如果有人發問
“今天的生活最離不開什么?”
答案不難猜測
“手機和網絡”
如今,人類能夠通過各種智能終端輕松快捷地“連接在一起”,背后靠得是中國移動、中國聯通、中國電信等“運營商”提供的電信與互聯網服務支撐。
每時每刻,都有海量的數據信息在進行傳輸流動和交換共享——刷微博、發朋友圈、撰文曬圖、語音聊天、線上支付、下單購物、滴滴一下、今晚吃雞等等等等...簡直難以想象,如果沒有手機和網絡,一個人每天24小時的工作和生活將會變得多么沒有“安全感”?
另一方面,如果這些運營商自身出現“數據安全問題”,將會對個人、社會、國家乃至世界造成多么巨大的影響?又會導致怎樣嚴重的后果?正因如此,作為關鍵信息基礎設施的典型代表——運營商行業的數據安全防護至關重要,數據安全建設工作勢在必行!
一、安全合規
繼《網絡安全法》、等保2.0,2020版《個人信息安全規范》等法律法規之后,《2020年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》要求包括運營商在內的相關行業按照《2020年電信和互聯網企業數據安全合規性評估要點》完成數據安全合規性評估工作,形成評估報告,并針對2020年內應組織落實的要點內容,及時進行風險問題整改。
與此同時,工業和信息化部《關于做好2020年電信和互聯網行業網絡數據安全管理工作的通知》也對運營商行業數據安全防護提出了更高、更具體的要求,包括:
· 持續深化行業數據安全專項治理;
· 全面開展數據安全合規性評估;
· 加強行業重要數據和新領域數據安全管理;
· 加快推進數據安全制度標準建設;
· 大力提升數據安全技術保障能力;
· 強化社會監督與宣傳培訓。
其中,滿足“合規性”是運營商開展各項數據安全建設工作的重要前提和基礎。然而,如何開展數據安全自我評估?怎樣明確數據安全基線?數據安全管控制度是否真實有效?安全能力建設又能否實現對重要數據全生命周期的安全管控?擺在運營商面前的問題還很多!
二、評估方法
為此,安華金和數據安全咨詢團隊專門根據上述《通知》、《要點》等文件要求,針對運營商行業具體情況和實際需求,提供包括“數據庫安全漏洞掃描、數據生命周期評估、基礎性評估、技術能力評估”等在內的定制化數據安全合規性評估服務,幫助運營商客戶從“合規性”角度對自身數據安全管控效果進行準確評估,為后續數據安全建設工作提供可靠參考與專業指導:
第一步、數據庫掃描
對運營商數據庫用戶權限、弱口令、低安全策略、缺省配置、高危程序代碼等進行掃描;
第二步、文檔審閱
收集、審閱與運營商行業有關的數據安全管理制度、數據安全技術規范、運行及維護等文檔;
第三步、現場檢查
評估人員通過實際操作方式測試運營商數據安全現狀;
第四步、綜合分析
評估人員對通過上述評估過程所收集的各項信息進行分析和整理,并與相關人員核實確認;
第五步、評估報告
根據分析結果,由評估人員撰寫、提交評估報告,確認運營商數據安全合規性的評估結果。
三、技術優勢
1、數據庫類型全面
支持Oracle、MySQL、SQL Server、PostgreSQL、DB2、Informix、SYBASE七大國際主流數據庫;支持南大通用、人大金倉、達夢三大國產主流數據庫;支持HIVE數據倉庫工具等。
2、漏洞庫/檢測項豐富
囊括系統注入、緩沖溢出、全線提升、補丁未升級等1910漏洞項;數據庫安全配置核查涵蓋低安全策略、權限寬泛、缺省配置、弱口令、高危程序等5399檢測項。
3、數據庫發現技術成熟
采用“靜態+動態”的發現模式,通過主動嗅探及流量識別兩大數據庫發現技術,幫助運營商梳理并形成準確、完整的數據庫底賬。
4、數據報表/清單豐富
輸出《整體資產梳理報告》、《數據庫漏洞檢測報告》、《資產使用狀況分析報告》、《資產風險評估報告》等綜合數據報表;形成《數據庫清單》、《敏感數據清單》、《數據庫賬戶權限清單》、《分類分級清單》、《數據使用分析清單》、《數據庫風險綜合評估清單》、《統計清單》等細分數據清單。
5、掃描評估無“副作用”
數據安全合規性評估在對運營商數據庫進行掃描等過程中:
· 僅掃描關鍵對象,不會影響數據本身;
· 僅獲取配置信息,不修改數據庫配置;
· 僅通過特征識別,不侵入或攻擊系統;
· 具備多種檢測手段,不只依賴版本號。
四、客戶價值
1、樹立標準
推進運營商數據安全管理、規范及相關標準建設工作,進一步明確包括數據分級分類、風險評估、安全認證、預警處置、應急響應等在內的關鍵制度與流程內容;
2、滿足合規
滿足《電信和互聯網企業網絡數據安全合規性評估要點(2020年版)》等相關法律、法規、文件對運營商行業的合規性要求;
3、提供支撐
為運營商有效應對各類數據安全風險行為,開展系統化的數據安全治理工作提供有力支撐;
4、加強管理
完成運營商行業重要數據資源調研摸底工作,形成運營商重要數據資源清單,并按照數據分級分類標準,采用訪問控制、加密備份、行為審計等一系列措施對數據進行有效保護;
5、完善保障
優化并提高運營商在數據資產管理、數據安全審計、風險預警溯源等方面的技術手段與防護能力。
助力運營商數據安全建設,讓電信與互聯網服務“安全連接每一個用戶”!
安華金和自2009年成立至今,一直專注于數據安全領域,是中國專業的數據安全產品及解決方案提供商,中國“數據安全治理”體系框架的提出者和踐行者,中國數據安全行業領先企業。安華金和能夠提供包括敏感數據發現、數據分級分類、數據流動過程管控及數據審計監控等在內的數據安全治理整體解決方案,產品和服務覆蓋數據使用的全生命周期。
產品咨詢:4000 258 365 
