网络安全等级保护制度要求组织单位能够构建真正安全有效的安全防护体系、全面系统地完成等级保护各环节建设工作,从而能够持续有效地保持合规状态、应对定期的复评和不定期的安全检查。
然而,等级保护建设是一项系统性工程,建设流程涵盖定级、备案、建设整改、等级测评、监督检查五个环节,安全要求覆盖技术、管理体系的十个层面,对于人员的专业能力要求很高,许多用户面临着“怎么做”、“谁来做”的问题:
不只聚焦在安全建设本身,更充分考虑用户全流程的合规诉求,深信服重磅升级等级保护2.0全流程解决方案。相比市面上部分轻安全效果的“等保套餐”、一次通过但合规效果无法持续的“包过服务”而言,深信服通过全流程的等保管家服务,真正为用户交付“安全合规、流程可视、持续保障”的全流程、高品质合规体验,为用户提供高品质的交付效果,保障业务持续安全合规。
产品出厂基线合规、上架配置合规,交付有效的安全
深信服安全产品将等级保护基本要求纳入了产品的安全基线进行管控,在口令策略、权限管控、审计分析等方面进一步强化产品的合规能力,从源头管控好合规基础。同时,每个安全产品都匹配对应安全等级的《等级保护合规配置实施手册》,结合用户的业务需求、综合考虑等级保护基本要求,确保安全策略、基线配置符合合规要求,构建系统的安全保护能力。在上架完成后,结合合规自检工具的策略配置核查能力,对于设备配置状态进行自动化检查,解决了人工核查效率低、检出率低等问题,辅助实施人员快速识别问题、快速优化整改,有效满足测评的要求。
值得一提的是,2020年11月6日,中关村信息安全测评联盟正式面向全国测评机构发布了《深信服安全产品测评作业指导书》,这是第一个由产品提供方、产品测试方和系统测评方共同合作、对标2.0标准形成的、基于最佳实践并取得广泛认可的技术文件,建立了安全产品的测评作业规范,也间接地证明了深信服安全产品能够为等级保护对象提供有效的安全保护能力。
全流程等保管家服务、流程管理平台保障进度可视可控
针对每个等级保护全流程建设项目,深信服都将配置具有国家重要信息系统保护人员(CIIP-A)认证资格的解决方案专家担任“等保管家”(目前深信服已有300余人通过了此项认证),全程负责项目的人员、进度、质量管理,合理安排人员分工、定期汇报项目进展、检查审核管控交付质量。
与此同时,深信服自行开发“等级保护流程管理平台”,将等级保护全流程建设过程拆解为9大阶段、36项工作,并由等保管家统筹安排售前人员、实施项目经理、技服实施人员、销售经理、安全服务人员等分工执行。每项工作明确工作目标、交付流程、交付质量等要求,并通过平台对责任人实施进度和质量进行全程跟踪和管理。平台另有用户需求基线管理、建设资料归档、交付满意度评价等功能也为保障用户需求有效落地、交付实施保质保量提供了有效的管控手段。
本地合规自检平台,保障合规状态持续,有效满足监管要求
通过构建本地等级保护合规自检平台,联动深信服安全产品能够帮助用户在数分钟内快速检查深信服安全产品对照“一个中心、三重防护”的74个技术要求项的合规现状,识别和发现安全产品自身存在的安全策略、基线配置不当或变更等问题,并提供整改的图文指引,帮助用户快速优化策略和配置。此外,还能够对网络全局的合规现状进行分析,识别和发现存在于通信网络、区域边界、计算环境和管理中心方面的主要合规差距,提供全局分析和人工核查的指引。
深信服技服实施人员还将定期为用户提供合规配置和合规巡检的服务,针对第三级应用系统每年一次的等级测评要求,可以起到提前识别差距、快速落实整改、保障复评通过的预防效果。等保管家也将为用户做好建设过程文档的有序归档,以便应对后续的安全检查,满足监管要求。
截止目前,深信服已经参与了上万家用户的等级保护建设,得到了政府、教育、企业、医疗等各行各业用户的认可。未来深信服也将继续承担起网络安全企业的责任,持续推动和完善产品自身合规改进,为用户提供专业、高效的网络安全产品及服务。