對話翼信捷合伙人楊群:行業(yè)用戶如何有效落實等保合規(guī)建設

  • 人閱讀
  • 2022-09-09 12:08:59

  • 來源:中華網(wǎng)

  • 相關關鍵詞

等級保護2.0《實施指南》已經(jīng)正式發(fā)布三周年,在等保2.0時代背景下,網(wǎng)絡安全呈現(xiàn)復雜化趨勢,對安全理念、技術、管理等均提出了更高要求,對等保建設的需求呈現(xiàn)標準化、體系化、常態(tài)化等特點。

近期,翼信捷(珠海橫琴)公司產(chǎn)品合伙人楊群接受采訪,他是等保2.0時代最早的一批實踐者之一,同時也是翼信捷云上標準化、流程化、自動化合規(guī)驗證平臺的產(chǎn)品經(jīng)理,他分享了對等保建設的思考、平臺化意義和落地的方案。

楊群談自動化等保合規(guī)驗證平臺解決的問題是什么?

翼信捷云上自動化等保合規(guī)驗證平臺解決的是如何在云上進行等保建設和通過等級測評,并在通過測評后按照等保要求進行持續(xù)性自動化合規(guī)驗證與監(jiān)測的問題。

行業(yè)用戶業(yè)務上公有云后需要解決在多云、混合云場景下滿足等保合規(guī)的要求,需要更加重視云上業(yè)務系統(tǒng)安全防護,解決包括政企事業(yè)單位、互聯(lián)網(wǎng)、電信、金融等行業(yè)或大型企業(yè)等的等保合規(guī)建設的需求。

自動化等保合規(guī)驗證平臺的應用場景有哪些呢?

越來越多的企業(yè)選擇把業(yè)務部署在多個云平臺上,給安全合規(guī)管理帶來更高挑戰(zhàn)。翼信捷云上自動化等保合規(guī)驗證解決方案應運而生,為多云場景下的等保合規(guī)提供一體化全流程服務。包括在多云、混合云的環(huán)境下等保二級、三級所需要部署的安全服務能力,以及等保測評過程中相關的測評報告、整改建議等,幫助用戶單位在多云場景下滿足等保合規(guī)要求,為云上業(yè)務系統(tǒng)做好安全防護。一站式服務協(xié)助用戶單位過等保,通過專業(yè)的安全能力為用戶單位云上業(yè)務保駕護航,持續(xù)安全合規(guī)。

如何實現(xiàn)等保合規(guī)建設的自動化和標準化?

翼信捷云上自動化等保合規(guī)驗證解決方案,是為用戶提供包含云上資產(chǎn)發(fā)現(xiàn)與管理、等保專家咨詢、漏洞發(fā)現(xiàn)、安全加固、協(xié)助等保測評的一站式云等保合規(guī)解決方案,幫助用戶快速了解自有云上業(yè)務系統(tǒng)安全問題,低成本完成安全整改,快速找到專業(yè)的測評機構,完成等保測評,并對云上業(yè)務系統(tǒng)安全合規(guī)進行持續(xù)跟蹤。

系統(tǒng)從自動化等保合規(guī)驗證的角度出發(fā),參照網(wǎng)絡安全等級保護測評的相關標準,按照軟件工程相關規(guī)范,進行流程和功能模塊的設計。圍繞等保合規(guī),主要功能模塊包括:資產(chǎn)發(fā)現(xiàn)、漏洞掃描、合規(guī)管理、整改建議清單、風險監(jiān)測。

云上自動化等保合規(guī)驗證的流程:包括①自動資產(chǎn)發(fā)現(xiàn)實現(xiàn)全面資產(chǎn)梳理管理。②等保合規(guī)自動比對實現(xiàn)合規(guī)差距分析。③問題整改建議報告推動安全問題整改。④專業(yè)合作伙伴機構協(xié)助用戶等保測評。⑤自動合規(guī)驗證實現(xiàn)持續(xù)合規(guī)監(jiān)督檢查。并提供免費7*24小時安全專家運營服務,降低安全維護成本,安全事件快速響應。

基于資產(chǎn)發(fā)現(xiàn)結果,系統(tǒng)進行自動化合規(guī)驗證,通過自動化安全驗證,目的在于評估企業(yè)/組織當前是否達到安全性法規(guī)(如PCI DSS)要求,確定當前符合的合規(guī)級別,通過補救方案消除風險點,再次進行自動化迭代評估確認補救方案有效且達標。

圖 自動化等保合規(guī)驗證平臺

全面落實等級保護體系,通過實施等保標準化的管理,自動識別系統(tǒng)資產(chǎn)構成,實現(xiàn)持續(xù)驗證系統(tǒng)合規(guī)狀態(tài),實時掌握系統(tǒng)安全狀態(tài)。

客戶的收益有哪些?

舉個例子,某國家級重點傳媒單位云上設備數(shù)量約200余臺,承擔互聯(lián)網(wǎng)新聞發(fā)布,信息服務等業(yè)務。上云之初缺乏專業(yè)的專家指導,導致安全建設時間過長,采用的安全組件品牌多,安全建設溝通復雜,缺乏統(tǒng)一的安全態(tài)勢監(jiān)控,日常安全運維效率低。安全防護能力較弱,風險事件頻發(fā)。

采用翼信捷云上自動化等保合規(guī)驗證解決方案后,經(jīng)專業(yè)安全團隊指導,定制了完備的安全服務和等級保護相關服務,持續(xù)開展漏洞監(jiān)測、安全掃描、安全評估、基線檢查等工作,提升信息安全整體防護能力。通過內(nèi)部資產(chǎn)的梳理,生成臺賬,實現(xiàn)精細化運維。建立并持續(xù)跟蹤系統(tǒng)合規(guī)狀態(tài),通過清晰的綜合報告,很方便的了解等保測評對象的指標差距和總體情況,并能跟蹤相關指標的實時狀態(tài)。掌握等保對象相關資產(chǎn)的脆弱性和高風險項,對整體的安全狀態(tài)有更完整的認識,即時動態(tài)地管控等級保護工作內(nèi)容和工作進度的情況,規(guī)范有序地實施等級保護的標準化管理。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )