启明星辰汽车行业网络安全整体规划
发布时间 2020-07-29某汽车集团股份有限公司是国内知名的汽车行业公司。在加快推动业务转型升级过程中,信息化和网络安全的地位和作用越来越凸显,作为国内汽车行业的龙头企业,需要在适应新的安全形势和业务特点的前提下,从网络安全现状和需求入手,对安全工作进行整体规划和顶层设计。
启明星辰根据某汽车集团企业战略目标和安全现状与需求总结,遵循国家及行业法规政策要求,参照国内外最佳实践模型,采用科学的网络安全规划方法论,构建符合汽车集团未来发展的网络安全总体架构,并通过业务和项目约束关系分析、关键实施计划和路径为某汽车集团的业务转型升级保驾护航。
了解背景之后,我们先来看看一下某汽车集团的现状和需求。
内部安全需求
集团内部组织结构复杂且分散,防护手段均有防病毒、防火墙、应用防火墙、IDS、邮件网关、网络准入等,但各类安全设备和系统防护策略不统一,各自为战、事后补救为主,造成了防护对象和防护手段的双重“碎片化”,安全需求不明确,建设方向不清和目标模糊,无法从整体上指导现在和将来的网络安全工作。
合规监管要求
在2017年6月1日正式实施的《网络安全法》,以及等级保护2.0标准、个人信息保护规范、国家关键基础设施保护条例等一系列网络安全相关法律法规出台,安全合规是集团网络安全建设的基线。
新兴技术应用需求
随着业务持续发展,新兴技术(包括大数据、云计算、车联网、移动互联等)对信息化的推动作用日益突出,已经成为生产环节中不可或缺的一部分,但是在应用新技术的同时也面临着新风险的安全挑战。
外部环境变化需求
外部的网络攻击战场从网络和系统变为“云大物移工”新技术平台,打击的目标从系统变为应用逻辑和业务数据,攻击武器变为威力更大的勒索蠕虫、高级威胁APT、供应链攻击等,企业网络安全防护与保障压力倍增。
了解现状与需求之后,我们再来看一看启明星辰网络安全规划服务。
启明星辰为某汽车集团提供的网络安全规划服务主要内容包括:现状调研与需求分析、总体架构与蓝图设计、项目计划与实施设计,如下图所示:
现状调研与需求分析
现状调研与需求分析是网络安全规划的起点,包括安全战略分析、安全现状分析、安全需求分析三大任务,旨在揭示客户网络安全现状,明确与国家与行业相关标准要求存在的差距,识别客户安全需求和期望达到的安全目标,为制定网络安全架构提供基础数据和设计依据。
总体架构与蓝图设计
总体架构与蓝图设计是网络安全规划的核心,以直观化和结构化的方式,从多个角度对未来网络安全建设状况进行描述和设计。启明星辰遵循国家及行业法规政策要求,充分理解和参考PDCA模型、IATF核心思想、Garnter自适应安全架构等模型和最佳实践,形成一套网络安全总体架构设计模型。
该模型主要分为4个层次,最核心部分是安全策略,通过安全策略指导整体安全体系的整个安全体系的设计、实施、维护和改进,是一切信息安全实践活动的方针和指南。
第二层体现了网络安全的三个基本要素:人员、管理和技术。在保证信息安全的过程中,人员是关键、管理是核心,技术是手段,必须做到管理和技术并重,技术和措施结合。
第三层是预测、防御、检查、响应四个周期循环,持续不断。充分利用主动监控,覆盖全网IT设施,覆盖预测、防御、检查、响应四个周期,自适应于不同的基础设施和应用系统并形成统一安全策略。
第四层是PDCA方法,以PDCA的思想持续不断地提高和完善总体规划,以保证客户信息安全建设的连续性、前瞻性、先进性和可靠性。
项目规划与实施规划
项目规划与实施设计是网络安全规划的结果,包括网络安全现状与总体架构之间的差距分析与改进措施、项目群架构设计、项目群优先级分析、项目群相关性分析及实施路径规划四大任务,旨在明确网络安全建设步骤和实施计划。
项目收益
● 呈现网络安全现状和差距
以风险评估、合规差距评估、组织自身需求等手段为基础,开展针对性的网络安全现状分析,帮助了解自身网络安全现状,识别网络安全风险,找出客户网络安全现状与安全战略目标之间的差距。
● 明确网络安全架构和蓝图
通过网络安全规划服务,帮助客户以直观化和结构化的方式,从多个角度构建符合客户未来发展的安全总体架构和基础架构,并提炼出网络建设重点及蓝图,为未来网络安全建设指明方向,使客户安全工作在其体系化的指导下有序地进行。
● 指导网络安全项目规划和实施
经过网络安全规划服务,帮助客户制定近期、中期、远期未来网络安全体系建设蓝图,明确网络安全建设步骤和实施计划。
启明星辰网络安全规划服务是遵循国家及行业法规政策要求,结合启明星辰多年IT规划、IT治理及安全规划实践经验,汲取国内外相关先进思想、理念和方法,并参考PDCA、IATF、Garnter自适应安全架构、ISO27001、ITIL、COBIT和等级保护等国内外标准和规范,归纳出符合企业实际、具有一定代表性和适用性的网络安全总体规划方法论,进而对战略、需求、目标进行分析,从战略性、长远性、全局性、方向性上考量,总结和提出企业网络安全建设的远景、目标、框架、体系和行动路线的过程。
京公网安备11010802024551号