近日,繁易数据采集及云平台系统通过了网络安全等级保护三级的认证。
此次通过“等保三级”备案,表明繁易系统的信息安全管理能力已达到国内非银行机构的最高标准,彰显出繁易的信息系统安全能力已处于行业领先水平。
同时,作为行业内较早通过等保三级的物联网企业,繁易能为客户提供更安全,更稳定,更可靠的数据接入及云平台服务。
什么是等级保护
等级保护指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应处置。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高,其中第三级的定义如下:
第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。适用系统:比较重要系统。
等保三级的重要性
等保三级指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做等保三级。在我国,“等保三级”是对非银行机构的最高等级保护认证。
根据《信息系统安全等级保护基本要求》,等保三级的测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。
繁易的等保三级
在安全通信网络方面
繁易系统所在的网络结构已划分为接入区、安全防护区、核心区、安全管理区,使用VPC网络结构,并进行VLAN区分,关键区域不在网络边界处,整个网络结构中主要采用HTTPS协议和SSH协议进行通讯传输。
在安全区域边界方面
繁易系统目前主要分为互联网边界,并在云安全组上配置有访问控制策略,实现端口级的访问控制,同时使用阿里云的云安全中心(高级版)、WEB应用防火墙(高级版),提供的入侵防范功能和恶意代码防范功能,从而进行网络边界安全防护。
在安全计算环境方面
与繁易系统相关的安全服务、服务器、数据库、应用系统等都需要在登录时进行身份鉴别,并设置有相应的访问控制策略,已开启设备自身的审计功能,审计记录通过日志服务进行收集,主要通过堡垒机+SSH协议或HTTPS协议进行远程管理操作。
在安全管理中心方面
繁易系统涉及的安全服务、服务器、数据库、应用系统等都已设立系统管理员,使用云监控进行系统网络运行状况的集中监控,通过堡垒机进行服务器的集中运维审计,部署日志服务对日志进行统一收集分析,部署云安全中心可对网络中的各类安全事件进行识别、分析和报警。
在数据防泄露方面
繁易系统采用以下2种方式防止业务数据泄露。1.通过HTTPS实现数据在传输过程中的保密性;2.通过白名单方式严格限制数据库的访问权限,避免非授权的访问。
在业务连续性方面
繁易系统通过云监控对系统状况进行监控,并对重要数据进行定期备份。
推荐阅读:祖闳