御盾攜手某全球知名傳媒企業(yè)探索信息安全合規(guī)之路

  • 人閱讀
  • 2022-11-04 11:56:22

  • 來源:頭條新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

摘要:御盾安全協(xié)助某全球知名傳媒企業(yè)在國內(nèi)開展信息安全等級保護工作,為其提供整體的信息安全合規(guī)咨詢服務(wù)及信息系統(tǒng)架構(gòu)安全的整改建議和方案,通過漏洞掃描、主機安全加固、完善設(shè)備審計、規(guī)范安全審核和安全檢查、更新安全策略等措施,全面提高客戶信息系統(tǒng)的安全防御能力,為廣告行業(yè)信息化健康發(fā)展提供可靠保障。

項目背景

作為全球領(lǐng)先的戶外廣告?zhèn)髅焦?,該公司業(yè)務(wù)受眾群體覆蓋了世界80多個國家/地區(qū),是具有全球影響力和中國本地化程度上相當靈活的傳媒企業(yè)之一,隨著中國戶外廣告市場的高速發(fā)展,該公司在中國的表現(xiàn)已成為全球廣告市場中的一個亮點。

隨著數(shù)據(jù)安全法及等級保護2.0政策法規(guī)的發(fā)布,國家對數(shù)據(jù)安全管控越來越嚴格,這對各行各業(yè)數(shù)據(jù)安全防護管理都提出了更高的要求。此外,隨著業(yè)務(wù)的不斷拓展,公司的廣告業(yè)務(wù)越來越多需要通過信息系統(tǒng)承載和運行的,相關(guān)財務(wù)、業(yè)務(wù)數(shù)據(jù)也都是網(wǎng)絡(luò)信息化方式存儲,信息系統(tǒng)的快速發(fā)展和應(yīng)用伴隨而來的是日益復(fù)雜的安全威脅,信息系統(tǒng)的安全需求與日俱增。為了盡快落實等級保護制度的相關(guān)要求,進一步提升自身的安全防護能力,公司將全面開展信息安全等級保護定級備案、建設(shè)整改和等級測評等工作,明確信息安全保障重點,落實信息安全責(zé)任,建立信息安全等級保護工作長效機制,提高公司廣告信息安全防護能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力,為信息化健康發(fā)展提供可靠保障,全面維護公共利益、社會秩序和國家安全。

需求分析

企業(yè)信息安全合規(guī)建設(shè)不僅需要符合信息安全等級保護規(guī)范的要求,還需建立高效穩(wěn)定的業(yè)務(wù)安全支撐平臺來保障企業(yè)運轉(zhuǎn)秩序和信息系統(tǒng)穩(wěn)定安全:

1、政策合規(guī)

企業(yè)信息安全建設(shè)需要符合信息安全等級保護規(guī)范的要求,建立高效穩(wěn)定的業(yè)務(wù)安全支撐平臺;

2、信息系統(tǒng)安全

企業(yè)信息系統(tǒng)涉及諸多敏感數(shù)據(jù),需要能有效防止網(wǎng)絡(luò)的非法訪問,保護關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄露;

3、運維管理安全

隨著企業(yè)信息化的深入推進,企業(yè)運維管理壓力也逐漸增大,人員的不可控行為以及多接口、多體系的數(shù)據(jù)訪問控制、身份鑒別體系等使得企業(yè)信息安全管理難度加大,需要對維護及管理人員實施完善的管理和監(jiān)測,集中統(tǒng)一管理和安全審計,統(tǒng)一身份認證和流程管理。

現(xiàn)狀分析

一、系統(tǒng)情況

客戶的IMM系統(tǒng)主要面向單位內(nèi)部系統(tǒng)提供庫存管理、銷售管理、合同管理等服務(wù),涉及公司諸多敏感信息,系統(tǒng)安全不容忽視。

二、風(fēng)險分析

1、系統(tǒng)缺乏安全防護能力

IMM系統(tǒng)基于云平臺部署,主要涉及l(fā)inux操作系統(tǒng),linux操作系統(tǒng)目前大部分處于無惡意代碼安全防護狀態(tài),面臨較大的安全威脅;

2、系統(tǒng)存在安全漏洞

由于IMM系統(tǒng)軟件為定制化產(chǎn)品,在軟件開發(fā)階段缺少安全設(shè)計,導(dǎo)致這類軟件存在部分的安全漏洞,如缺失完整的審計記錄功能,安全審計功能不完善可能導(dǎo)致安全審計員無法利用審計日志對部分安全事件予以準確定位和追溯,同時無法及時了解設(shè)備實際運行狀況以及存在的安全隱患;

3、安全策略與管理流程有待完善

追求可用性而犧牲安全是IMM系統(tǒng)普遍存在的問題,缺乏完整有效的安全策略與管理流程也給IMM系統(tǒng)帶來了一系列的安全問題,如安全組策略過于寬泛、不完善的信息安全管理制度等,都會引發(fā)信息安全事件。

解決方案

一、等保咨詢服務(wù)流程

1、定級備案

協(xié)助客戶依據(jù)《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級,準備定級備案表和定級報告,協(xié)助客戶向所在地區(qū)的公安機關(guān)辦理備案手續(xù);

2、差距分析

通過等級差距分析,明確客戶信息系統(tǒng)的現(xiàn)狀,確定不符合安全項,明確安全建設(shè)需求;

3、方案設(shè)計

參考國家標準《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》,依據(jù)差距分析的結(jié)論,在與客戶充分溝通后,結(jié)合客戶實際情況,給出安全整改和建設(shè)方案;

4、整改建設(shè)

根據(jù)安全整改方案,結(jié)合客戶實際需求,協(xié)助客戶完成設(shè)備的選型、采購、安裝、策略配置等活動,協(xié)助客戶搭建完善的技術(shù)防護系統(tǒng)和安全管理體系,保障信息系統(tǒng)的安全穩(wěn)定運行;

5、等級測評

協(xié)助客戶選擇第三方測評機構(gòu),開展信息系統(tǒng)等級保護驗收測評工作,保障通過等級保護驗收測評;

6、定期評估

測評通過后,御盾安全定期為客戶提供評估服務(wù),確保信息系統(tǒng)長期處于一種動態(tài)的合規(guī)安全狀態(tài)中。

二、等保建設(shè)方案

1、通過建立審核跟蹤,持續(xù)保存云控制臺審計記錄,對審計記錄進行保護,定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。同時完善設(shè)備審計記錄內(nèi)容,對設(shè)備的配置管理操作行為、重要的業(yè)務(wù)操作等行為進行審計,滿足網(wǎng)絡(luò)安全法需要保留日志180天的要求;

2、通過梳理云安全組配置信息,根據(jù)實際業(yè)務(wù)并按照最小化原則重新調(diào)整對外開放的端口及策略,制定安全審核和安全檢查制度,規(guī)范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查;

3、通過主機安全加固服務(wù),對身份鑒別、訪問控制、安全審計、入侵防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、個人信息保護等方面進行技術(shù)加固,提升安全計算環(huán)境的整體安全性和穩(wěn)定性;

4、通過漏洞掃描工具以本地掃描的方式對范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進行掃描,查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機、數(shù)據(jù)和用戶賬號口令等安全對象目標存在的安全風(fēng)險、漏洞和威脅;

5、網(wǎng)絡(luò)安全是動態(tài)的,需要時刻關(guān)注最新漏洞和安全動態(tài),制定更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。針對單位各臺服務(wù)器的漏洞和脆弱性,定期的進行安全加固,可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊,使系統(tǒng)可以長期保持在高度可信的狀態(tài)。

1667524607924547.jpg

拓補圖

三、等級保護安全管理指導(dǎo)

1、安全管理機構(gòu)

梳理安全管理職能流程,協(xié)助客戶建立管理機制。建立一個統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的安全管理機構(gòu),對網(wǎng)絡(luò)安全管理進行實施和推廣。同時構(gòu)建從單位最高管理層到執(zhí)行層以及具體業(yè)務(wù)運營層的組織體系,明確各個崗位的安全職責(zé),為安全管理提供組織上的保證;

2、安全管理制度

協(xié)助補充完善企業(yè)安全管理制度,明確落實安全人員的工作職責(zé)。對等級保護對象建設(shè)、開發(fā)、運維、升級和改造等各個階段和環(huán)節(jié)的規(guī)章制度進行完善,全面覆蓋等級保護對象生命周期中的重要活動;

3、安全管理人員

(1)協(xié)助制定公司《信息系統(tǒng)人員管理制度》

(2)定期組織公司信息系統(tǒng)相關(guān)人員的安全意識培訓(xùn)、安全技能培訓(xùn)

(3)加強對第三方合作伙伴、人員、系統(tǒng)的安全管理,防止引入第三方給公司帶來的安全風(fēng)險

4、安全建設(shè)管理

等級保護對象在建設(shè)過程中,要經(jīng)過系統(tǒng)定級和備案、安全方案設(shè)計、產(chǎn)品采購和使用、軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付等幾個階段,對每個階段涉及到的活動實施科學(xué)和完善的管理,保證系統(tǒng)建設(shè)的進度、質(zhì)量和安全

5、安全運維管理

在等級保護對象建設(shè)完成投入運行之后,對系統(tǒng)實施有效、完善的維護管理,保證系統(tǒng)運行階段的安全。

客戶收益

通過本次服務(wù),客戶可以獲得如下收益:

1、發(fā)現(xiàn)安全現(xiàn)狀與安全要求的差距;

2、根據(jù)整改建議及安全加固增強信息系統(tǒng)的安全防護能力;

3、建設(shè)符合標準規(guī)范的信息系統(tǒng);

4、獲得等級保護全周期性的安全服務(wù);

5、獲得完整的企業(yè)信息安全評估報告和中長期的信息安全建設(shè)發(fā)展規(guī)劃建議。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )