项目背景

等保认证作为在网络安全法颁布后,国家落实信息安全的重要举措已被提上日程。据不完全统计,目前国内有18个行业被列为必须通过等保认证(电子政务外网、金融行业、网络借贷、征信、游戏、电力行业、广电、海关、交通、教育、税务、卫生、烟草、档案、智慧城市建设、国土、网约车、铁路)本文以安畅网络所服务的金融客户为例,详细阐述等保认证一系列流程,帮助企业了解等保的全测评周期。

客户需求

融道网是一家线上的融资中介服务平台,作为一家业务成熟的互联网金融企业,融道需依照上海金融办下发的《网络借贷信息中介机构业务活动管理实施办法》和《网络借贷信息中介机构备案登记管理实施细则》要求,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。从未经历过测评的融道,面临着巨大的挑战。

  • 测评预留时间较短,为了确保业务顺畅,需快速完成认证
  • 不了解测评流程,测评涉及内容项多且周期较长
  • 在完成认证的同时,需有效把控支出成本

测评流程

  • 定级备案

    等保测评第一步需完成企业定级及备案工作。测评主体需根据上级单位下发文件,结合自身业务情况完成测评定级和备案工作。安畅安排专业等保咨询师协助客户完成定级表格的填写及备案材料的准备。同时,架构师团队预先对客户的业务架构进行梳理以把控测评进度。

  • 初评

    因客户需在较短的时间内顺利通过等保三级认证,安畅协调“公安三所”作为本次测评机构,负责整体测评工作。依据安畅为客户制定的测评计划,公安三所在约定时间完成融道的技术及管理体系初评并出具初测报告

  • 整改

    根据初测报告,安畅架构师团队着手开展整改工作。针对安全技术层面问题,架构师重新选择采用分布式、高可用性、多副本基础架构的阿里云平台来满足等保三级基础要求。

    1) 主机安全层面

    安畅为客户的ECS统一安装“安骑士”安防软件,实现主机漏洞检测、基线检查、病毒查杀、资产统一管理等功能。同时,部署堡垒机运维审计系统,对SSH、windows远程桌面、SFTP等常见运维协议的数据流进行全程记录,达到运维审计的目的。另外,安畅也为客户的业务网站配置CA证书,实现网站HTTPS访问,使网站可信,防劫持、防篡改、防监听。

    2)网络安全层面

    安畅将客户的两组应用分别部署在VPC网络环境的不同SLB,前端使用负载均衡做流量分发,随时根据业务情况横向扩展ECS实例;同时每个SLB下挂载的实例均进行跨可用区部署,实现同城容灾。而内网安全组默认组内服务器互通,安全组之外的隔离,规划不同应用主机分属不同安全组,各应用之间的调用都经过授权,保证跨应用的访问安全。此外,安畅还为客户部署云端WAF,安骑士,DDoS防护等安全防护措施,从应用安全、主机安全、网络安全三位一体保障核心业务系统安全。

    3) 安全管理层面

    安畅协助客户制定对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范、平台数据备份管理制度、账号密码及权限管理制度等,并协助撰写相关文档。同时,安畅还为客户部署SmartEye监控系统实现业务的监控告警。

  • 复测

    整改及实施共为期2周,待整改完毕后公安三所就整改后的技术及管理体系进行复测。复测达到合格评分后,由测评机构向所在市局提交报告,市局审核同意后为客户出具最终测评报告。期间,安畅帮助客户进行五项申报材料的填写及准备工作,待客户收到最终报告后提交材料等待通过回执。至此,本次等保测评全部完成。在为期不超过1个月的测评过程中,客户的业务及正常工作并未受到任何影响。

客户收益

把控测评成本,快速完成等保三级测评,实现业务安全合规。
提升客户业务形象,提高企业可信度。
提升业务系统安全防护能力,保障业务连续性。
提供专业的运维管家服务,实现7x24小时快速响应,让客户专注于业务。