等級(jí)保護(hù)2.0《實(shí)施指南》已經(jīng)正式發(fā)布三周年���,在等保2.0時(shí)代背景下����,網(wǎng)絡(luò)安全呈現(xiàn)復(fù)雜化趨勢(shì)�����,對(duì)安全理念����、技術(shù)、管理等均提出了更高要求����,對(duì)等保建設(shè)的需求呈現(xiàn)標(biāo)準(zhǔn)化、體系化��、常態(tài)化等特點(diǎn)�����。
近期����,翼信捷(珠海橫琴)公司產(chǎn)品合伙人楊群接受采訪,他是等保2.0時(shí)代最早的一批實(shí)踐者之一�,同時(shí)也是翼信捷云上標(biāo)準(zhǔn)化、流程化�、自動(dòng)化合規(guī)驗(yàn)證平臺(tái)的產(chǎn)品經(jīng)理���,他分享了對(duì)等保建設(shè)的思考、平臺(tái)化意義和落地的方案�����。
楊群談自動(dòng)化等保合規(guī)驗(yàn)證平臺(tái)解決的問題是什么?
翼信捷云上自動(dòng)化等保合規(guī)驗(yàn)證平臺(tái)解決的是如何在云上進(jìn)行等保建設(shè)和通過(guò)等級(jí)測(cè)評(píng)�,并在通過(guò)測(cè)評(píng)后按照等保要求進(jìn)行持續(xù)性自動(dòng)化合規(guī)驗(yàn)證與監(jiān)測(cè)的問題。
行業(yè)用戶業(yè)務(wù)上公有云后需要解決在多云�����、混合云場(chǎng)景下滿足等保合規(guī)的要求����,需要更加重視云上業(yè)務(wù)系統(tǒng)安全防護(hù)�,解決包括政企事業(yè)單位、互聯(lián)網(wǎng)�、電信、金融等行業(yè)或大型企業(yè)等的等保合規(guī)建設(shè)的需求����。
自動(dòng)化等保合規(guī)驗(yàn)證平臺(tái)的應(yīng)用場(chǎng)景有哪些呢?
越來(lái)越多的企業(yè)選擇把業(yè)務(wù)部署在多個(gè)云平臺(tái)上�����,給安全合規(guī)管理帶來(lái)更高挑戰(zhàn)。翼信捷云上自動(dòng)化等保合規(guī)驗(yàn)證解決方案應(yīng)運(yùn)而生����,為多云場(chǎng)景下的等保合規(guī)提供一體化全流程服務(wù)。包括在多云����、混合云的環(huán)境下等保二級(jí)、三級(jí)所需要部署的安全服務(wù)能力���,以及等保測(cè)評(píng)過(guò)程中相關(guān)的測(cè)評(píng)報(bào)告��、整改建議等��,幫助用戶單位在多云場(chǎng)景下滿足等保合規(guī)要求����,為云上業(yè)務(wù)系統(tǒng)做好安全防護(hù)���。一站式服務(wù)協(xié)助用戶單位過(guò)等保�,通過(guò)專業(yè)的安全能力為用戶單位云上業(yè)務(wù)保駕護(hù)航����,持續(xù)安全合規(guī)����。
如何實(shí)現(xiàn)等保合規(guī)建設(shè)的自動(dòng)化和標(biāo)準(zhǔn)化���?
翼信捷云上自動(dòng)化等保合規(guī)驗(yàn)證解決方案����,是為用戶提供包含云上資產(chǎn)發(fā)現(xiàn)與管理����、等保專家咨詢、漏洞發(fā)現(xiàn)���、安全加固、協(xié)助等保測(cè)評(píng)的一站式云等保合規(guī)解決方案��,幫助用戶快速了解自有云上業(yè)務(wù)系統(tǒng)安全問題���,低成本完成安全整改��,快速找到專業(yè)的測(cè)評(píng)機(jī)構(gòu)��,完成等保測(cè)評(píng)�����,并對(duì)云上業(yè)務(wù)系統(tǒng)安全合規(guī)進(jìn)行持續(xù)跟蹤���。
系統(tǒng)從自動(dòng)化等保合規(guī)驗(yàn)證的角度出發(fā)�,參照網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的相關(guān)標(biāo)準(zhǔn)�����,按照軟件工程相關(guān)規(guī)范�,進(jìn)行流程和功能模塊的設(shè)計(jì)。圍繞等保合規(guī)���,主要功能模塊包括:資產(chǎn)發(fā)現(xiàn)���、漏洞掃描、合規(guī)管理����、整改建議清單、風(fēng)險(xiǎn)監(jiān)測(cè)����。
云上自動(dòng)化等保合規(guī)驗(yàn)證的流程:包括①自動(dòng)資產(chǎn)發(fā)現(xiàn)實(shí)現(xiàn)全面資產(chǎn)梳理管理�����。②等保合規(guī)自動(dòng)比對(duì)實(shí)現(xiàn)合規(guī)差距分析����。③問題整改建議報(bào)告推動(dòng)安全問題整改�����。④專業(yè)合作伙伴機(jī)構(gòu)協(xié)助用戶等保測(cè)評(píng)����。⑤自動(dòng)合規(guī)驗(yàn)證實(shí)現(xiàn)持續(xù)合規(guī)監(jiān)督檢查。并提供免費(fèi)7*24小時(shí)安全專家運(yùn)營(yíng)服務(wù)�,降低安全維護(hù)成本,安全事件快速響應(yīng)�。
基于資產(chǎn)發(fā)現(xiàn)結(jié)果�,系統(tǒng)進(jìn)行自動(dòng)化合規(guī)驗(yàn)證,通過(guò)自動(dòng)化安全驗(yàn)證�����,目的在于評(píng)估企業(yè)/組織當(dāng)前是否達(dá)到安全性法規(guī)(如PCI DSS)要求,確定當(dāng)前符合的合規(guī)級(jí)別���,通過(guò)補(bǔ)救方案消除風(fēng)險(xiǎn)點(diǎn)����,再次進(jìn)行自動(dòng)化迭代評(píng)估確認(rèn)補(bǔ)救方案有效且達(dá)標(biāo)��。
圖 自動(dòng)化等保合規(guī)驗(yàn)證平臺(tái)
全面落實(shí)等級(jí)保護(hù)體系���,通過(guò)實(shí)施等保標(biāo)準(zhǔn)化的管理�,自動(dòng)識(shí)別系統(tǒng)資產(chǎn)構(gòu)成����,實(shí)現(xiàn)持續(xù)驗(yàn)證系統(tǒng)合規(guī)狀態(tài),實(shí)時(shí)掌握系統(tǒng)安全狀態(tài)�。
客戶的收益有哪些?
舉個(gè)例子���,某國(guó)家級(jí)重點(diǎn)傳媒單位云上設(shè)備數(shù)量約200余臺(tái)�,承擔(dān)互聯(lián)網(wǎng)新聞發(fā)布���,信息服務(wù)等業(yè)務(wù)��。上云之初缺乏專業(yè)的專家指導(dǎo)����,導(dǎo)致安全建設(shè)時(shí)間過(guò)長(zhǎng),采用的安全組件品牌多���,安全建設(shè)溝通復(fù)雜�,缺乏統(tǒng)一的安全態(tài)勢(shì)監(jiān)控�,日常安全運(yùn)維效率低。安全防護(hù)能力較弱�����,風(fēng)險(xiǎn)事件頻發(fā)�。
采用翼信捷云上自動(dòng)化等保合規(guī)驗(yàn)證解決方案后,經(jīng)專業(yè)安全團(tuán)隊(duì)指導(dǎo)�����,定制了完備的安全服務(wù)和等級(jí)保護(hù)相關(guān)服務(wù)��,持續(xù)開展漏洞監(jiān)測(cè)�、安全掃描、安全評(píng)估��、基線檢查等工作�,提升信息安全整體防護(hù)能力。通過(guò)內(nèi)部資產(chǎn)的梳理���,生成臺(tái)賬���,實(shí)現(xiàn)精細(xì)化運(yùn)維。建立并持續(xù)跟蹤系統(tǒng)合規(guī)狀態(tài)���,通過(guò)清晰的綜合報(bào)告�����,很方便的了解等保測(cè)評(píng)對(duì)象的指標(biāo)差距和總體情況����,并能跟蹤相關(guān)指標(biāo)的實(shí)時(shí)狀態(tài)��。掌握等保對(duì)象相關(guān)資產(chǎn)的脆弱性和高風(fēng)險(xiǎn)項(xiàng)���,對(duì)整體的安全狀態(tài)有更完整的認(rèn)識(shí)����,即時(shí)動(dòng)態(tài)地管控等級(jí)保護(hù)工作內(nèi)容和工作進(jìn)度的情況,規(guī)范有序地實(shí)施等級(jí)保護(hù)的標(biāo)準(zhǔn)化管理�����。
鄂公網(wǎng)安備 42112402000149號(hào)