項目背景

等保認證作為在網絡安全法頒布后,國家落實信息安全的重要舉措已被提上日程。據不完全統計,目前國內有18個行業被列為必須通過等保認證(電子政務外網、金融行業、網絡借貸、征信、游戲、電力行業、廣電、海關、交通、教育、稅務、衛生、煙草、檔案、智慧城市建設、國土、網約車、鐵路)本文以安暢網絡所服務的金融客戶為例,詳細闡述等保認證一系列流程,幫助企業了解等保的全測評周期。

客戶需求

融道網是一家線上的融資中介服務平臺,作為一家業務成熟的互聯網金融企業,融道需依照上海金融辦下發的《網絡借貸信息中介機構業務活動管理實施辦法》和《網絡借貸信息中介機構備案登記管理實施細則》要求,結合自身核心業務系統特點開展信息安全等級保護建設整改工作。從未經歷過測評的融道,面臨著巨大的挑戰。

  • 測評預留時間較短,為了確保業務順暢,需快速完成認證
  • 不了解測評流程,測評涉及內容項多且周期較長
  • 在完成認證的同時,需有效把控支出成本

測評流程

  • 定級備案

    等保測評第一步需完成企業定級及備案工作。測評主體需根據上級單位下發文件,結合自身業務情況完成測評定級和備案工作。安暢安排專業等保咨詢師協助客戶完成定級表格的填寫及備案材料的準備。同時,架構師團隊預先對客戶的業務架構進行梳理以把控測評進度。

  • 初評

    因客戶需在較短的時間內順利通過等保三級認證,安暢協調“公安三所”作為本次測評機構,負責整體測評工作。依據安暢為客戶制定的測評計劃,公安三所在約定時間完成融道的技術及管理體系初評并出具初測報告

  • 整改

    根據初測報告,安暢架構師團隊著手開展整改工作。針對安全技術層面問題,架構師重新選擇采用分布式、高可用性、多副本基礎架構的阿里云平臺來滿足等保三級基礎要求。

    1) 主機安全層面

    安暢為客戶的ECS統一安裝“安騎士”安防軟件,實現主機漏洞檢測、基線檢查、病毒查殺、資產統一管理等功能。同時,部署堡壘機運維審計系統,對SSH、windows遠程桌面、SFTP等常見運維協議的數據流進行全程記錄,達到運維審計的目的。另外,安暢也為客戶的業務網站配置CA證書,實現網站HTTPS訪問,使網站可信,防劫持、防篡改、防監聽。

    2)網絡安全層面

    安暢將客戶的兩組應用分別部署在VPC網絡環境的不同SLB,前端使用負載均衡做流量分發,隨時根據業務情況橫向擴展ECS實例;同時每個SLB下掛載的實例均進行跨可用區部署,實現同城容災。而內網安全組默認組內服務器互通,安全組之外的隔離,規劃不同應用主機分屬不同安全組,各應用之間的調用都經過授權,保證跨應用的訪問安全。此外,安暢還為客戶部署云端WAF,安騎士,DDoS防護等安全防護措施,從應用安全、主機安全、網絡安全三位一體保障核心業務系統安全。

    3) 安全管理層面

    安暢協助客戶制定對應安全管理制度、安全管理機構設定、人員安全管理規范、系統建設管理規范、系統運維管理規范、平臺數據備份管理制度、賬號密碼及權限管理制度等,并協助撰寫相關文檔。同時,安暢還為客戶部署SmartEye監控系統實現業務的監控告警。

  • 復測

    整改及實施共為期2周,待整改完畢后公安三所就整改后的技術及管理體系進行復測。復測達到合格評分后,由測評機構向所在市局提交報告,市局審核同意后為客戶出具最終測評報告。期間,安暢幫助客戶進行五項申報材料的填寫及準備工作,待客戶收到最終報告后提交材料等待通過回執。至此,本次等保測評全部完成。在為期不超過1個月的測評過程中,客戶的業務及正常工作并未受到任何影響。

客戶收益

把控測評成本,快速完成等保三級測評,實現業務安全合規。
提升客戶業務形象,提高企業可信度。
提升業務系統安全防護能力,保障業務連續性。
提供專業的運維管家服務,實現7x24小時快速響應,讓客戶專注于業務。