运营商行业数据安全合规性评估服务方案 – 作者:安华金和

如果有人发问

“今天的生活最离不开什么？”

答案不难猜测

“手机和网络”

如今，人类能够通过各种智能终端轻松快捷地“连接在一起”，背后靠得是中国移动、中国联通、中国电信等“运营商”提供的电信与互联网服务支撑。

每时每刻，都有海量的数据信息在进行传输流动和交换共享——刷微博、发朋友圈、撰文晒图、语音聊天、线上支付、下单购物、滴滴一下、今晚吃鸡等等等等…简直难以想象，如果没有手机和网络，一个人每天24小时的工作和生活将会变得多么没有“安全感”？

另一方面，如果这些运营商自身出现“数据安全问题”，将会对个人、社会、国家乃至世界造成多么巨大的影响？又会导致怎样严重的后果？正因如此，作为关键信息基础设施的典型代表——运营商行业的数据安全防护至关重要，数据安全建设工作势在必行！

一、安全合规

继《网络安全法》、等保2.0，2020版《个人信息安全规范》等法律法规之后，《2020年省级基础电信企业网络与信息安全工作考核要点与评分标准》要求包括运营商在内的相关行业按照《2020年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作，形成评估报告，并针对2020年内应组织落实的要点内容，及时进行风险问题整改。

与此同时，工业和信息化部《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》也对运营商行业数据安全防护提出了更高、更具体的要求，包括：

· 持续深化行业数据安全专项治理；

· 全面开展数据安全合规性评估；

· 加强行业重要数据和新领域数据安全管理；

· 加快推进数据安全制度标准建设；

· 大力提升数据安全技术保障能力；

· 强化社会监督与宣传培训。

其中，满足“合规性”是运营商开展各项数据安全建设工作的重要前提和基础。然而，如何开展数据安全自我评估？怎样明确数据安全基线？数据安全管控制度是否真实有效？安全能力建设又能否实现对重要数据全生命周期的安全管控？摆在运营商面前的问题还很多！

二、评估方法

为此，安华金和数据安全咨询团队专门根据上述《通知》、《要点》等文件要求，针对运营商行业具体情况和实际需求，提供包括“数据库安全漏洞扫描、数据生命周期评估、基础性评估、技术能力评估”等在内的定制化数据安全合规性评估服务，帮助运营商客户从“合规性”角度对自身数据安全管控效果进行准确评估，为后续数据安全建设工作提供可靠参考与专业指导：

第一步、数据库扫描

对运营商数据库用户权限、弱口令、低安全策略、缺省配置、高危程序代码等进行扫描；

第二步、文档审阅

收集、审阅与运营商行业有关的数据安全管理制度、数据安全技术规范、运行及维护等文档；

第三步、现场检查

评估人员通过实际操作方式测试运营商数据安全现状；

第四步、综合分析

评估人员对通过上述评估过程所收集的各项信息进行分析和整理，并与相关人员核实确认；

第五步、评估报告

根据分析结果，由评估人员撰写、提交评估报告，确认运营商数据安全合规性的评估结果。

三、技术优势

1、数据库类型全面

支持Oracle、MySQL、SQL Server、PostgreSQL、DB2、Informix、SYBASE七大国际主流数据库；支持南大通用、人大金仓、达梦三大国产主流数据库；支持HIVE数据仓库工具等。

2、漏洞库/检测项丰富

囊括系统注入、缓冲溢出、全线提升、补丁未升级等1910漏洞项；数据库安全配置核查涵盖低安全策略、权限宽泛、缺省配置、弱口令、高危程序等5399检测项。

3、数据库发现技术成熟

采用“静态+动态”的发现模式，通过主动嗅探及流量识别两大数据库发现技术，帮助运营商梳理并形成准确、完整的数据库底账。

4、数据报表/清单丰富

输出《整体资产梳理报告》、《数据库漏洞检测报告》、《资产使用状况分析报告》、《资产风险评估报告》等综合数据报表；形成《数据库清单》、《敏感数据清单》、《数据库账户权限清单》、《分类分级清单》、《数据使用分析清单》、《数据库风险综合评估清单》、《统计清单》等细分数据清单。

5、扫描评估无“副作用”

数据安全合规性评估在对运营商数据库进行扫描等过程中：

· 仅扫描关键对象，不会影响数据本身；

· 仅获取配置信息，不修改数据库配置；

· 仅通过特征识别，不侵入或攻击系统；

· 具备多种检测手段，不只依赖版本号。

四、客户价值

1、树立标准

推进运营商数据安全管理、规范及相关标准建设工作，进一步明确包括数据分级分类、风险评估、安全认证、预警处置、应急响应等在内的关键制度与流程内容；

2、满足合规

满足《电信和互联网企业网络数据安全合规性评估要点（2020年版）》等相关法律、法规、文件对运营商行业的合规性要求；

3、提供支撑

为运营商有效应对各类数据安全风险行为，开展系统化的数据安全治理工作提供有力支撑；

4、加强管理

完成运营商行业重要数据资源调研摸底工作，形成运营商重要数据资源清单，并按照数据分级分类标准，采用访问控制、加密备份、行为审计等一系列措施对数据进行有效保护；

5、完善保障

优化并提高运营商在数据资产管理、数据安全审计、风险预警溯源等方面的技术手段与防护能力。

助力运营商数据安全建设，让电信与互联网服务“安全连接每一个用户”！

安华金和自2009年成立至今，一直专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商，中国“数据安全治理”体系框架的提出者和践行者，中国数据安全行业领先企业。安华金和能够提供包括敏感数据发现、数据分级分类、数据流动过程管控及数据审计监控等在内的数据安全治理整体解决方案，产品和服务覆盖数据使用的全生命周期。