对话翼信捷合伙人杨群：行业用户如何有效落实等保合规建设

等级保护2.0《实施指南》已经正式发布三周年，在等保2.0时代背景下，网络安全呈现复杂化趋势，对安全理念、技术、管理等均提出了更高要求，对等保建设的需求呈现标准化、体系化、常态化等特点。

近期，翼信捷（珠海横琴）公司产品合伙人杨群接受采访，他是等保2.0时代最早的一批实践者之一，同时也是翼信捷云上标准化、流程化、自动化合规验证平台的产品经理，他分享了对等保建设的思考、平台化意义和落地的方案。

杨群谈自动化等保合规验证平台解决的问题是什么?

翼信捷云上自动化等保合规验证平台解决的是如何在云上进行等保建设和通过等级测评，并在通过测评后按照等保要求进行持续性自动化合规验证与监测的问题。

行业用户业务上公有云后需要解决在多云、混合云场景下满足等保合规的要求，需要更加重视云上业务系统安全防护，解决包括政企事业单位、互联网、电信、金融等行业或大型企业等的等保合规建设的需求。

自动化等保合规验证平台的应用场景有哪些呢？

越来越多的企业选择把业务部署在多个云平台上，给安全合规管理带来更高挑战。翼信捷云上自动化等保合规验证解决方案应运而生，为多云场景下的等保合规提供一体化全流程服务。包括在多云、混合云的环境下等保二级、三级所需要部署的安全服务能力，以及等保测评过程中相关的测评报告、整改建议等，帮助用户单位在多云场景下满足等保合规要求，为云上业务系统做好安全防护。一站式服务协助用户单位过等保，通过专业的安全能力为用户单位云上业务保驾护航，持续安全合规。

如何实现等保合规建设的自动化和标准化？

翼信捷云上自动化等保合规验证解决方案，是为用户提供包含云上资产发现与管理、等保专家咨询、漏洞发现、安全加固、协助等保测评的一站式云等保合规解决方案，帮助用户快速了解自有云上业务系统安全问题，低成本完成安全整改，快速找到专业的测评机构，完成等保测评，并对云上业务系统安全合规进行持续跟踪。

系统从自动化等保合规验证的角度出发，参照网络安全等级保护测评的相关标准，按照软件工程相关规范，进行流程和功能模块的设计。围绕等保合规，主要功能模块包括：资产发现、漏洞扫描、合规管理、整改建议清单、风险监测。

云上自动化等保合规验证的流程：包括①自动资产发现实现全面资产梳理管理。②等保合规自动比对实现合规差距分析。③问题整改建议报告推动安全问题整改。④专业合作伙伴机构协助用户等保测评。⑤自动合规验证实现持续合规监督检查。并提供免费7*24小时安全专家运营服务，降低安全维护成本，安全事件快速响应。

基于资产发现结果，系统进行自动化合规验证，通过自动化安全验证，目的在于评估企业/组织当前是否达到安全性法规（如PCI DSS）要求，确定当前符合的合规级别，通过补救方案消除风险点，再次进行自动化迭代评估确认补救方案有效且达标。

图 自动化等保合规验证平台

全面落实等级保护体系，通过实施等保标准化的管理，自动识别系统资产构成，实现持续验证系统合规状态，实时掌握系统安全状态。

客户的收益有哪些？

举个例子，某国家级重点传媒单位云上设备数量约200余台，承担互联网新闻发布，信息服务等业务。上云之初缺乏专业的专家指导，导致安全建设时间过长，采用的安全组件品牌多，安全建设沟通复杂，缺乏统一的安全态势监控，日常安全运维效率低。安全防护能力较弱，风险事件频发。

采用翼信捷云上自动化等保合规验证解决方案后，经专业安全团队指导，定制了完备的安全服务和等级保护相关服务，持续开展漏洞监测、安全扫描、安全评估、基线检查等工作，提升信息安全整体防护能力。通过内部资产的梳理，生成台账，实现精细化运维。建立并持续跟踪系统合规状态，通过清晰的综合报告，很方便的了解等保测评对象的指标差距和总体情况，并能跟踪相关指标的实时状态。掌握等保对象相关资产的脆弱性和高风险项，对整体的安全状态有更完整的认识，即时动态地管控等级保护工作内容和工作进度的情况，规范有序地实施等级保护的标准化管理。