“新基建对于安全服务来说,是重大的机会和挑战。而安全服务对于新基建来说,则是其基础安全保障中极其重要的一部分。”东软网络安全事业部副总经理张泉对记者如是说。
2020年3月以来,中央会议多次强调要加快“新基建”的建设进度,5G、大数据中心、云计算、人工智能、工业互联网因此成为全国各地布局未来的重头戏。
东软网络安全事业部副总经理张泉
众所周知,此次提出的“新基建”是科技型的基础设施建设,它加速了数字化产业的布局,5G和工业互联网的发展,会使安全保护的对象范围进一步扩大,而大数据等新技术的应用会使人工+智能更能体现出其技术优势。
张泉表示,在新基建发展前期,需要的更多是以信息安全体系咨询、合规咨询、风险评估服务为主的安全服务,作为基础建设的安全保障之一,而在发展后期,则需要更多的安全运营服务。
东软安全服务部部长
市场表现也证明了这一点:自2016年起,安全即服务市场就一直高速增长,远远超过了同期安全产品的增长率。
事实上,当一个组织的信息基础设施建设达到一定程度和规模后,在规避安全风险、控制安全成本及保障业务持续性的需求压力下,这个组织必然开始寻求更加专业的安全服务提供商来协助规划、制订符合自身情况的安全策略,并通过有效的安全管理来消解这些压力。
在信息安全体系构建的过程中,只有将专业的安全服务、安全产品和安全管理等有机地结合起来,才能真正让信息系统实现动态和长久的安全,从而保障组织信息资产效益的最大化。
2020安全服务焦点业务安全与数据安全
吴宇轩告诉记者,2020年,随着《中华人民共和国网络安全法》与欧盟《一般数据保护法案》的落地,企业在安全服务领域关注的重点将会集中在业务安全咨询与数据安全咨询两个方面。
因为在企业数字化转型中,核心是数字业务化能力,这意味着其风险在技术上更集中于应用与数据层面;而《中华人民共和国网络安全法》与欧盟《一般数据保护法案》落实了企业在生产运营中的网络安全责任,内外双重压力结合,就会使企业更关注业务安全与数据安全。
但是,在这两个方面,由于各企业的业务模型不同,业务流程、数据权限与价值也不尽相同,很难有一款通用产品的可以覆盖所有的需求,所以企业通常会先通过定制咨询服务,把自身业务与安全结合起来,再提出符合企业自身业务模型的应用安全方案与数据安全方案。
东软安全服务:给你通用+定制服务
作为信息安全整体解决方案提供商,东软不仅研发出了具有完全自主知识产权的信息安全产品,也能提供全面的安全服务,既有多类通用的安全服务,也能为用户提供定制化的服务。据吴宇轩介绍,东软提供的安全服务主要包括四大类:
其一,咨询类:为用户提供整体信息安全规划、等级保护\行业标准合规等咨询服务。
信息安全保障体系的建设需要遵循好的思路框架来构建,东软可以依据ISO27001、信息安全等级保护、SOX、IT内控等国际、国内优秀的信息安全体系标准,为各行业客户提供标准政策合规性咨询服务,制订合适的安全策略、措施和方案,确保组织机构具有完成其使命的信息安全保障能力。
信息系统安全等级保护作为国家信息安全保障的基本制度、策略和方法,目前已经在全国各行业大力推广,东软作为信息安全等级保护标准的践行者,能够帮助客户根据等级保护标准,落实具体防范措施。结合行业特点,为各行业用户提供从咨询规划、网络安全产品、网络安全服务到集成交付的整体解决方案。
东软网络安全还具备行业领先的涉密集成及产品资质,依托遍布全国30余省的本地化交付体系,具备丰富的分级保护项目集成、产品实施及服务运维经验。以信息系统分级保护政策、规范为准则,结合涉密信息系统特点,落实具体防范措施,为用户提供卓有成效的定制化的整体解决方案。
其二,评估类:包括风险评估、渗透测试、基线检测、安全加固、代码审计等评估服务。
东软采用公认的ISO 27001、GB/T 20984-2007信息安全风险评估规范(中国国家标准),以及国家信息安全等级保护指南等安全标准,进行风险评估工作;针对资产重要程度提供不同 频率和方式的安全评估,帮助用户了解自身网络系统客观真实的安全现状,规划适合自己网 络系统环境的安全策略,从而全面完整的解决可能存在的各种风险隐患。
而渗透测试可以发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害,了解信息系统的真实安全状况,为信息系统的安全配置与管理提供指导建议。
东软NetEye安全加固服务可以参照国际权威系统加固配置标准,并结合等级保护国家政策及行业规范,根据客户业务系统的安全等级划分和具体要求,对相应信息系统制定和实施不同策略的安全加固和配置优化,为系统及应用平台建立起一套适应性更强的安全保障基线,并以此作为保证客户信息系统安全的起点。
其三,运营类:包括安全运维、应急响应、实战演练、安全巡检、网站监控、威胁预警等服务。
东软作为“全球最佳表现IT服务提供商10强”,可以为各行业客户提供量身定制的日常安全运维服务,包括日常安全巡检监控服务、安全设备维护服务、安全预警通告服务、7*24小 时应急响应服务、敏感时期的现场值守服务等,帮客户从繁杂的 IT 运维工作中解脱出来。
此外,东软多年来一直协助国家层面提供重大互联网安全事故的处理工作,并于2004年成为首批国家级公共互联网应急处理服务技术支撑单位,为国家及各行业客户处理了包括大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等上百项重大紧急安全事件。多年来,东软处理的各项重大安全事故应急服务得到了客户的高度评价和广泛认可。
其四,培训类:有面向企业信息安全工作人员的CISP培训,面向企业技术人员的红蓝对抗\CTF培训,也有面向全体员工的安全意识\安全知识普及培训。
东软拥有 CISP 国家级信息安全专业认证培训机构最高级资质,拥有多名 CIWCI 国际认证 讲师。东软凭借在网络信息安全领域多年的产品研发、服务实施的经验积累,成功总结、规 划和设计出一系列适合国内实际情况的信息安全培训课程,可以为各类组织的各层次人员提 供全方位、高质量的个性化、系统化的专业培训服务。
安全服务新形态:业务与安全深度结合
张泉强调,与传统的安全服务提供商相比,东软安全服务依托于东软集团200多个业务方向所积累的技术专家、知识、行业经验,深入至行业业务,先后提出了“业务驱动安全”、“安全赋能,驱动业务价值”理念,走出了一条业务与安全深度结合的道路。
据了解,目前东软安全服务已经先后在车联网、航空运营商领域形成了业务安全服务新形态。
以为航空运营商提供的安全服务为例,传统安全服务提供商与用户签订服务合同,内容通常都是在承诺期限内完成一次安全服务项目,至于项目效果,则很难去分析。而东软安全服务会直接与用户签订服务级别协议(SLA),并承诺在服务期内助客户实现核心业务指标与安全指标达标。
一般传统安全服务提供商签订的指标是服务期间内不被发现多少个漏洞,而东软安全服务除了签订这个安全指标,还可以签订与安全直接关联的业务指标,如黄牛占座率低于多少,刷票率低于多少,爬虫量过滤率是多少等等。
“因为这些指标也是这些行业用户的工作考核指标,所以东软提供的这种业务安全服务很受用户欢迎,也更能让用户信赖。” 张泉解释到。