如果有人发问
“今天的生活最离不开什么?”
答案不难猜测
“手机和网络”
如今,人类能够通过各种智能终端轻松快捷地“连接在一起”,背后靠得是中国移动、中国联通、中国电信等“运营商”提供的电信与互联网服务支撑。
每时每刻,都有海量的数据信息在进行传输流动和交换共享——刷微博、发朋友圈、撰文晒图、语音聊天、线上支付、下单购物、滴滴一下、今晚吃鸡等等等等...简直难以想象,如果没有手机和网络,一个人每天24小时的工作和生活将会变得多么没有“安全感”?
另一方面,如果这些运营商自身出现“数据安全问题”,将会对个人、社会、国家乃至世界造成多么巨大的影响?又会导致怎样严重的后果?正因如此,作为关键信息基础设施的典型代表——运营商行业的数据安全防护至关重要,数据安全建设工作势在必行!
一、安全合规
继《网络安全法》、等保2.0,2020版《个人信息安全规范》等法律法规之后,《2020年省级基础电信企业网络与信息安全工作考核要点与评分标准》要求包括运营商在内的相关行业按照《2020年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作,形成评估报告,并针对2020年内应组织落实的要点内容,及时进行风险问题整改。
与此同时,工业和信息化部《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》也对运营商行业数据安全防护提出了更高、更具体的要求,包括:
· 持续深化行业数据安全专项治理;
· 全面开展数据安全合规性评估;
· 加强行业重要数据和新领域数据安全管理;
· 加快推进数据安全制度标准建设;
· 大力提升数据安全技术保障能力;
· 强化社会监督与宣传培训。
其中,满足“合规性”是运营商开展各项数据安全建设工作的重要前提和基础。然而,如何开展数据安全自我评估?怎样明确数据安全基线?数据安全管控制度是否真实有效?安全能力建设又能否实现对重要数据全生命周期的安全管控?摆在运营商面前的问题还很多!
二、评估方法
为此,凯发k8游戏数据安全咨询团队专门根据上述《通知》、《要点》等文件要求,针对运营商行业具体情况和实际需求,提供包括“数据库安全漏洞扫描、数据生命周期评估、基础性评估、技术能力评估”等在内的定制化数据安全合规性评估服务,帮助运营商客户从“合规性”角度对自身数据安全管控效果进行准确评估,为后续数据安全建设工作提供可靠参考与专业指导:
第一步、数据库扫描
对运营商数据库用户权限、弱口令、低安全策略、缺省配置、高危程序代码等进行扫描;
第二步、文档审阅
收集、审阅与运营商行业有关的数据安全管理制度、数据安全技术规范、运行及维护等文档;
第三步、现场检查
评估人员通过实际操作方式测试运营商数据安全现状;
第四步、综合分析
评估人员对通过上述评估过程所收集的各项信息进行分析和整理,并与相关人员核实确认;
第五步、评估报告
根据分析结果,由评估人员撰写、提交评估报告,确认运营商数据安全合规性的评估结果。
三、技术优势
1、数据库类型全面
支持oracle、mysql、sql server、postgresql、db2、informix、sybase七大国际主流数据库;支持南大通用、人大金仓、达梦三大国产主流数据库;支持hive数据仓库工具等。
2、漏洞库/检测项丰富
囊括系统注入、缓冲溢出、全线提升、补丁未升级等1910漏洞项;数据库安全配置核查涵盖低安全策略、权限宽泛、缺省配置、弱口令、高危程序等5399检测项。
3、数据库发现技术成熟
采用“静态 动态”的发现模式,通过主动嗅探及流量识别两大数据库发现技术,帮助运营商梳理并形成准确、完整的数据库底账。
4、数据报表/清单丰富
输出《整体资产梳理报告》、《数据库漏洞检测报告》、《资产使用状况分析报告》、《资产风险评估报告》等综合数据报表;形成《数据库清单》、《敏感数据清单》、《数据库账户权限清单》、《分类分级清单》、《数据使用分析清单》、《数据库风险综合评估清单》、《统计清单》等细分数据清单。
5、扫描评估无“副作用”
数据安全合规性评估在对运营商数据库进行扫描等过程中:
· 仅扫描关键对象,不会影响数据本身;
· 仅获取配置信息,不修改数据库配置;
· 仅通过特征识别,不侵入或攻击系统;
· 具备多种检测手段,不只依赖版本号。
四、客户价值
1、树立标准
推进运营商数据安全管理、规范及相关标准建设工作,进一步明确包括数据分级分类、风险评估、安全认证、预警处置、应急响应等在内的关键制度与流程内容;
2、满足合规
满足《电信和互联网企业网络数据安全合规性评估要点(2020年版)》等相关法律、法规、文件对运营商行业的合规性要求;
3、提供支撑
为运营商有效应对各类数据安全风险行为,开展系统化的数据安全治理工作提供有力支撑;
4、加强管理
完成运营商行业重要数据资源调研摸底工作,形成运营商重要数据资源清单,并按照数据分级分类标准,采用访问控制、加密备份、行为审计等一系列措施对数据进行有效保护;
5、完善保障
优化并提高运营商在数据资产管理、数据安全审计、风险预警溯源等方面的技术手段与防护能力。
助力运营商数据安全建设,让电信与互联网服务“安全连接每一个用户”!
凯发k8游戏自2009年成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及凯发k8游戏的解决方案提供商,中国“数据安全治理”体系框架的提出者和践行者,中国数据安全行业领先企业。安华金和能够提供包括敏感数据发现、数据分级分类、数据流动过程管控及数据审计监控等在内的数据安全治理整体凯发k8游戏的解决方案,产品和服务覆盖数据使用的全生命周期。
试用申请