客戶介紹

客戶是歷史悠久的揚聲器生產商之一，致力于“原音重現(xiàn)技術”的研究應用，產品涉及高級家庭音響、高級汽車音響、大型場館擴聲系統(tǒng)、商業(yè)音樂系統(tǒng)、消噪耳機、通用擴聲/現(xiàn)場演出系統(tǒng)等，其產品被廣泛運用于高級家庭音響、專業(yè)場館音響、航天以及高級汽車音響等。在中國獨立投資的分公司主要職能為大中華區(qū)的市場銷售及物流分撥中心，以提供更直接的演示及服務，更好地將其產品及技術與大中華區(qū)域的消費者一起分享。

系統(tǒng)情況

圖源：Pixabay

客戶某款音樂APP為公司的音響、耳機產品的配置工具，通過應用程序可以進行產品初始設置，產品控制，產品配置，以及查詢產品信息。此外，應用程序會通過固件更新為產品提供新功能或功能增強，持續(xù)改進聆聽體驗并讓其歷久彌新。系統(tǒng)部署于中國北京亞馬遜云平臺。在等級保護安全要求中劃為二級保護系統(tǒng)，需依據(jù)國家信息安全等級保護技術和管理要求以及系統(tǒng)實際情況，開展信息安全等級保護建設工作，加強和加固信息安全系統(tǒng)的防護。

解決方案

一、等保咨詢服務流程

1、定級備案

御盾安全團隊協(xié)助客戶依據(jù)《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級，準備定級備案表和定級報告，協(xié)助客戶向所在地區(qū)的公安機關辦理備案手續(xù)。根據(jù)評估報告，結合國家對等保要求及規(guī)定，確定該音樂APP系統(tǒng)安全保護等級為第二級。

2、差距分析

通過等級差距分析，明確客戶信息系統(tǒng)的現(xiàn)狀，確定不符合安全項，明確安全建設需求。

3、方案設計

參考國家標準《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》，御盾安全團隊依據(jù)差距分析的結論，在與客戶充分溝通后，結合客戶實際情況，給出安全整改和建設方案。

4、整改建設

根據(jù)安全整改方案，結合客戶實際需求，御盾安全團隊協(xié)助客戶完成設備的選型、采購、安裝、策略配置等活動，協(xié)助客戶搭建完善的技術防護系統(tǒng)和安全管理體系，保障信息系統(tǒng)的安全穩(wěn)定運行。

5、等級測評

御盾安全團隊協(xié)助客戶選擇第三方測評機構，開展信息系統(tǒng)等級保護驗收測評工作，保障通過等級保護驗收測評。

6、定期評估

測評通過后，御盾安全團隊定期為客戶提供評估服務，確保信息系統(tǒng)長期處于一種動態(tài)的合規(guī)安全狀態(tài)中。

二、安全整改和建設方案

1、依據(jù)等級保護制度，協(xié)助客戶全面開展信息安全等級保護定級備案、建設整改和等級測評等工作后，明確信息安全保障重心，協(xié)助落實信息安全責任，建立信息安全等級保護工作長效機制，提高客戶信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力。

2、在漏洞掃描與修復方面，通過利用自動化的漏洞掃描工具，可以對計算機系統(tǒng)、網(wǎng)絡和應用程序進行檢測，在發(fā)現(xiàn)潛在的安全問題后進行漏洞評估，制定詳細的修復計劃并執(zhí)行這些修復措施。

3、在應急響應與處置方面，通過制定應急響應管理制度、應急預案、應急演練計劃、應急處置流程等機制，幫助快速識別和評估安全事件的性質和嚴重程度，在處理安全事件時采取正確的步驟和方法，建立有效的溝通機制。提高應對安全事件的能力，減少安全事件對企業(yè)的影響。

4、從記錄類、證據(jù)類、制度類三個方面進行梳理，包括信息系統(tǒng)定級記錄、安全防護措施記錄、安全審計記錄、安全培訓記錄和安全檢查記錄等，以及相應的證據(jù)材料和制度規(guī)定。網(wǎng)絡安全制度的完善為客戶帶來了明確責任、規(guī)范操作、提高安全意識、降低風險、提升合規(guī)性、促進持續(xù)改進和提高客戶滿意度等價值。

三、等級保護安全管理指導

1、安全管理機構

梳理安全管理職能流程，協(xié)助客戶建立管理機制。建立一個統(tǒng)一指揮、協(xié)調有序、組織有力的安全管理機構，對網(wǎng)絡安全管理進行實施和推廣。同時構建從單位管理層到執(zhí)行層以及具體業(yè)務運營層的組織體系，明確各個崗位的安全職責，為安全管理提供組織上的保證。

2、安全管理制度

協(xié)助補充完善公司安全管理制度，明確落實安全人員的工作職責。對等級保護對象建設、開發(fā)、運維、升級和改造等各個階段和環(huán)節(jié)的規(guī)章制度進行完善，全面覆蓋等級保護對象生命周期中的重要活動。

3、安全管理人員

（1）協(xié)助制定公司《信息系統(tǒng)人員管理制度》；

（2）定期組織公司信息系統(tǒng)相關人員的安全意識培訓、安全技能培訓；

（3）加強對第三方合作伙伴、人員、系統(tǒng)的安全管理，防止引入第三方給公司帶來的安全風險。

4、安全建設管理

等級保護對象在建設過程中，要經(jīng)過系統(tǒng)定級和備案、安全方案設計、產品采購和使用、軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付等幾個階段，對每個階段涉及到的活動實施科學和完善的管理，保證系統(tǒng)建設的進度、質量和安全。

5、安全運維管理

在等級保護對象建設完成投入運行之后，對系統(tǒng)實施有效、完善的維護管理，保證系統(tǒng)運行階段的安全。

客戶收益

通過開展網(wǎng)絡安全等級保護工作，協(xié)助客戶完善“一個中心，三重防護”的縱深防御體系，達到網(wǎng)絡安全等級保護測評標準，同時提高了客戶的自身安全防護能力，主要收益如下：

1、降低信息安全風險，提高系統(tǒng)安全防護能力；

2、滿足國家相關法律法規(guī)和制度的要求；

3、滿足相關主管單位和行業(yè)要求；

4、提高企業(yè)形象；

5、合理地規(guī)避或降低業(yè)務停業(yè)整改風險；

6、提升客戶整體安全技術水平。

御盾安全——您身邊的信息安全專家

御盾安全是舜源科技旗下安全業(yè)務品牌，致力于為客戶提供客觀專業(yè)的信息安全咨詢解決方案，同時提供全面的安全服務。我們長期與各大安全廠商保持良好的合作關系，涵蓋國內外信息安全行業(yè)的主流廠商，通過了解技術發(fā)展趨勢，把國內外先進技術和理念用專業(yè)的服務帶給客戶。公司通過多年的積累和發(fā)展，擁有了健全的數(shù)字化生態(tài)合作資源鏈、與各地信息安全服務機構建立了良好的合作關系。我們深耕公安行業(yè)十多年，積累了豐富的信息安全項目建設經(jīng)驗與技術服務經(jīng)驗，了解客戶業(yè)務場景需求、熟悉國內外主流安全廠商的技術和產品的優(yōu)缺點，可為用戶量身定制專屬安全解決方案。

御盾安全長期密切關注國家信息安全管理政策的動態(tài)變化，在企業(yè)網(wǎng)絡安全等級保護建設工作實踐中積累了豐富的經(jīng)驗。憑借過硬的技術實力和專業(yè)的服務能力，獲得了廣大客戶的充分認可。未來，御盾安全將持續(xù)協(xié)助更多的客戶快速省心過等保，幫助企業(yè)全面提升安全能力，推動信息化健康發(fā)展。