运营商行业数据安全合规性评估服务方案-凯发k8游戏

运营商行业数据安全合规性评估服务方案
作者:安华金和 发布时间:2020-08-13

如果有人发问

“今天的生活最离不开什么?”

微信图片_20200813135443 副本.gif

答案不难猜测

“手机和网络”

如今,人类能够通过各种智能终端轻松快捷地“连接在一起”,背后靠得是中国移动、中国联通、中国电信等“运营商”提供的电信与互联网服务支撑。

每时每刻,都有海量的数据信息在进行传输流动和交换共享——刷微博、发朋友圈、撰文晒图、语音聊天、线上支付、下单购物、滴滴一下、今晚吃鸡等等等等...简直难以想象,如果没有手机和网络,一个人每天24小时的工作和生活将会变得多么没有“安全感”?

另一方面,如果这些运营商自身出现“数据安全问题”,将会对个人、社会、国家乃至世界造成多么巨大的影响?又会导致怎样严重的后果?正因如此,作为关键信息基础设施的典型代表——运营商行业的数据安全防护至关重要,数据安全建设工作势在必行!

微信图片_20200813135509 副本.jpg

一、安全合规

继《网络安全法》、等保2.0,2020版《个人信息安全规范》等法律法规之后,《2020年省级基础电信企业网络与信息安全工作考核要点与评分标准》要求包括运营商在内的相关行业按照《2020年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作,形成评估报告,并针对2020年内应组织落实的要点内容,及时进行风险问题整改。

与此同时,工业和信息化部《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》也对运营商行业数据安全防护提出了更高、更具体的要求,包括:

· 持续深化行业数据安全专项治理;

· 全面开展数据安全合规性评估;

· 加强行业重要数据和新领域数据安全管理;

· 加快推进数据安全制度标准建设;

· 大力提升数据安全技术保障能力;

· 强化社会监督与宣传培训。

其中,满足“合规性”是运营商开展各项数据安全建设工作的重要前提和基础。然而,如何开展数据安全自我评估?怎样明确数据安全基线?数据安全管控制度是否真实有效?安全能力建设又能否实现对重要数据全生命周期的安全管控?摆在运营商面前的问题还很多!

微信图片_20200813135524 副本.jpg

二、评估方法

为此,凯发k8游戏数据安全咨询团队专门根据上述《通知》、《要点》等文件要求,针对运营商行业具体情况和实际需求,提供包括“数据库安全漏洞扫描、数据生命周期评估、基础性评估、技术能力评估”等在内的定制化数据安全合规性评估服务,帮助运营商客户从“合规性”角度对自身数据安全管控效果进行准确评估,为后续数据安全建设工作提供可靠参考与专业指导:

第一步、数据库扫描

对运营商数据库用户权限、弱口令、低安全策略、缺省配置、高危程序代码等进行扫描;

第二步、文档审阅

收集、审阅与运营商行业有关的数据安全管理制度、数据安全技术规范、运行及维护等文档;

第三步、现场检查

评估人员通过实际操作方式测试运营商数据安全现状;

第四步、综合分析

评估人员对通过上述评估过程所收集的各项信息进行分析和整理,并与相关人员核实确认;

第五步、评估报告

根据分析结果,由评估人员撰写、提交评估报告,确认运营商数据安全合规性的评估结果。

微信图片_20200813135528 副本.jpg

三、技术优势

1、数据库类型全面

支持oracle、mysql、sql server、postgresql、db2、informix、sybase七大国际主流数据库;支持南大通用、人大金仓、达梦三大国产主流数据库;支持hive数据仓库工具等。

2、漏洞库/检测项丰富

囊括系统注入、缓冲溢出、全线提升、补丁未升级等1910漏洞项;数据库安全配置核查涵盖低安全策略、权限宽泛、缺省配置、弱口令、高危程序等5399检测项。

3、数据库发现技术成熟

采用“静态 动态”的发现模式,通过主动嗅探及流量识别两大数据库发现技术,帮助运营商梳理并形成准确、完整的数据库底账。

4、数据报表/清单丰富

输出《整体资产梳理报告》、《数据库漏洞检测报告》、《资产使用状况分析报告》、《资产风险评估报告》等综合数据报表;形成《数据库清单》、《敏感数据清单》、《数据库账户权限清单》、《分类分级清单》、《数据使用分析清单》、《数据库风险综合评估清单》、《统计清单》等细分数据清单。

5、扫描评估无“副作用”

数据安全合规性评估在对运营商数据库进行扫描等过程中:

· 仅扫描关键对象,不会影响数据本身;

· 仅获取配置信息,不修改数据库配置;

· 仅通过特征识别,不侵入或攻击系统;

· 具备多种检测手段,不只依赖版本号。

微信图片_20200813135532 副本.jpg

四、客户价值

1、树立标准

推进运营商数据安全管理、规范及相关标准建设工作,进一步明确包括数据分级分类、风险评估、安全认证、预警处置、应急响应等在内的关键制度与流程内容;

2、满足合规

满足《电信和互联网企业网络数据安全合规性评估要点(2020年版)》等相关法律、法规、文件对运营商行业的合规性要求;

3、提供支撑

为运营商有效应对各类数据安全风险行为,开展系统化的数据安全治理工作提供有力支撑;

4、加强管理

完成运营商行业重要数据资源调研摸底工作,形成运营商重要数据资源清单,并按照数据分级分类标准,采用访问控制、加密备份、行为审计等一系列措施对数据进行有效保护;

5、完善保障

优化并提高运营商在数据资产管理、数据安全审计、风险预警溯源等方面的技术手段与防护能力。

微信图片_20200813135537 副本.jpg

助力运营商数据安全建设,让电信与互联网服务“安全连接每一个用户”!

凯发k8游戏自2009年成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及凯发k8游戏的解决方案提供商,中国“数据安全治理”体系框架的提出者和践行者,中国数据安全行业领先企业。安华金和能够提供包括敏感数据发现、数据分级分类、数据流动过程管控及数据审计监控等在内的数据安全治理整体凯发k8游戏的解决方案,产品和服务覆盖数据使用的全生命周期。

网站地图