啟明星辰汽車行業網絡安全整體規劃

發布時間 2020-07-29

某汽車集團股份有限公司是國內知名的汽車行業公司。在加快推動業務轉型升級過程中,信息化和網絡安全的地位和作用越來越凸顯,作為國內汽車行業的龍頭企業,需要在適應新的安全形勢和業務特點的前提下,從網絡安全現狀和需求入手,對安全工作進行整體規劃和頂層設計。


啟明星辰根據某汽車集團企業戰略目標和安全現狀與需求總結,遵循國家及行業法規政策要求,參照國內外最佳實踐模型,采用科學的網絡安全規劃方法論,構建符合汽車集團未來發展的網絡安全總體架構,并通過業務和項目約束關系分析、關鍵實施計劃和路徑為某汽車集團的業務轉型升級保駕護航。


了解背景之后,我們先來看看一下某汽車集團的現狀和需求。


內部安全需求


集團內部組織結構復雜且分散,防護手段均有防病毒、防火墻、應用防火墻、IDS、郵件網關、網絡準入等,但各類安全設備和系統防護策略不統一,各自為戰、事后補救為主,造成了防護對象和防護手段的雙重“碎片化”,安全需求不明確,建設方向不清和目標模糊,無法從整體上指導現在和將來的網絡安全工作。


合規監管要求


在2017年6月1日正式實施的《網絡安全法》,以及等級保護2.0標準、個人信息保護規范、國家關鍵基礎設施保護條例等一系列網絡安全相關法律法規出臺,安全合規是集團網絡安全建設的基線。


新興技術應用需求


隨著業務持續發展,新興技術(包括大數據、云計算、車聯網、移動互聯等)對信息化的推動作用日益突出,已經成為生產環節中不可或缺的一部分,但是在應用新技術的同時也面臨著新風險的安全挑戰。


外部環境變化需求


外部的網絡攻擊戰場從網絡和系統變為“云大物移工”新技術平臺,打擊的目標從系統變為應用邏輯和業務數據,攻擊武器變為威力更大的勒索蠕蟲、高級威脅APT、供應鏈攻擊等,企業網絡安全防護與保障壓力倍增。


了解現狀與需求之后,我們再來看一看啟明星辰網絡安全規劃服務。


啟明星辰為某汽車集團提供的網絡安全規劃服務主要內容包括:現狀調研與需求分析、總體架構與藍圖設計、項目計劃與實施設計,如下圖所示:



現狀調研與需求分析


現狀調研與需求分析是網絡安全規劃的起點,包括安全戰略分析、安全現狀分析、安全需求分析三大任務,旨在揭示客戶網絡安全現狀,明確與國家與行業相關標準要求存在的差距,識別客戶安全需求和期望達到的安全目標,為制定網絡安全架構提供基礎數據和設計依據。



總體架構與藍圖設計


總體架構與藍圖設計是網絡安全規劃的核心,以直觀化和結構化的方式,從多個角度對未來網絡安全建設狀況進行描述和設計。啟明星辰遵循國家及行業法規政策要求,充分理解和參考PDCA模型、IATF核心思想、Garnter自適應安全架構等模型和最佳實踐,形成一套網絡安全總體架構設計模型。



該模型主要分為4個層次,最核心部分是安全策略,通過安全策略指導整體安全體系的整個安全體系的設計、實施、維護和改進,是一切信息安全實踐活動的方針和指南。


第二層體現了網絡安全的三個基本要素:人員、管理和技術。在保證信息安全的過程中,人員是關鍵、管理是核心,技術是手段,必須做到管理和技術并重,技術和措施結合。


第三層是預測、防御、檢查、響應四個周期循環,持續不斷。充分利用主動監控,覆蓋全網IT設施,覆蓋預測、防御、檢查、響應四個周期,自適應于不同的基礎設施和應用系統并形成統一安全策略。


第四層是PDCA方法,以PDCA的思想持續不斷地提高和完善總體規劃,以保證客戶信息安全建設的連續性、前瞻性、先進性和可靠性。


項目規劃與實施規劃


項目規劃與實施設計是網絡安全規劃的結果,包括網絡安全現狀與總體架構之間的差距分析與改進措施、項目群架構設計、項目群優先級分析、項目群相關性分析及實施路徑規劃四大任務,旨在明確網絡安全建設步驟和實施計劃。



項目收益


● 呈現網絡安全現狀和差距


以風險評估、合規差距評估、組織自身需求等手段為基礎,開展針對性的網絡安全現狀分析,幫助了解自身網絡安全現狀,識別網絡安全風險,找出客戶網絡安全現狀與安全戰略目標之間的差距。


● 明確網絡安全架構和藍圖


通過網絡安全規劃服務,幫助客戶以直觀化和結構化的方式,從多個角度構建符合客戶未來發展的安全總體架構和基礎架構,并提煉出網絡建設重點及藍圖,為未來網絡安全建設指明方向,使客戶安全工作在其體系化的指導下有序地進行。


● 指導網絡安全項目規劃和實施


經過網絡安全規劃服務,幫助客戶制定近期、中期、遠期未來網絡安全體系建設藍圖,明確網絡安全建設步驟和實施計劃。


啟明星辰網絡安全規劃服務是遵循國家及行業法規政策要求,結合啟明星辰多年IT規劃、IT治理及安全規劃實踐經驗,汲取國內外相關先進思想、理念和方法,并參考PDCA、IATF、Garnter自適應安全架構、ISO27001、ITIL、COBIT和等級保護等國內外標準和規范,歸納出符合企業實際、具有一定代表性和適用性的網絡安全總體規劃方法論,進而對戰略、需求、目標進行分析,從戰略性、長遠性、全局性、方向性上考量,總結和提出企業網絡安全建設的遠景、目標、框架、體系和行動路線的過程。