freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关键信息基础设施风险评估(RVA)案例分析 | 环保行业
2019-08-20 11:59:13

行业背景

随着中国经济的持续快速发展,城市进程和工业化进程的不断增加,环境污染日益严重,国家对环保的重视程度也越来越高,我国的环境保护事业从1972年开始起步,北京市成立了官厅水库保护办公室,河北省成立了三废处理办公室,1973年成立国家建委下设的环境保护办公室,后来改为由国务院直属的部级国家环境保护总局。在2008年“两会”后,环保总局升格为“环保部”。并对全国的环境保护实施统一的监督管理。各省(市、区)也相继成立了环境保护局(厅)。


客户需求

 对关键信息基础设施进行安全评估


能够对网络整体安全风险进行展现,能够提高单位网络安全主动防御能力。

 落实国家网络安全政策实施


满足网信部门和有关部门开展关键信息基础设施安全检查评估,使环保部门成为关键信息基础设施行业监管单位。


解决方案

对关键信息基础设施进行安全检查评估工作,检查评估内容分为合规检查和技术检查两部分。

合规检查是指通过资料核实、人员访谈和技术验证等手段,检查被检查方是否遵从法律、法规和政策标准的相关要求。

技术检查可分为安全检测和安全监测两部分


a)安全检测是指检查人员在合适的检测接入点,通过漏洞扫描、渗透测试和社会工程学等安全测试方法,验证被检查方某种特定性能指标的技术手段。

b)安全监测是指检查评估人员在检查工作期间选择合适的监测接入点部署监测工具,长时间获取网络实时流量,发现被检查方安全漏洞和安全隐患的技术手段。

图片2.png

客户价值

节约了自查和检查成本,提高自查检查效率;


工具自动化:傻瓜式操作、一键启动检查

关键信息基础设施安全检查评估指南、网络安全法的落地实施;


国家网络安全检查课题承担者,中央网信办承担关键信息基础设施检查技术支持

使关键信息基础设施自查检查工作工程化、标准化、流程化;


检查流程对标关键信息基础设施安全检查评估指南,该标准是用于网信部门和有关部门开展关键信息基础设施安全检查评估,也适用于关键信息基础设施运营者开展安全自查评估。

摸清关键业务信息、资产信息、澄清业务系统的薄弱环节,刻画事中风险,提升CII单位业务系统的防护能力;


根据合规检查、技术检查和分析评估得到的结果,输出正式的检查评估报告,报告内容包括:

a)被检查方描述;b)合规检查说明;c)技术检查结果说明;d)安全风险分析;e)安全状况评价;f)整改建议。


口碑

由于环保部业务的特殊性和复杂性,因此对主机安全以及CII每个关键属性都有着非常严苛的要求。关键信息基础设施(RVA)产品和服务很好的满足了环保部各个层面的需求,同时节约了资源,使自查检查工作更合理,提升了对CII单位业务系统的防护能力,达到用户的高度认可和赞许。


# 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者