安全加固,可以使系统有效的抵御外来的入侵和蠕虫病毒的袭击,使系统可以长期保持在高度可信的状态。
拓补图
三、等级保护安全管理指导
1、安全管理机构
梳理安全管理职能流程,协助客户建立管理机制。建立一个统一指挥、协调有序、组织有力的安全管理机构,对网络安全管理进行实施和推广。同时构建从单位最高管理层到执行层以及具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证;
2、安全管理制度
协助补充完善企业安全管理制度,明确落实安全人员的工作职责。对等级保护对象建设、开发、运维、升级和改造等各个阶段和环节的规章制度进行完善,全面覆盖等级保护对象生命周期中的重要活动;
3、安全管理人员
(1)协助制定公司《信息系统人员管理制度》
(2)定期组织公司信息系统相关人员的安全意识培训、安全技能培训
(3)加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给公司带来的安全风险
4、安全建设管理
等级保护对象在建设过程中,要经过系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等几个阶段,对每个阶段涉及到的活动实施科学和完善的管理,保证系统建设的进度、质量和安全
5、安全运维管理
在等级保护对象建设完成投入运行之后,对系统实施有效、完善的维护管理,保证系统运行阶段的安全。
客户收益
通过本次服务,客户可以获得如下收益:
1、发现安全现状与安全要求的差距;
2、根据整改建议及安全加固增强信息系统的安全防护能力;
3、建设符合标准规范的信息系统;
4、获得等级保护全周期性的安全服务;
5、获得完整的企业信息安全评估报告和中长期的信息安全建设发展规划建议。