運營商行業(yè)規(guī)范

運營商行業(yè)規(guī)范繼《網(wǎng)絡(luò)安全法》、等保2.0，2020版《個人信息安全規(guī)范》等法律法規(guī)之后，《2020年省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評分標準》要求包括運營商在內(nèi)的相關(guān)行業(yè)按照《2020年電信和互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全合規(guī)性評估要點》完成數(shù)據(jù)安全合規(guī)性評估工作，形成評估報告，并針對2020年內(nèi)應(yīng)組織落實的要點內(nèi)容，及時進行風(fēng)險問題整改。與此同時，工業(yè)和信息化部《關(guān)于做好2020年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》也對運營商行業(yè)數(shù)據(jù)安全防護提出了更高、更具體的要求，包括：持續(xù)深化行業(yè)數(shù)據(jù)安全專項管理；全面開展數(shù)據(jù)安全合規(guī)性評估；加強行業(yè)重要數(shù)據(jù)和新領(lǐng)域數(shù)據(jù)安全管理；加快推進數(shù)據(jù)安全制度標準建設(shè)；大力提升數(shù)據(jù)安全技術(shù)保障能力；強化社會監(jiān)督與宣傳培訓(xùn)。其中，滿足“合規(guī)性”是運營商開展各項數(shù)據(jù)安全建設(shè)工作的重要前提和基礎(chǔ)。然而，如何開展數(shù)據(jù)安全自我評估？怎樣明確數(shù)據(jù)安全基線？數(shù)據(jù)安全管控制度是否真實有效？安全能力建設(shè)又能否實現(xiàn)對重要數(shù)據(jù)全生命周期的安全管控？擺在運營商面前的問題還不少！為此，安華金和數(shù)據(jù)安全咨詢團隊專門根據(jù)上述《通知》、《要點》等文件要求，針對運營商行業(yè)具體情況和實際需求，提供包括“數(shù)據(jù)庫安全漏洞掃描、數(shù)據(jù)生命周期評估、基礎(chǔ)性評估、技術(shù)能力評估”等在內(nèi)的定制化數(shù)據(jù)安全合規(guī)性評估服務(wù)，匡助運營商客戶從“合規(guī)性”角度對自身數(shù)據(jù)安全管控效果進行準確評估，為后續(xù)數(shù)據(jù)安全建設(shè)工作提供可靠參考與專業(yè)指導(dǎo)：對運營商數(shù)據(jù)庫用戶權(quán)限、弱口令、低安全策略、缺省配置、高危程序代碼等進行掃描；采集、審閱與運營商行業(yè)有關(guān)的數(shù)據(jù)安全管理制度、數(shù)據(jù)安全技術(shù)規(guī)范、運行及維護等文檔；評估人員通過實際操作方式測試運營商數(shù)據(jù)安全現(xiàn)狀；評估人員對通過上述評估過程所采集的各項信息進行分析和整理，并與相關(guān)人員核實確認；根據(jù)分析結(jié)果，由評估人員撰寫、提交評估報告，確認運營商數(shù)據(jù)安全合規(guī)性的評估結(jié)果。支持Oracle、MySQL、SQLServer、PostgreSQL、DB2、Informix、SYBASE七大國際主流數(shù)據(jù)庫；支持南大通用、人大金倉、達夢三大國產(chǎn)主流數(shù)據(jù)庫；支持HIVE數(shù)據(jù)倉庫工具等。囊括系統(tǒng)注入、緩沖溢出、全線提升、補丁未升級等1910漏洞項；數(shù)據(jù)庫安全配置核查涵蓋低安全策略、權(quán)限寬泛、缺省配置、弱口令、高危程序等5399檢測項。采用“靜態(tài)+動態(tài)”的發(fā)現(xiàn)模式，通過主動嗅探及流量識別兩大數(shù)據(jù)庫發(fā)現(xiàn)技術(shù)，匡助運營商梳理并形成準確、完整的數(shù)據(jù)庫底賬。輸出《整體資產(chǎn)梳理報告》、《數(shù)據(jù)庫漏洞檢測報告》、《資產(chǎn)使用狀況分析報告》、《資產(chǎn)風(fēng)險評估報告》等綜合數(shù)據(jù)報表；形成《數(shù)據(jù)庫清單》、《敏感數(shù)據(jù)清單》、《數(shù)據(jù)庫賬戶權(quán)限清單》、《分類分級清單》、《數(shù)據(jù)使用分析清單》、《數(shù)據(jù)庫風(fēng)險綜合評估清單》、《統(tǒng)計清單》等細分數(shù)據(jù)清單。數(shù)據(jù)安全合規(guī)性評估在對運營商數(shù)據(jù)庫進行掃描等過程中：僅掃描關(guān)鍵對象，不會影響數(shù)據(jù)本身；僅獲取配置信息，不修改數(shù)據(jù)庫配置；僅通過特征識別，不侵入或者攻擊系統(tǒng)；具備多種檢測手段，不只依賴版本號。推進運營商數(shù)據(jù)安全管理、規(guī)范及相關(guān)標準建設(shè)工作，進一步明確包括數(shù)據(jù)分級分類、風(fēng)險評估、安全認證、預(yù)警處置、應(yīng)急響應(yīng)等在內(nèi)的關(guān)鍵制度與流程內(nèi)容；滿足《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點(2020年版)》等相關(guān)法律、法規(guī)、文件對運營商行業(yè)的合規(guī)性要求；為運營商有效應(yīng)對各類數(shù)據(jù)安全風(fēng)險行為，開展系統(tǒng)化的數(shù)據(jù)安全管理工作提供有力支撐；完成運營商行業(yè)重要數(shù)據(jù)資源調(diào)研摸底工作，形成運營商重要數(shù)據(jù)資源清單，并按照數(shù)據(jù)分級分類標準，采用訪問控制、加密備份、行為審計等一系列措施對數(shù)據(jù)進行有效保護；優(yōu)化并提高運營商在數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)安全審計、風(fēng)險預(yù)警溯源等方面的技術(shù)手段與防護能力。助力運營商數(shù)據(jù)安全建設(shè)，讓電信與互聯(lián)網(wǎng)服務(wù)“安全連接每一個用戶”！安華金和自2009年成立至今，向來專注于數(shù)據(jù)安全領(lǐng)域，是中國專業(yè)的數(shù)據(jù)安全產(chǎn)品及解決方案提供商，中國“數(shù)據(jù)安全管理”體系框架的提出者和踐行者