繼往開來——寫在機房三級等保(S3A3G3)測評順利通過之后

網絡技術的日新月異,互聯網已成為人們生活中不可或缺的部分。由此,網絡與信息安全也成為備受關注的公共安全事件。

上海信天通信有限公司(下稱“信天通信”)創立于 2000 年 12 月,并于2001年2月獲得開業批復。作為國內優質的中外合資增值電信運營企業,信天通信承擔了位于上海市呼蘭路和日京路的信天通信數據中心機房的安全責任,為該信息系統定級的責任單位。該信息系統安全可靠的運行是信天通信業務順利開展不可或缺的一環。

為進一步提高信息系統的保障能力,遵從國家網絡安全等級保護制度的要求,信天通信委托國家網絡與信息系統安全產品質量監督檢驗中心對信天通信數據中心機房實施等級測評。測評的目的是通過對目標系統在安全技術及管理方面進行的測評,對目標系統的安全技術狀態及安全管理狀況做出初步判斷,給出目標系統在安全技術及安全管理方面與其相應的安全等級保護要求之間的差距。測評結論將作為委托方進一步完善系統安全策略及安全技術防護措施的依據。

為了本次測評,信天通信管理層成立了信息安全領導小組,組織相關部門人員在2017-2019年度安全等級測評的基礎上結合公司當前實際情況,按照各主管部門的最新要求,克服困難,認真完善資料,積極配合解決受托方提出的各類問題。自2020年7月上旬至2020年9月上旬,歷時2個月,經歷了各項嚴格審核,最終獲得了87.03分的良好成績,順利完成信天通信數據中心機房的第三級(S3A3G3)安全保護等級測評。

整個測評工作中,通過對信息系統基本安全保護狀態的分析,信天通信針對數據中心機房面臨的主要潛在安全威脅采取了相應的安全機制,基本達到保護信息系統重要資產的作用。在安全責任制方面,完善了安全管理機構和人員,明確了責任。公司領導擔任信息安全領導小組組長,負責信息安全管理領導工作;信息安全相關部門負責人擔任信息安全領導小組成員,協助落實信息安全相關工作;具體責任落實到具體責任人員。

在管理制度體系方面,建立了較為完整的信息安全保障制度體系?!渡虾P盘焱ㄐ庞邢薰拘畔踩芾聿呗浴?,明確了安全工作的安全方針、總體目標以及信息安全策略;形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。

在基礎設施與網絡環境方面,網絡層面采取了充分的冗余措施并實施安全加固。部署在呼蘭路與日京路的機房具備一定的物理訪問控制、防火、防水防潮、防靜電和溫濕度控制能力,以及有效的電力供應保障。通過軟硬件手段對機房設備進行更為安全的防護。

在安全控制措施方面,在防攻擊、安全審計等方面實施了安全加固,系統部署了堡壘機、日志審計平臺、漏洞掃描平臺、抗DDOS設備、IDS等設備,并配置了防護策略。

在數據保護方面,對關鍵數據和敏感數據采取了傳輸完整性保護和加密措施。

在系統規劃與建設方面,結合系統的安全需求設計方案,在定級、備案、測評、整改等方面嚴格遵守了等級保護的工作要求。

在系統運維管理方面,建立了包括基礎設施、應用、安全等各個層次的運維保障、監控和應急響應體系。

通過本次測評,讓我們在進步中看到了自身的不足。根據測評結果,公司制定了一系列有針對性的保護措施,從人員、制度及設備等多角度不遺余力地滿足網絡信息安全方面日益嚴苛的要求。此舉不僅為信天通信的發展注入了新的活力,也必將贏得更多客戶的認可與信任。