为什么信息保护系统的实施往往比交付更困难
网络安全工具可能经过认证、众所周知且正确选择,但如果只是“按照说明”安装,仍然无法起到保护作用。在企业基础设施中,网络安全系统必须考虑网络、域、服务器、工作站、虚拟化、云、API、DevOps、帐户、日志、关键业务系统、更新时间表和实际操作流程。
因此,网络安全的实施并不是采购后的最后一个技术步骤,而是一个单独的项目。它回答了实际问题:我们保护哪些资产、由谁管理、事件去向、调查如何进行、谁接受例外情况、出现误报时会发生什么、如何不停止业务流程以及如何向审计师证明保护措施确实有效。
这项工作对谁来说至关重要?
CISO 和网络安全服务
您需要的不是一套许可证,而是有效的保护措施:政策、事件、响应、证据、变更控制和明确的责任。
CIO 和 IT 运营
在基础设施中实现保护而不混乱非常重要:具有兼容性、工作窗口、回滚计划、监控、支持和 SLA。
建筑师和基础设施团队
我们需要HLD/LLD、网络图、集成矩阵、日志、帐户、冗余和性能的要求。
可调环境
ISPD、GIS、CII、银行、工业和公共部门不仅需要技术,还需要正确的措施、文件、日志和验收。
SOC 和响应团队
网络安全必须将事件、上下文和状态输入 SIEM/SOAR/ITSM,以便警报转化为调查和行动。
采购及项目办公室
我们需要明确的规范、阶段、验收标准、责任划分,并控制交付是否达到预期结果。
关键术语说明
| 学期 | 解码 | 实施后意味着什么? |
|---|---|---|
| 深圳国际 | 网络安全工具 | 用于保护系统、数据、用户、网络、应用程序或基础设施的产品或一组措施。 |
| CIPF | 密码信息保护工具 | VPN、TLS、HSM、PKI、加密网关以及 FSB 要求、证书、关键基础设施和操作非常重要的其他方式。 |
| HLD | 高层设计、顶层架构 | 它显示了我们正在实施什么、在哪些环境中、系统如何连接以及制定了哪些安全原则。 |
| LLD | 底层设计,详细项目 | 捕获特定设置、规则、网络区域、端口、帐户、日志、集成和故障场景。 |
| ISPD | 个人数据信息系统 | 根据 152-FZ、第 1119 号决议和 FSTEC 第 21 号命令处理个人数据的环境和需要采取的措施。 |
| KIII | 关键信息基础设施 | 对受 187-FZ 和 FSTEC 重要设施要求监管的行业和流程具有重要意义的系统和网络。 |
| NGFW / WAF | Next-Generation Firewall / Web Application Firewall | NGFW 保护网络边界和网段,WAF 保护 Web 应用程序和 API 免受应用程序攻击。 |
| DLP / DBF / DAM | Data Loss Prevention / Database Firewall / Database Activity Monitoring | 泄漏控制、数据库保护以及用户和管理员数据操作监控。 |
| EDR / XDR | Endpoint Detection and Response / Extended Detection and Response | 检测并调查工作站、服务器和相关来源上的可疑活动。 |
| SIEM / SOAR / SGRC | Security Information and Event Management / Security Orchestration, Automation and Response / Security Governance, Risk and Compliance | 事件收集、响应自动化、风险管理、控制、异常和报告。 |
| PAM / IDM / IAM | Privileged Access Management / Identity Management / Identity and Access Management | 管理特权访问、帐户、角色和权限生命周期。 |
| VM | Vulnerability Management | 漏洞管理:扫描、优先级排序、修复、排除和补丁控制。 |
| UAT | User Acceptance Testing | 产业上线前,由用户、IT 和网络安全参与的验收测试。 |
世界和俄罗斯实践
成熟的网络安全计划不仅将安全信息的实施与产品安装联系起来,还与风险管理、控制、证据和持续改进联系起来。 NIST 网络安全框架 2.0 帮助描述治理、识别、保护、检测、响应和恢复的功能; CIS 控制提供了一套优先的实用措施; NIST SP 800-53 作为控制目录很有用; MITRE ATT&CK 有助于检查所实施的措施实际上涵盖了哪些攻击技术。
在俄罗斯背景下,实施必须考虑 152-FZ 和 ISPDn、187-FZ 和 KII、GIS、FSTEC 和 FSB 要求、产品认证、安全等级、威胁模型、日志、组织和管理文件以及操作。因此,RESTART 并不承诺“单一产品的合规性”:合规性来自架构、措施、设置、文档、流程和经过验证的操作的组合。
我们实施的解决方案类别
项目的组成取决于客户的环境。有时你需要一项有针对性的措施,例如在你的个人账户前加一个WAF。有时它是多个类别的组合:NGFW、VPN/CIPF、端点、DLP、PAM、SIEM、SOAR、VM、WAF、AntiDDoS 和操作法规。

周边和网络
NGFW、VPN、CIPF、分段、DMZ、AntiDDoS、WAF、机器人防护、Web/API 和分支机构网络保护。
工作站和服务器
端点保护、EDR/XDR、可信启动、设备控制、操作系统保护、虚拟化和管理。
数据
DLP、DBF/DAM、屏蔽、标记化、上传控制、数据库保护以及安全开发/测试循环的准备。
访问权限
IDM/IAM、PAM、MFA、管理员账户、服务用户、访问权限审核和分权控制。
SOC 就绪环境
SIEM、SOAR、SGRC、VM、TIP、UEBA、NDR、响应场景、检测场景、报告、升级路线和 ITSM 捆绑包。
DevSecOps 和应用程序安全
SAST、DAST、SCA、秘密扫描、容器安全、WAF、CI/CD 控制和修复流程。
可以包含在项目中的供应商和产品
RESTART根据客户的架构、法规、预算、兼容性和运营成熟度来选择产品。该项目可能包括来自 Security Code、Confident、InfoTEX、UserGate、servicepipe、卡巴斯基、Positive Technologies、R-Vision、Security Vision、DAMASCUS、Garda、InDEED、AppSec、F6 以及供应商地图上其他合作伙伴的解决方案。

安全码
监管网络安全、NGFW、VPN、端点、虚拟化

机密的
NSD、可信下载、VI、WAF、监管项目
信息展览中心
CIPF、VPN、加密网关、HSM、PKI、CII
UserGate
NGFW, SUMMA, SIEM, LogAn, Client, SecaaS

servicepipe
AntiDDoS、机器人防护、云 WAF、Web/API 防护

Kaspersky
endpoint, EDR/XDR, KATA, threat intelligence
Positive Technologies
VM、SIEM、AppSec、NDR、WAF、网络弹性

R-Vision
SOAR, SGRC, VM, TIP, UEBA, SIEM

Security Vision
SOAR, NG SOAR, SGRC, SIEM, VM, TIP, UEBA
大马士革
屏蔽、标记化、动态数据保护

加尔达
DLP, DBF, Data Masking, NDR, WAF, Anti-DDoS
合作伙伴被列为解决方案类的技术骨干。产品的具体构成、版本、许可证、证书、交付条件和兼容性在项目前已确认。
我们如何实施:从项目到工业环境
诊断
我们记录资产、系统、数据、用户、网络区域、当前安全信息、监管要求、操作限制和预期结果。
建筑学
我们正在准备或澄清 HLD/LLD:解决方案安装在哪里、它保护什么流、需要什么角色、在哪里写入事件以及容错是什么样的。
试点和规范
我们检查兼容性、性能、准确性、集成、管理员负载和验收标准。
交付和准备
我们协调许可证、版本、证书、密钥、访问、立场、工作窗口、回滚计划和责任矩阵。
设置和集成
我们部署产品,配置策略、角色、日志、连接器、警报、SIEM/SOAR/ITSM 中的路由和监控。
试运行
我们根据真实流量、事件和用户微调规则、消除噪音、检查误报并培训管理员。
验收
我们进行 UAT、验收测试、需求验证、文档传输、协议、说明和公开改进列表。
护送
我们帮助更新、变更、事件、报告、建立新的来源和开发环境的成熟度。
集成,没有集成,网络安全系统仍然是一座孤岛
网络安全系统应该是整体操作画面的一部分,而不是一个无人登录的单独控制台。因此,在RESTART项目中,提前设计了与目录、日志、SOC、ITSM、监控、DevOps和业务系统的集成。
| 一体化 | 为什么需要它? | 我们检查什么 |
|---|---|---|
| AD / LDAP / IdP | 单个用户、组、角色、MFA 和访问生命周期。 | 服务帐户、组、管理员权限、锁定和审核。 |
| SIEM / SOAR | 事件、关联、响应场景、分析、响应自动化和调查。 | 日志格式、事件完整性、标准化、关键性、路由和噪声。 |
| ITSM / Service Desk | 消除任务、事件、SLA、所有者、状态和执行控制。 | 类别、升级路线、任务模板、必填字段和报告。 |
| Monitoring / Observability | 监控网络安全系统本身的可用性以及对基础设施的影响。 | 指标、警报、预留、容量、更新和降级。 |
| DevOps / CI/CD | 安全发布、配置验证、WAF、AppSec、容器和安全检查点。 | 构建管道、秘密、批准、例外、缓解和回滚变更。 |
| BI / SGRC / 报告 | 管理图景:风险、控制、例外、动态和证据基础。 | 数据质量、控制所有者、报告频率和审计跟踪。 |
结果如何被接受
对信息和信息系统的良好接受并不仅限于“产品已安装”这一短语。有必要检查产品是否保护必要的资产、不破坏业务流程、发送事件、由分配的角色进行管理、具有文档和清晰的操作模式。
功能测试
策略、阻止、例外、通知、报告、事件和响应脚本根据商定的标准运行。
基础设施检查
测试性能、容错、备份、更新、网络路由以及对服务的影响。
网络安全检查
角色、访问权限、管理员、日志、事件存储、强化和变更控制与设计模型相对应。
运营
当出现事件、误报、更新、故障、策略更改或审核请求时,团队知道谁在做什么。
文件
方案、说明、设置、访问矩阵、测试协议、法规和开放式改进列表均已转移。
发展规划
一旦启动,下一阶段需要添加哪些来源、规则、政策和集成就很清楚了。
RESTART 体验特别有用的地方
| 情况 | RESTART 交付什么 |
|---|---|
| 有HLD/LLD,但没有实施 | 我们检查项目的可行性,澄清设置,制定工作计划,实施并将环境投入运行。 |
| 需要关闭152-FZ、KII或GIS的要求 | 我们将安全措施、认证产品、文件、日志、角色和操作程序联系起来。 |
| 已购买许可证,但未使用该产品 | 我们进行技术和流程分析:安装了什么、未配置什么、没有集成、所有者或应用场景。 |
| 我们需要构建一个 SOC 就绪环境 | 我们连接来源、用例、SIEM/SOAR/ITSM、升级路线、剧本、SLA 和管理报告。 |
| 许多供应商,但没有单一图片 | 我们正在收集一张技术地图:哪些解决方案负责什么,交叉点在哪里,需要什么事件,留下什么、替换或调整什么。 |
| 需要在不停止业务的情况下实施 | 我们规划工作窗口、试点组、分阶段推出、回滚、与用户的沟通和负载测试。 |
人工智能在网络安全实施和维护中的作用
人工智能不会取代网络安全工程师、架构师或管理员。但它可以显着减少实施项目中的手动工作量:比较需求和设置,查找文档中的遗漏,总结试运行日志,准备草稿运行手册和行动手册,分析配置更改,帮助证据包并向管理层解释哪些内容已经关闭,哪些内容仍然存在风险。
对于 RESTART 来说,使用人工智能的安全模式非常重要:内部来源、访问权限、日志记录、专家验证以及禁止未经批准自动更改策略。在成熟的环境中,人工智能有助于快速实施和维护网络安全,但最终决定权仍在负责人手中。
企业得到什么?
您可以使用的保护
SZI 在真实环境中工作,拥有所有者、设置、日志、说明和明确的支持。
降低监管风险
措施、文件、日志和证据包有助于通过检查和内部审核,无需紧急手动恢复图片。
减少停机时间和意外情况
试点、试运行、分阶段上线和回滚计划可降低停止用户或关键服务的风险。
更快的调查
来自网络安全系统的事件属于 SIEM/SOAR/ITSM,具有上下文、所有者和反应路线。
拥有成本控制
客户了解谁管理解决方案、需要哪些资源、如何更新、自定义哪些内容以及不使用哪些许可证。
发展规划
发布后,路线图仍然存在:新的来源、规则、策略、报告、集成和自动化。
交付成果
- 受保护资产、系统、用户、角色和责任范围的地图;
- 更新了 HLD/LLD 或一套用于实施的设计方案;
- 信息保护信息/加密信息保护系统、版本、许可证、证书和交付限制的规范;
- 配置的策略、规则、集成、帐户、日志和通知;
- 管理员和用户的访问矩阵,包括服务帐户;
- 测试计划、试点、试运行和验收协议;
- 管理员说明、运行手册、行动手册、维护和更新规定;
- 网络安全、合规性、内部审计和采购体系的证据包;
- 开发路线图:新来源、规则、报告、集成和自动化。
第一步实践
从简短的诊断开始是合理的:哪些系统受到保护,哪些要求适用,哪些网络安全系统已经存在,哪些已购买,哪些不起作用,需要哪些集成以及谁将在启动后操作环境。
如果尚未描述目标架构,则首先使用 HLD/LLD。如果选择了产品,您可以继续进行试点、规范、交付和实施。如果任务是监管性的,则值得将实施与 KII/152-FZ、GIS 或全面 IS 审计的诊断联系起来。
常见问题
实施与网络安全的交付有何不同?
此次交付结束了商业和许可循环。实施负责配置、集成、日志、角色、测试、文档、验收和移交到生产。
是否可以在没有 HLD/LLD 的情况下实施?
对于一个小任务,有时一个技术计划就足够了。对于企业、ISPD、GIS、CII、SOC-ready 和多个供应商来说,HLD/LLD 大大降低了错误风险。
什么是试运营?
这是解决方案对真实数据和用户起作用的时期,但团队仍在生产验收之前微调策略、事件、异常、报告和说明。
如何在实施过程中不破坏业务流程?
通过试点小组、分阶段推出、工作窗口、例外规则、影响监控、回滚计划以及与系统所有者的协调。
是否可以实施已购买的解决方案?
是的。 RESTART 可以从对当前许可证、版本、配置和集成的调查开始,然后提出切实可行的升级或RESTART计划。
哪些信息保护系统可以链接到 SIEM/SOAR?
几乎所有发送事件的成熟解决方案:NGFW、WAF、EDR/XDR、DLP、PAM、VM、CIPF、DBF/DAM、端点、NDR 和基础设施源。
发射后谁将陪伴您?
该模型根据项目确定:客户、RESTART、供应商或联合方案。主要是提前描述角色、SLA、更新、事件和变更。
是否可以从可调环境开始?
是的。对于ISPD、GIS和CII,我们将网络安全的实施与监管机构的要求、威胁模型、文档、日志和证据包联系起来。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
