近日,繁易數據采集及云平臺系統通過了網絡安全等級保護三級的認證。
此次通過“等保三級”備案,表明繁易系統的信息安全管理能力已達到國內非銀行機構的最高標準,彰顯出繁易的信息系統安全能力已處于行業領先水平。
同時,作為行業內較早通過等保三級的物聯網企業,繁易能為客戶提供更安全,更穩定,更可靠的數據接入及云平臺服務。
什么是等級保護
等級保護指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應處置。
信息系統的安全保護等級分為以下五級,一至五級等級逐級增高,其中第三級的定義如下:
第三級信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。適用系統:比較重要系統。
等保三級的重要性
等保三級指信息系統經過定級、備案這一流程之后,確定為第三級的信息系統,那么就需要做等保三級。在我國,“等保三級”是對非銀行機構的最高等級保護認證。
根據《信息系統安全等級保護基本要求》,等保三級的測評內容涵蓋等級保護安全技術要求的5個層面和安全管理要求的5個層面,包含信息保護、安全審計、通信保密等在內的近300項要求,共涉及測評分類73類。
繁易的等保三級
在安全通信網絡方面
繁易系統所在的網絡結構已劃分為接入區、安全防護區、核心區、安全管理區,使用VPC網絡結構,并進行VLAN區分,關鍵區域不在網絡邊界處,整個網絡結構中主要采用HTTPS協議和SSH協議進行通訊傳輸。
在安全區域邊界方面
繁易系統目前主要分為互聯網邊界,并在云安全組上配置有訪問控制策略,實現端口級的訪問控制,同時使用阿里云的云安全中心(高級版)、WEB應用防火墻(高級版),提供的入侵防范功能和惡意代碼防范功能,從而進行網絡邊界安全防護。
在安全計算環境方面
與繁易系統相關的安全服務、服務器、數據庫、應用系統等都需要在登錄時進行身份鑒別,并設置有相應的訪問控制策略,已開啟設備自身的審計功能,審計記錄通過日志服務進行收集,主要通過堡壘機+SSH協議或HTTPS協議進行遠程管理操作。
在安全管理中心方面
繁易系統涉及的安全服務、服務器、數據庫、應用系統等都已設立系統管理員,使用云監控進行系統網絡運行狀況的集中監控,通過堡壘機進行服務器的集中運維審計,部署日志服務對日志進行統一收集分析,部署云安全中心可對網絡中的各類安全事件進行識別、分析和報警。
在數據防泄露方面
繁易系統采用以下2種方式防止業務數據泄露。1.通過HTTPS實現數據在傳輸過程中的保密性;2.通過白名單方式嚴格限制數據庫的訪問權限,避免非授權的訪問。
在業務連續性方面
繁易系統通過云監控對系統狀況進行監控,并對重要數據進行定期備份。
