導語:經緯信安參與起草了《電信網和互聯網網絡安全能力成熟度評價模型》這一通信行業标準,該标準适用于指導互聯網網絡安全能力評價活動及實施監督管理。該标準的制定,不僅體現了經緯信安在網絡安全領域的專業實力和行業領導地位,也标志着公司在推動行業規範化和高質量發展方面邁出了堅實的步伐。
爲了提升網絡安全管理水平,落實法律法規要求,建立健全數據安全标準體系,強化行業安全管理,應對新技術産品和服務的技術性安全風險,并爲企業提供全面的網絡安全建設參考,工業和信息化部等相關部門将其列入行業标準立項計劃,組織科研機構、行業專家、企業代表等成立标準起草工作組。工作組成員收集國内外相關标準、法規、實踐等資料,調研行業網絡安全現狀、問題及挑戰。
經緯信安成爲該标準的起草單位之一,是因在網絡安全領域的技術創新尤爲突出,特别是在主動防禦體系方面取得了顯著成果,并成功融合了先進框架以提升防禦能力;同時,公司積累了豐富的項目實施和攻防演練經驗,服務于多領域并在重大活動中表現出色,能爲标準的制定提供豐富的實際案例;加之其專業團隊技術功底深厚、行業經驗豐富,取得了多項研究成果,爲标準制定提供專業的實踐和堅實的理論支持;此外,經緯信安還具備良好的企業資質認證和衆多行業榮譽,充分展現了其在技術研發、産品質量和企業影響力方面的實力。
作爲起草單位之一,經緯信安在《電信網和互聯網網絡安全能力成熟度評價模型》的制定過程中提供了寶貴的實踐經驗和技術支持,爲标準的制定提供了堅實的技術基礎,爲行業樹立了标杆,促進了技術創新和産品質量的提升。
該行業标準介紹如下:
1. 适用範圍
該标準規定了電信網和互聯網網絡安全能力成熟度模型的構成、等級劃分标準、關鍵能力域和成熟度要求。
該标準适用于指導電信網和互聯網網絡運營者和第三方安全評價機構開展電信網和互聯網網絡安全能力評價活動,也适用于運營者開展網絡安全能力建設及電信管理機構實施監督管理。
2. 能力成熟度評價要素
電信網和互聯網網絡安全能力成熟度評價要素包括 10 個網絡安全關鍵能力域,其中制度管理、組織和人員管理、資産管理、風險管理、供應鏈管理等屬于識别過程域,系統和通信防護、運行維護、檢測評估安全防護類過程域,态勢感知、網絡安全事件管理等屬于監測、處置類過程域。通過量化評價能力域及具體的評價指标,開展網絡安全能力成熟度評價。
3. 成熟度等級定義
網絡安全能力成熟度等級分爲五級,自低向高依次爲初始級、控制級、規範級、優化級、卓越級。每個成熟度級别代表運營者網絡安全防護能力所達到的水平,例如,卓越級具備成熟完善的網絡安全管理體系與相應實踐能力,實現數字化、智能化,并在此基礎上持續跟蹤業界新型技術架構發展演進。
4. 評價模型構成
網絡安全能力成熟度評價模型包括能力成熟度等級、網絡安全關鍵能力域、網絡安全管理生命周期三個維度。能力成熟度評價将覆蓋網絡安全管理全生命周期,貫穿識别、防護、監測、處置各階段,形成閉環。
5. 關鍵能力域
模型中定義了多個關鍵能力域,如制度管理,包括網絡安全規劃和網絡安全管理制度等。每個能力域都有具體的成熟度要求,運營者必須滿足該級别及其前面級别的所有要求才能獲得該能力域的判定。
6. 評價流程與方法
評價流程包括評價準備、評價計劃、評價實施、評價分析、評價報告五個環節。評價方法包括訪談、核查、測試等,通過量化評價能力域及具體的評價指标,開展網絡安全能力成熟度評價。
公司及産品介紹:
經緯信安 ( LalonSec ) 成立于 2015 年 11 月,總部位于北京,南京、杭州、武漢等多地設有子公司及辦事處,是國家高新技術企業。經緯信安緻力于網絡攻防對抗、主動防禦,提供主動防禦網絡安全産品、主動防禦解決方案及體系化安全服務。産品及服務已廣泛應用于政府、金融、通信、交通、電力、教育、醫療等衆多領域。
經緯信安作爲主動防禦開創者,2020 年至 2023 年多次上榜《網絡安全創新能力 50 強》、《網絡安全産業 100 強》、《中國網絡安全百強》、《數字安全 " 專精特新 " 百強企業》,《中國網絡安全百強創新者》、《中國網絡安全創業公司 HOT51》。一體化主動防禦方案曾榮獲江蘇省優秀實踐案例第一名,榮獲 2023 年江蘇省信息技術應用創新優秀應用示範案例,榮獲 2023 數字化創新優秀解決方案。
公司核心産品有:見未形風險評估系統(ASM)、戍将攻擊誘捕平台(IDH)、戍将拟态防禦平台(X-IDH)、威脅情報中心(XTI)、緯将擴展檢測響應平台(XDR)、緯将安全編排和自動化響應平台(SOAR)、經兵端點檢測響應平台 ( EDR ) 。
參與行業标準的起草,是經緯信安對行業負責的體現。通過這一過程,我們能夠确保我們的産品和服務符合最新的行業要求,還能夠推動整個行業的技術進步和創新。經緯信安始終緻力于成爲行業的引領者,而參與标準制定正是實現這一目标的重要步驟。
