等級保護2.0《實施指南》已經(jīng)正式發(fā)布三周年,在等保2.0時代背景下,網(wǎng)絡(luò)安全呈現(xiàn)復(fù)雜化趨勢,對安全理念、技術(shù)、管理等均提出了更高要求,對等保建設(shè)的需求呈現(xiàn)標(biāo)準(zhǔn)化、體系化、常態(tài)化等特點。
近期,翼信捷(珠海橫琴)公司產(chǎn)品合伙人楊群接受采訪,他是等保2.0時代最早的一批實踐者之一,同時也是翼信捷云上標(biāo)準(zhǔn)化、流程化、自動化合規(guī)驗證平臺的產(chǎn)品經(jīng)理,他分享了對等保建設(shè)的思考、平臺化意義和落地的方案。
楊群談自動化等保合規(guī)驗證平臺解決的問題是什么?
翼信捷云上自動化等保合規(guī)驗證平臺解決的是如何在云上進行等保建設(shè)和通過等級測評,并在通過測評后按照等保要求進行持續(xù)性自動化合規(guī)驗證與監(jiān)測的問題。
行業(yè)用戶業(yè)務(wù)上公有云后需要解決在多云、混合云場景下滿足等保合規(guī)的要求,需要更加重視云上業(yè)務(wù)系統(tǒng)安全防護,解決包括政企事業(yè)單位、互聯(lián)網(wǎng)、電信、金融等行業(yè)或大型企業(yè)等的等保合規(guī)建設(shè)的需求。
自動化等保合規(guī)驗證平臺的應(yīng)用場景有哪些呢?
越來越多的企業(yè)選擇把業(yè)務(wù)部署在多個云平臺上,給安全合規(guī)管理帶來更高挑戰(zhàn)。翼信捷云上自動化等保合規(guī)驗證解決方案應(yīng)運而生,為多云場景下的等保合規(guī)提供一體化全流程服務(wù)。包括在多云、混合云的環(huán)境下等保二級、三級所需要部署的安全服務(wù)能力,以及等保測評過程中相關(guān)的測評報告、整改建議等,幫助用戶單位在多云場景下滿足等保合規(guī)要求,為云上業(yè)務(wù)系統(tǒng)做好安全防護。一站式服務(wù)協(xié)助用戶單位過等保,通過專業(yè)的安全能力為用戶單位云上業(yè)務(wù)保駕護航,持續(xù)安全合規(guī)。
如何實現(xiàn)等保合規(guī)建設(shè)的自動化和標(biāo)準(zhǔn)化?
翼信捷云上自動化等保合規(guī)驗證解決方案,是為用戶提供包含云上資產(chǎn)發(fā)現(xiàn)與管理、等保專家咨詢、漏洞發(fā)現(xiàn)、安全加固、協(xié)助等保測評的一站式云等保合規(guī)解決方案,幫助用戶快速了解自有云上業(yè)務(wù)系統(tǒng)安全問題,低成本完成安全整改,快速找到專業(yè)的測評機構(gòu),完成等保測評,并對云上業(yè)務(wù)系統(tǒng)安全合規(guī)進行持續(xù)跟蹤。
系統(tǒng)從自動化等保合規(guī)驗證的角度出發(fā),參照網(wǎng)絡(luò)安全等級保護測評的相關(guān)標(biāo)準(zhǔn),按照軟件工程相關(guān)規(guī)范,進行流程和功能模塊的設(shè)計。圍繞等保合規(guī),主要功能模塊包括:資產(chǎn)發(fā)現(xiàn)、漏洞掃描、合規(guī)管理、整改建議清單、風(fēng)險監(jiān)測。
云上自動化等保合規(guī)驗證的流程:包括①自動資產(chǎn)發(fā)現(xiàn)實現(xiàn)全面資產(chǎn)梳理管理。②等保合規(guī)自動比對實現(xiàn)合規(guī)差距分析。③問題整改建議報告推動安全問題整改。④專業(yè)合作伙伴機構(gòu)協(xié)助用戶等保測評。⑤自動合規(guī)驗證實現(xiàn)持續(xù)合規(guī)監(jiān)督檢查。并提供免費7*24小時安全專家運營服務(wù),降低安全維護成本,安全事件快速響應(yīng)。
基于資產(chǎn)發(fā)現(xiàn)結(jié)果,系統(tǒng)進行自動化合規(guī)驗證,通過自動化安全驗證,目的在于評估企業(yè)/組織當(dāng)前是否達到安全性法規(guī)(如PCI DSS)要求,確定當(dāng)前符合的合規(guī)級別,通過補救方案消除風(fēng)險點,再次進行自動化迭代評估確認(rèn)補救方案有效且達標(biāo)。
圖 自動化等保合規(guī)驗證平臺
全面落實等級保護體系,通過實施等保標(biāo)準(zhǔn)化的管理,自動識別系統(tǒng)資產(chǎn)構(gòu)成,實現(xiàn)持續(xù)驗證系統(tǒng)合規(guī)狀態(tài),實時掌握系統(tǒng)安全狀態(tài)。
客戶的收益有哪些?
舉個例子,某國家級重點傳媒單位云上設(shè)備數(shù)量約200余臺,承擔(dān)互聯(lián)網(wǎng)新聞發(fā)布,信息服務(wù)等業(yè)務(wù)。上云之初缺乏專業(yè)的專家指導(dǎo),導(dǎo)致安全建設(shè)時間過長,采用的安全組件品牌多,安全建設(shè)溝通復(fù)雜,缺乏統(tǒng)一的安全態(tài)勢監(jiān)控,日常安全運維效率低。安全防護能力較弱,風(fēng)險事件頻發(fā)。
采用翼信捷云上自動化等保合規(guī)驗證解決方案后,經(jīng)專業(yè)安全團隊指導(dǎo),定制了完備的安全服務(wù)和等級保護相關(guān)服務(wù),持續(xù)開展漏洞監(jiān)測、安全掃描、安全評估、基線檢查等工作,提升信息安全整體防護能力。通過內(nèi)部資產(chǎn)的梳理,生成臺賬,實現(xiàn)精細化運維。建立并持續(xù)跟蹤系統(tǒng)合規(guī)狀態(tài),通過清晰的綜合報告,很方便的了解等保測評對象的指標(biāo)差距和總體情況,并能跟蹤相關(guān)指標(biāo)的實時狀態(tài)。掌握等保對象相關(guān)資產(chǎn)的脆弱性和高風(fēng)險項,對整體的安全狀態(tài)有更完整的認(rèn)識,即時動態(tài)地管控等級保護工作內(nèi)容和工作進度的情況,規(guī)范有序地實施等級保護的標(biāo)準(zhǔn)化管理。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )