解决方案

实施运行中的网络安全体系

RESTART 不仅帮助大型组织购买和安装网络安全工具,还帮助它们进入工作状态:包括架构、集成、日志、角色、法规、验收、管理员培训和清晰的支持模型。

“信息技术的实施”页面的英雄图片

为什么信息保护系统的实施往往比交付更困难

网络安全工具可能经过认证、众所周知且正确选择,但如果只是“按照说明”安装,仍然无法起到保护作用。在企业基础设施中,网络安全系统必须考虑网络、域、服务器、工作站、虚拟化、云、API、DevOps、帐户、日志、关键业务系统、更新时间表和实际操作流程。

因此,网络安全的实施并不是采购后的最后一个技术步骤,而是一个单独的项目。它回答了实际问题:我们保护哪些资产、由谁管理、事件去向、调查如何进行、谁接受例外情况、出现误报时会发生什么、如何不停止业务流程以及如何向审计师证明保护措施确实有效。

这项工作对谁来说至关重要?

CISO 和网络安全服务

您需要的不是一套许可证,而是有效的保护措施:政策、事件、响应、证据、变更控制和明确的责任。

CIO 和 IT 运营

在基础设施中实现保护而不混乱非常重要:具有兼容性、工作窗口、回滚计划、监控、支持和 SLA。

建筑师和基础设施团队

我们需要HLD/LLD、网络图、集成矩阵、日志、帐户、冗余和性能的要求。

可调环境

ISPD、GIS、CII、银行、工业和公共部门不仅需要技术,还需要正确的措施、文件、日志和验收。

SOC 和响应团队

网络安全必须将事件、上下文和状态输入 SIEM/SOAR/ITSM,以便警报转化为调查和行动。

采购及项目办公室

我们需要明确的规范、阶段、验收标准、责任划分,并控制交付是否达到预期结果。

关键术语说明

学期解码实施后意味着什么?
深圳国际网络安全工具用于保护系统、数据、用户、网络、应用程序或基础设施的产品或一组措施。
CIPF密码信息保护工具VPN、TLS、HSM、PKI、加密网关以及 FSB 要求、证书、关键基础设施和操作非常重要的其他方式。
HLD高层设计、顶层架构它显示了我们正在实施什么、在哪些环境中、系统如何连接以及制定了哪些安全原则。
LLD底层设计,详细项目捕获特定设置、规则、网络区域、端口、帐户、日志、集成和故障场景。
ISPD个人数据信息系统根据 152-FZ、第 1119 号决议和 FSTEC 第 21 号命令处理个人数据的环境和需要采取的措施。
KIII关键信息基础设施对受 187-FZ 和 FSTEC 重要设施要求监管的行业和流程具有重要意义的系统和网络。
NGFW / WAFNext-Generation Firewall / Web Application FirewallNGFW 保护网络边界和网段,WAF 保护 Web 应用程序和 API 免受应用程序攻击。
DLP / DBF / DAMData Loss Prevention / Database Firewall / Database Activity Monitoring泄漏控制、数据库保护以及用户和管理员数据操作监控。
EDR / XDREndpoint Detection and Response / Extended Detection and Response检测并调查工作站、服务器和相关来源上的可疑活动。
SIEM / SOAR / SGRCSecurity Information and Event Management / Security Orchestration, Automation and Response / Security Governance, Risk and Compliance事件收集、响应自动化、风险管理、控制、异常和报告。
PAM / IDM / IAMPrivileged Access Management / Identity Management / Identity and Access Management管理特权访问、帐户、角色和权限生命周期。
VMVulnerability Management漏洞管理:扫描、优先级排序、修复、排除和补丁控制。
UATUser Acceptance Testing产业上线前,由用户、IT 和网络安全参与的验收测试。

世界和俄罗斯实践

成熟的网络安全计划不仅将安全信息的实施与产品安装联系起来,还与风险管理、控制、证据和持续改进联系起来。 NIST 网络安全框架 2.0 帮助描述治理、识别、保护、检测、响应和恢复的功能; CIS 控制提供了一套优先的实用措施; NIST SP 800-53 作为控制目录很有用; MITRE ATT&CK 有助于检查所实施的措施实际上涵盖了哪些攻击技术。

在俄罗斯背景下,实施必须考虑 152-FZ 和 ISPDn、187-FZ 和 KII、GIS、FSTEC 和 FSB 要求、产品认证、安全等级、威胁模型、日志、组织和管理文件以及操作。因此,RESTART 并不承诺“单一产品的合规性”:合规性来自架构、措施、设置、文档、流程和经过验证的操作的组合。

我们实施的解决方案类别

项目的组成取决于客户的环境。有时你需要一项有针对性的措施,例如在你的个人账户前加一个WAF。有时它是多个类别的组合:NGFW、VPN/CIPF、端点、DLP、PAM、SIEM、SOAR、VM、WAF、AntiDDoS 和操作法规。

网络安全产品图:审计和调查、HLD和LLD设计、网络安全和加密信息保护的实施、DevSecOps和AppSec、SIEM/SOAR/SGRC、IDM/PAM、DLP和脱敏、合规性

周边和网络

NGFW、VPN、CIPF、分段、DMZ、AntiDDoS、WAF、机器人防护、Web/API 和分支机构网络保护。

工作站和服务器

端点保护、EDR/XDR、可信启动、设备控制、操作系统保护、虚拟化和管理。

数据

DLP、DBF/DAM、屏蔽、标记化、上传控制、数据库保护以及安全开发/测试循环的准备。

访问权限

IDM/IAM、PAM、MFA、管理员账户、服务用户、访问权限审核和分权控制。

SOC 就绪环境

SIEM、SOAR、SGRC、VM、TIP、UEBA、NDR、响应场景、检测场景、报告、升级路线和 ITSM 捆绑包。

DevSecOps 和应用程序安全

SAST、DAST、SCA、秘密扫描、容器安全、WAF、CI/CD 控制和修复流程。

可以包含在项目中的供应商和产品

RESTART根据客户的架构、法规、预算、兼容性和运营成熟度来选择产品。该项目可能包括来自 Security Code、Confident、InfoTEX、UserGate、servicepipe、卡巴斯基、Positive Technologies、R-Vision、Security Vision、DAMASCUS、Garda、InDEED、AppSec、F6 以及供应商地图上其他合作伙伴的解决方案。

合作伙伴被列为解决方案类的技术骨干。产品的具体构成、版本、许可证、证书、交付条件和兼容性在项目前已确认。

我们如何实施:从项目到工业环境

1

诊断

我们记录资产、系统、数据、用户、网络区域、当前安全信息、监管要求、操作限制和预期结果。

2

建筑学

我们正在准备或澄清 HLD/LLD:解决方案安装在哪里、它保护什么流、需要什么角色、在哪里写入事件以及容错是什么样的。

3

试点和规范

我们检查兼容性、性能、准确性、集成、管理员负载和验收标准。

4

交付和准备

我们协调许可证、版本、证书、密钥、访问、立场、工作窗口、回滚计划和责任矩阵。

5

设置和集成

我们部署产品,配置策略、角色、日志、连接器、警报、SIEM/SOAR/ITSM 中的路由和监控。

6

试运行

我们根据真实流量、事件和用户微调规则、消除噪音、检查误报并培训管理员。

7

验收

我们进行 UAT、验收测试、需求验证、文档传输、协议、说明和公开改进列表。

8

护送

我们帮助更新、变更、事件、报告、建立新的来源和开发环境的成熟度。

集成,没有集成,网络安全系统仍然是一座孤岛

网络安全系统应该是整体操作画面的一部分,而不是一个无人登录的单独控制台。因此,在RESTART项目中,提前设计了与目录、日志、SOC、ITSM、监控、DevOps和业务系统的集成。

一体化为什么需要它?我们检查什么
AD / LDAP / IdP单个用户、组、角色、MFA 和访问生命周期。服务帐户、组、管理员权限、锁定和审核。
SIEM / SOAR事件、关联、响应场景、分析、响应自动化和调查。日志格式、事件完整性、标准化、关键性、路由和噪声。
ITSM / Service Desk消除任务、事件、SLA、所有者、状态和执行控制。类别、升级路线、任务模板、必填字段和报告。
Monitoring / Observability监控网络安全系统本身的可用性以及对基础设施的影响。指标、警报、预留、容量、更新和降级。
DevOps / CI/CD安全发布、配置验证、WAF、AppSec、容器和安全检查点。构建管道、秘密、批准、例外、缓解和回滚变更。
BI / SGRC / 报告管理图景:风险、控制、例外、动态和证据基础。数据质量、控制所有者、报告频率和审计跟踪。

结果如何被接受

对信息和信息系统的良好接受并不仅限于“产品已安装”这一短语。有必要检查产品是否保护必要的资产、不破坏业务流程、发送事件、由分配的角色进行管理、具有文档和清晰的操作模式。

功能测试

策略、阻止、例外、通知、报告、事件和响应脚本根据商定的标准运行。

基础设施检查

测试性能、容错、备份、更新、网络路由以及对服务的影响。

网络安全检查

角色、访问权限、管理员、日志、事件存储、强化和变更控制与设计模型相对应。

运营

当出现事件、误报、更新、故障、策略更改或审核请求时,团队知道谁在做什么。

文件

方案、说明、设置、访问矩阵、测试协议、法规和开放式改进列表均已转移。

发展规划

一旦启动,下一阶段需要添加哪些来源、规则、政策和集成就很清楚了。

RESTART 体验特别有用的地方

情况RESTART 交付什么
有HLD/LLD,但没有实施我们检查项目的可行性,澄清设置,制定工作计划,实施并将环境投入运行。
需要关闭152-FZ、KII或GIS的要求我们将安全措施、认证产品、文件、日志、角色和操作程序联系起来。
已购买许可证,但未使用该产品我们进行技术和流程分析:安装了什么、未配置什么、没有集成、所有者或应用场景。
我们需要构建一个 SOC 就绪环境我们连接来源、用例、SIEM/SOAR/ITSM、升级路线、剧本、SLA 和管理报告。
许多供应商,但没有单一图片我们正在收集一张技术地图:哪些解决方案负责什么,交叉点在哪里,需要什么事件,留下什么、替换或调整什么。
需要在不停止业务的情况下实施我们规划工作窗口、试点组、分阶段推出、回滚、与用户的沟通和负载测试。

人工智能在网络安全实施和维护中的作用

人工智能不会取代网络安全工程师、架构师或管理员。但它可以显着减少实施项目中的手动工作量:比较需求和设置,查找文档中的遗漏,总结试运行日志,准备草稿运行手册和行动手册,分析配置更改,帮助证据包并向管理层解释哪些内容已经关闭,哪些内容仍然存在风险。

对于 RESTART 来说,使用人工智能的安全模式非常重要:内部来源、访问权限、日志记录、专家验证以及禁止未经批准自动更改策略。在成熟的环境中,人工智能有助于快速实施和维护网络安全,但最终决定权仍在负责人手中。

企业得到什么?

您可以使用的保护

SZI 在真实环境中工作,拥有所有者、设置、日志、说明和明确的支持。

降低监管风险

措施、文件、日志和证据包有助于通过检查和内部审核,无需紧急手动恢复图片。

减少停机时间和意外情况

试点、试运行、分阶段上线和回滚计划可降低停止用户或关键服务的风险。

更快的调查

来自网络安全系统的事件属于 SIEM/SOAR/ITSM,具有上下文、所有者和反应路线。

拥有成本控制

客户了解谁管理解决方案、需要哪些资源、如何更新、自定义哪些内容以及不使用哪些许可证。

发展规划

发布后,路线图仍然存在:新的来源、规则、策略、报告、集成和自动化。

交付成果

  • 受保护资产、系统、用户、角色和责任范围的地图;
  • 更新了 HLD/LLD 或一套用于实施的设计方案;
  • 信息保护信息/加密信息保护系统、版本、许可证、证书和交付限制的规范;
  • 配置的策略、规则、集成、帐户、日志和通知;
  • 管理员和用户的访问矩阵,包括服务帐户;
  • 测试计划、试点、试运行和验收协议;
  • 管理员说明、运行手册、行动手册、维护和更新规定;
  • 网络安全、合规性、内部审计和采购体系的证据包;
  • 开发路线图:新来源、规则、报告、集成和自动化。

第一步实践

从简短的诊断开始是合理的:哪些系统受到保护,哪些要求适用,哪些网络安全系统已经存在,哪些已购买,哪些不起作用,需要哪些集成以及谁将在启动后操作环境。

如果尚未描述目标架构,则首先使用 HLD/LLD。如果选择了产品,您可以继续进行试点、规范、交付和实施。如果任务是监管性的,则值得将实施与 KII/152-FZ、GIS 或全面 IS 审计的诊断联系起来。

常见问题

实施与网络安全的交付有何不同?

此次交付结束了商业和许可循环。实施负责配置、集成、日志、角色、测试、文档、验收和移交到生产。

是否可以在没有 HLD/LLD 的情况下实施?

对于一个小任务,有时一个技术计划就足够了。对于企业、ISPD、GIS、CII、SOC-ready 和多个供应商来说,HLD/LLD 大大降低了错误风险。

什么是试运营?

这是解决方案对真实数据和用户起作用的时期,但团队仍在生产验收之前微调策略、事件、异常、报告和说明。

如何在实施过程中不破坏业务流程?

通过试点小组、分阶段推出、工作窗口、例外规则、影响监控、回滚计划以及与系统所有者的协调。

是否可以实施已购买的解决方案?

是的。 RESTART 可以从对当前许可证、版本、配置和集成的调查开始,然后提出切实可行的升级或RESTART计划。

哪些信息保护系统可以链接到 SIEM/SOAR?

几乎所有发送事件的成熟解决方案:NGFW、WAF、EDR/XDR、DLP、PAM、VM、CIPF、DBF/DAM、端点、NDR 和基础设施源。

发射后谁将陪伴您?

该模型根据项目确定:客户、RESTART、供应商或联合方案。主要是提前描述角色、SLA、更新、事件和变更。

是否可以从可调环境开始?

是的。对于ISPD、GIS和CII,我们将网络安全的实施与监管机构的要求、威胁模型、文档、日志和证据包联系起来。

让我们讨论一下您的环境

描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。

联系我们
AI 助手
你好!我是 RESTART 的人工智能助理。我将帮助您找到网站的正确部分,回答有关服务、许可证、合作伙伴关系、联系人的问题,或向销售部门提出上诉。