亞馬遜云科技 -安全合規(guī)解決方案 2023

3)AtosSOCasaService解決方案104)CI&T基于亞馬遜云科技的Drupal托管解決方案145)DXCSIEM/SOC解決方案176)德勤中國(guó)企業(yè)出海合規(guī)咨詢解決方案209)德勤安全運(yùn)營(yíng)中心及安全托管服務(wù)(ManagedSecurityService)解決方案3110)德勤AmazonWebServices安全著陸區(qū)服務(wù)解決方案3511)德勤隱私合規(guī)自評(píng)估工具D.PAsS解決方案3812)NTTMSSP安全托管服務(wù)解決方案4213)NTTSIEM安全信息和事件管理解決方案4514)NRI基于亞馬遜云科技的安全準(zhǔn)則制定咨詢服務(wù)4718)普華永道隱私保護(hù)合規(guī)解決方案6119)普華永道舉報(bào)和道德平臺(tái)解決方案>accenture埃森哲埃森哲Security>accenture埃森哲埃森哲SecurityLandingZone為用戶提供一個(gè)安全可信的云環(huán)境基礎(chǔ)以放心地遜云科技云上著陸區(qū)。—4—亞馬遜云科技續(xù)的云遷移和應(yīng)用開發(fā)奠定基基于亞馬遜云科技和埃森哲最佳續(xù)的云遷移和應(yīng)用開發(fā)奠定基基于亞馬遜云科技和埃森哲最佳實(shí)踐，為用戶提供一個(gè)安全的可配置的企業(yè)級(jí)的云資源環(huán)境，滿 AmazonIAM設(shè)計(jì)圖示1:安全著陸區(qū)設(shè)計(jì)要點(diǎn)(?2022埃森哲版權(quán)所有）—5—AmazonCon?gAmazonWAFAmazonSSMAmazonVPCAmazonIAMAmazonS3AmazonGuardDutyAmazonAmazonSecurityHubAmazonRDSAmazonAmazonELBAmazonCloudWatchAmazonACM—6—亞馬遜云科技>accenture埃森哲◆>accenture埃森哲◆—7—亞馬遜云科技—8—亞馬遜云科技行的整改建議，幫助客戶降低數(shù)據(jù)出境的風(fēng)險(xiǎn)，滿足數(shù)據(jù)出境的合規(guī)要求，進(jìn)而減少潛在的因不合規(guī)造成的業(yè)務(wù)中斷的可—9—亞馬遜云科技……AtssAtosSOCasaService解決方案◆SOC安全運(yùn)營(yíng)中心一站式建設(shè)與運(yùn)營(yíng)。希望獲取到業(yè)界知名的SOC安全運(yùn)營(yíng)服務(wù)。>傳統(tǒng)SOC復(fù)雜的建設(shè)與運(yùn)營(yíng)流程和高昂的花費(fèi)>業(yè)務(wù)快速迭代引發(fā)的DevOps所帶來的安全挑戰(zhàn)—10—亞馬遜云科技1一站式安全SOC交付與運(yùn)營(yíng)能力2安全投入成本的節(jié)約和持續(xù)優(yōu)化3成熟的SOC建設(shè)框架與豐富的SOC運(yùn)營(yíng)經(jīng)驗(yàn)Atos在全球擁有15個(gè)SOC運(yùn)營(yíng)中心，6000+安全專家，多次為奧運(yùn)會(huì)等全球大俠賽事提供SOC安全運(yùn)營(yíng)與—11—亞馬遜云科技網(wǎng)絡(luò)與安全設(shè)備、應(yīng)用等產(chǎn)生的日志、網(wǎng)絡(luò)流等數(shù)據(jù)通過安裝采集器組件或者采用標(biāo)準(zhǔn)協(xié)議的方式實(shí)時(shí)發(fā)送至性等對(duì)用戶關(guān)鍵業(yè)務(wù)的安全穩(wěn)定運(yùn)行有著至關(guān)重要的作用。AtosSOC服務(wù)可通過本地或者遠(yuǎn)程的方式為用戶提—12—亞馬遜云科技銅銀金銅銀金目前AtosSOConCloud提供三種威脅情報(bào)管理-通過全球威脅情報(bào)庫(kù)及時(shí)發(fā)現(xiàn)常規(guī)和非常規(guī)的安全威脅智能應(yīng)對(duì)-采用AI和SOAR等自動(dòng)化編排對(duì)常規(guī)威脅進(jìn)行自動(dòng)快速響應(yīng)AmazonEC2AmazonS3AmazonGuardDutyAmazonCloudTrailAmazonCloudWatchFlowlogsAmazonSQS—13—CI&T基于亞馬遜云科技的Drupal托管CI&T基于亞馬遜云科技的Drupal托管◆I全面自動(dòng)化—14—亞馬遜云科技I基于亞馬遜云科技的架構(gòu)AmazonChina-NingxiaRegion—15—亞馬遜云科技PipelinePipeline運(yùn)維，可視化的部署以Nginx、Apache、PHP、從服務(wù)器、數(shù)據(jù)庫(kù)從服務(wù)器、數(shù)據(jù)庫(kù)、全方位的監(jiān)控，讓您深入了解各個(gè)服務(wù)的運(yùn)行為開發(fā)人員提供操作服務(wù)器和數(shù)為開發(fā)人員提供操作服務(wù)器和數(shù)自動(dòng)化備份機(jī)制可保證數(shù)據(jù)的安提供高可用、高性能且易于擴(kuò)展提供高可用、高性能且易于擴(kuò)展為Drupal量身打造及多域名、數(shù)據(jù)庫(kù)的關(guān)聯(lián)，支持Memcache，Varnish等Drupal基于亞馬遜云科技(AmazonWebServices）安全的基礎(chǔ)服務(wù)架構(gòu)，我們還提供其他層面的安全合規(guī)—16—DXCSIEMDXCSIEM/SOC解決方案◆DXC在70多個(gè)國(guó)家/地區(qū)擁有4000多名經(jīng)過云認(rèn)證的專業(yè)人員，作為亞馬遜云科技解決方案提供商和高級(jí)咨詢合作伙伴，SIEM系統(tǒng)需要管理和監(jiān)視數(shù)量巨大且類型多樣的設(shè)備和日志源—17—亞馬遜云科技SOC設(shè)計(jì) DXCSecuritySOCEDRArchitectureonAmazonWebServicesDXCSecuritySOCSIEMArchitectureonAmazonWebServices DXCAmazonVPC ClientAmazonVPC—18—亞馬遜云科技……>完整的溝通和詳細(xì)的現(xiàn)場(chǎng)調(diào)查以確定架構(gòu)設(shè)計(jì)>協(xié)助客戶選擇云以及和合適的技術(shù)>基于中國(guó)的云設(shè)計(jì)的SOC—19—亞馬遜云科技Deloitte?！鬌eloitte?！簟?0—亞馬遜云科技以安全為入口影響客戶決策，展現(xiàn)亞馬遜云科技優(yōu)勢(shì)并為后續(xù)新為客戶規(guī)避法律風(fēng)險(xiǎn)，讓客戶專以安全為入口影響客戶決策，展現(xiàn)亞馬遜云科技優(yōu)勢(shì)并為后續(xù)新為客戶規(guī)避法律風(fēng)險(xiǎn)，讓客戶專通過體系化考慮數(shù)據(jù)安全通過體系化考慮數(shù)據(jù)安全與隱私保護(hù)問題的解決—21—幫助企業(yè)識(shí)別并解讀不同地區(qū)的法律法規(guī)監(jiān)管要求建立全球隱私保護(hù)組織與制度流程，體系化運(yùn)營(yíng)全球隱私保護(hù)體系該客戶海外系統(tǒng)已分區(qū)域遷移至亞馬遜云科技，滿足海外業(yè)務(wù)開展地區(qū)的數(shù)據(jù)本地化要求AmazonSecurityHubAmazonOrganizationsAmazonAmazonAmazonSystemsManagerAmazonTrustedAdvisorAmazonGuardDutyAmazonServiceCatalogAmazonAmazonCon?g—22—亞馬遜云科技Deloitte。◆Deloitte?！簟?3—亞馬遜云科技為客戶規(guī)避法律風(fēng)險(xiǎn)，讓客戶專德勤業(yè)務(wù)覆蓋全球，有從咨詢到為客戶規(guī)避法律風(fēng)險(xiǎn)，讓客戶專德勤業(yè)務(wù)覆蓋全球，有從咨詢到落地的一站式能力，充分保障從口影響客戶決策，展現(xiàn)亞馬遜云科技優(yōu)勢(shì)并為后續(xù)新系統(tǒng)建設(shè)或—24—亞馬遜云科技于物理機(jī)房安全合規(guī)要求向云開發(fā)團(tuán)隊(duì)提供了一系列涉及產(chǎn)品/服務(wù)部保2.0技術(shù)和管理控制點(diǎn)要求AmazonVPCFlowlogsAmazonWAFEndpointsAmazonAmazonVPCAmazonAPIGatewayAmazonCloudMapAmazonCloudFrontAmazonAmazonCerti?cateManagerAmazonAmazonRouteS3Amazon—25—AmazonAmazonIAMAmazonCerti?cateManagerAmazonAmazonAmazonSecretsManagerAmazonLambdaAmazonManagerAmazonKeyManagementAmazonSecurityHubAmazonGuardDutyAmazonCloudWatchAmazonSystemsManagerAmazonTrustedAdvisonAmazonAmazonOrganizationsAmazonManager—26—亞馬遜云科技Deloitte。Deloitte。>系統(tǒng)上云后對(duì)計(jì)算機(jī)化系統(tǒng)驗(yàn)證有什么影—27—亞馬遜云科技深刻理解GxP法規(guī)，準(zhǔn)確把握各深刻理解GxP法規(guī)，準(zhǔn)確把握各類系統(tǒng)的風(fēng)險(xiǎn)；體系咨詢和CSV針對(duì)云上基礎(chǔ)架構(gòu)的搭建、驗(yàn)證和確認(rèn)，并將其納入到自身已有加可靠穩(wěn)定的設(shè)備和系統(tǒng)；更穩(wěn)—28——29—AmazonAmazonVPCAmazonS3AmazonAmazonRDSAmazonAmazonIAMAmazonCon?gWell-ArchitectedToolSystemsManager—30—亞馬遜云科技Deloitte。Deloitte。◆—31—亞馬遜云科技通過主動(dòng)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)幫助組織變得更值得信賴、更有彈性和更通過主動(dòng)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)幫助組織變得更值得信賴、更有彈性和更經(jīng)驗(yàn)豐富的安全工程師，對(duì)各行各業(yè)的安全解決方案有深入了解服務(wù)，集成的安全工具和流程可提升響應(yīng)速度，達(dá)到或超過行業(yè)—32—亞馬遜云科技德勤為某全球知名的藥企客戶提供亞馬遜云科技云上安全管理服務(wù):AmazonWebAmazonWebAmazonWebServicesAmazonWebServicesAmazonWebAmazonWebServicesAmazonWebServices—33—亞馬遜云科技AmazonESAmazonESAmazonSageMakerAmazonCon?gAmazonWAFAmazonSystemsManagerAmazonVPCAmazonIAMAmazonS3AmazonGuardDutyAmazonAmazonSecurityHubAmazonRDSAmazonAmazonELB—34—亞馬遜云科技Deloitte。德勤AmazonDeloitte。德勤AmazonWebServices安全著陸區(qū)◆為用戶提供一個(gè)安全可信的基礎(chǔ)云環(huán)境,以進(jìn)行下一步的系統(tǒng)遷移和—35—亞馬遜云科技保證可擴(kuò)展性，為后續(xù)的云遷移保證可擴(kuò)展性，為后續(xù)的云遷移和應(yīng)用開發(fā)奠定基礎(chǔ)，加速數(shù)字安全可配置的企業(yè)級(jí)云資源環(huán)合云網(wǎng)絡(luò)的互聯(lián)、網(wǎng)絡(luò)的流量何構(gòu)建高可用和可擴(kuò)展的網(wǎng)絡(luò)>安全防護(hù)通過在云上構(gòu)建基礎(chǔ)的安全環(huán)境，幫助業(yè)務(wù)系統(tǒng)在>合規(guī)審計(jì)設(shè)計(jì)治理的目標(biāo)和流程，并通過相應(yīng)的工具來實(shí)現(xiàn)>身份權(quán)限規(guī)劃誰(shuí)能夠訪問云，并通過單點(diǎn)登錄SSO和細(xì)粒>多個(gè)賬戶和定義跨賬戶角色允>初始賬戶安全性和亞馬遜云科—36—亞馬遜云科技來服務(wù)的通用性。例如，通過IAMPermissionsBoundary替代SCP,通過CrossActionRAM以及通過ISV的產(chǎn)品來幫助搭建VPN等。允許隨時(shí)間推移進(jìn)行迭代和允許隨時(shí)間推移進(jìn)行迭代和科技最佳實(shí)踐的多賬戶亞馬馬遜云科技中國(guó)實(shí)施LandingZone搭建多賬戶架構(gòu)并建立安全基德勤為L(zhǎng)andingZone實(shí)施提供架構(gòu)設(shè)計(jì)使用AVM和SCP替代解決方案自動(dòng)配置AmazonSecurityHubAmazonCon?gAmazonOrganizationsAmazonAmazonAmazonSystemsManagerAmazonTrustedAdvisorAmazonGuardDutyAmazonServiceCatalogAmazon—37—合規(guī)面向主體相關(guān)合規(guī)要求數(shù)據(jù)保護(hù)官DPO合規(guī)面向主體相關(guān)合規(guī)要求數(shù)據(jù)保護(hù)官DPO數(shù)據(jù)保護(hù)官DPO默認(rèn)隱私設(shè)計(jì)PbD數(shù)據(jù)保護(hù)影響評(píng)估DPIA產(chǎn)品及服務(wù)Deloitte。DPO的地位與職責(zé)是否可支持其工作開展—38—亞馬遜云科技@“化繁為簡(jiǎn)”的合規(guī)自評(píng)估工具@“化繁為簡(jiǎn)”的合規(guī)自評(píng)估工具支持接入AmazonCon?g*工具進(jìn)行自動(dòng)識(shí)別合規(guī)合規(guī)自評(píng)估適用性分析合規(guī)自評(píng)估GDPR適用性分析隱私管理能力自評(píng)估GDPR適用性分析隱私管理能力自評(píng)估系統(tǒng)/產(chǎn)品合規(guī)自評(píng)估快14道判斷題準(zhǔn)100+問題項(xiàng)GDPR的體系化解讀，易30+掃描策略*全80+實(shí)踐案例*該功能需單獨(dú)購(gòu)買AmazonCon?g產(chǎn)品?！?9—亞馬遜云科技持續(xù)跟蹤最新處罰案例的產(chǎn)品重大變更后的合規(guī)狀識(shí)別退出后業(yè)務(wù)是否殘余識(shí)別退出區(qū)域可減少的合持續(xù)跟蹤最新處罰案例的產(chǎn)品重大變更后的合規(guī)狀識(shí)別退出后業(yè)務(wù)是否殘余識(shí)別退出區(qū)域可減少的合分析如何合規(guī)地處置業(yè)務(wù)撤出后數(shù)據(jù)主體權(quán)利響應(yīng)應(yīng)適用場(chǎng)景識(shí)別新產(chǎn)品需滿足的合規(guī)—40—應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景識(shí)別企業(yè)需開展的合規(guī)提應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景識(shí)別是否屬于監(jiān)管的跨境識(shí)別維護(hù)數(shù)據(jù)仍需滿足的AmazonCon?g檢測(cè)嵌入AmazonCon?g，獲悉云環(huán)境實(shí)際狀況悉企業(yè)整體合規(guī)狀況—41—NTTNTT◆行有效的安全管理。信息安全能力的提升也可以有效提升企業(yè)對(duì)外—42—亞馬遜云科技—43—亞馬遜云科技AmazonAmazonGuardDutyAmazonIdentity&AccessManagement(IAM)AmazonWAF—44—亞馬遜云科技NTTNTTNTTNTTSIEM安全信息和事件管理解決方案◆—45—亞馬遜云科技通過基于亞馬遜云科技的云端SIEM平臺(tái)對(duì)用戶的IT環(huán)境進(jìn)行安全按需增加Amazon安全組件Amazon-SGAmazon-SGAmazon-S3Amazon-S3Amazon-BKAmazon-BK幫助某能源企業(yè)所有亞馬遜云科技相關(guān)安全組件和系統(tǒng)、包括AmazonECS相關(guān)系統(tǒng)安全數(shù)據(jù)、均通過我們SIEM安全分析同時(shí)安全分析專家團(tuán)隊(duì)7x24全天候進(jìn)行值守和告和周期性報(bào)告提升安全管理效率和能力。AmazonEC2AmazonS3AmazonLoadBalancingAmazonCloudTrailAmazonGuardDutyAmazonWAF—46—亞馬遜云科技NRI基于亞馬遜云科技的安全準(zhǔn)則制定NRI基于亞馬遜云科技的安全準(zhǔn)則制定◆如何將企業(yè)內(nèi)的統(tǒng)一管理規(guī)范及安全策略實(shí)際安裝—47—亞馬遜云科技可以根據(jù)客戶的安全政策和戰(zhàn)略在可以根據(jù)客戶的安全政策和戰(zhàn)略在DevSecOps環(huán)境下，能夠?qū)嵄O(jiān)視。云科技最佳實(shí)踐以及NRI積累的 AmazonCon?gAmazonSSMAmazonIAMAmazonGuardDutyAmazonSecurityHubAmazonCloudTrailAmazonWAFAmazonVPCAmazonS3AmazonEC2AmazonRDSAmazonELB—48—◆◆—49—亞馬遜云科技—50—亞馬遜云科技—51—亞馬遜云科技由于管理所需的信息都是自動(dòng)收集，因此還沒有進(jìn)行登記的新設(shè)備的發(fā)現(xiàn)，以及經(jīng)過一段時(shí)間不知道是否還存在的設(shè)備信息的掌握就變得由于管理所需的信息都是自動(dòng)收集，因此還沒有進(jìn)行登記的新設(shè)備的發(fā)現(xiàn)，以及經(jīng)過一段時(shí)間不知道是否還存在的設(shè)備信息的掌握就變得18據(jù)點(diǎn)18據(jù)點(diǎn)通過禁止管理對(duì)象外的USB設(shè)備的使用，大大通過禁止管理對(duì)象外的USB設(shè)備的使用，大大(USB控制）上使用個(gè)人USB設(shè)備感染病毒的風(fēng)險(xiǎn)也隨之國(guó)內(nèi)據(jù)點(diǎn)和海外據(jù)點(diǎn)實(shí)現(xiàn)了PC的統(tǒng)一管理。信息的管理變得簡(jiǎn)單，盤點(diǎn)作業(yè)的效率也大大信息的管理變得簡(jiǎn)單，盤點(diǎn)作業(yè)的效率也大大約10,000臺(tái)HelpDesk海外據(jù)點(diǎn)的PC出現(xiàn)問題的時(shí)候，HelpDeskHelpDesk能進(jìn)行電話對(duì)應(yīng)，從狀況的掌握到問題的解決由于JP1由于JP1有軟件分發(fā)的功能，就可以使公司內(nèi)所有必須安裝的軟件的導(dǎo)入和版本保持一致，大大減少了故障發(fā)生的頻率。HelpDesk很長(zhǎng)的時(shí)間進(jìn)行對(duì)應(yīng)。對(duì)已安裝軟件的信息可以進(jìn)行自動(dòng)的收集和統(tǒng)對(duì)已安裝軟件的信息可以進(jìn)行自動(dòng)的收集和統(tǒng)就可以掌握類似把文件拷貝到外部介質(zhì)等信息約50,00臺(tái)—52—AmazonDynamoDBAmazonAmazonS3AmazonMQAmazonSagemakerAmazonAmazonQuickSight—53—亞馬遜云科技◆◆—54—亞馬遜云科技—55—亞馬遜云科技—56—亞馬遜云科技>安全場(chǎng)景的設(shè)計(jì)>采用分層邏輯體AmazonCloudWatchAmazonVPCAmazonS3AmazonAmazonKinesisDataStreamsAmazonAmazonWAF—57—亞馬遜云科技普華永道普華永道漏洞掃描解決方案◆普華永道普華永道漏洞掃描解決方案◆應(yīng)用場(chǎng)景隨著云計(jì)算技術(shù)的快速發(fā)展，越來越多的企業(yè)選擇將IT系統(tǒng)遷移到亞馬遜云科技等云上。亞馬遜云科技(Amazonwebservices)已成為各類企業(yè)IT基礎(chǔ)設(shè)施的重要組成部分。如何實(shí)現(xiàn)漏洞管理在亞馬遜云科技的閉環(huán)管理,持續(xù)保障云環(huán)境的安全穩(wěn)定，已成為企業(yè)安全管理的突出課題。企業(yè)需要了解自身的信息安全水平，并緩減和修復(fù)安全風(fēng)險(xiǎn)?？蛻粜枰獙?duì)現(xiàn)有的系統(tǒng)實(shí)現(xiàn)漏洞閉環(huán)管理。普華永道專家團(tuán)隊(duì)作為企業(yè)安全能力的"外腦"，充分借鑒行業(yè)最佳實(shí)踐的寶貴經(jīng)驗(yàn)，診斷當(dāng)前云資源的安全能力短板，并通過切實(shí)的整改方案，彌補(bǔ)技術(shù)差距提升IT防御能力，有效抵御紛繁復(fù)雜的互聯(lián)網(wǎng)攻擊，持續(xù)保障云環(huán)境的安全穩(wěn)定。安全性和合規(guī)性是亞馬遜云科技和客戶的共同責(zé)任。在責(zé)任共擔(dān)模式中，亞馬遜云科技負(fù)責(zé)"云本身的安全"，客戶負(fù)責(zé)"云內(nèi)部的安全"。針對(duì)亞馬遜云科技基礎(chǔ)設(shè)施的漏洞管理客戶將面臨如下幾個(gè)突出問題補(bǔ)定安裝后如何驗(yàn)證漏洞修復(fù)有效性(補(bǔ)定安裝后如何驗(yàn)證漏洞修復(fù)有效性(T/Infosec)如何及時(shí)準(zhǔn)確地識(shí)別云上資產(chǎn)的漏洞(Infosec/IT)點(diǎn)為漏洞排定修復(fù)優(yōu)先級(jí)(T/Infosec)常見問題和切入點(diǎn)普華永道基礎(chǔ)設(shè)施漏洞掃描解決方案在各個(gè)行業(yè)廣泛適用并幫助企業(yè)實(shí)現(xiàn)降本增效、敏捷創(chuàng)新、安全合規(guī)、推動(dòng)業(yè)務(wù)。—58—自動(dòng)發(fā)現(xiàn)漏洞并近乎實(shí)時(shí)地快速將其發(fā)送給適當(dāng)?shù)膱F(tuán)隊(duì)，以便他們立即采取行動(dòng)。通過掃描支持NISTC自動(dòng)發(fā)現(xiàn)漏洞并近乎實(shí)時(shí)地快速將其發(fā)送給適當(dāng)?shù)膱F(tuán)隊(duì)，以便他們立即采取行動(dòng)。通過掃描支持NISTCSF、PCIDSS和其他法規(guī)的合規(guī)性要求和最佳實(shí)踐。提升防御能力，有效抵御紛繁復(fù)雜的互聯(lián)網(wǎng)攻擊實(shí)現(xiàn)閉環(huán)管理依靠回歸測(cè)試檢查實(shí)現(xiàn)正向提升防御能力，有效抵御紛繁復(fù)雜的互聯(lián)網(wǎng)攻擊PDCA循環(huán)優(yōu)化資源配置，幫助客戶集中資源解決最緊迫安全問題滿足合規(guī)要求，優(yōu)化資源配置，幫助客戶集中資源解決最緊迫安全問題風(fēng)險(xiǎn)常用的用例使用最新的常見漏洞和暴露使用最新的常見漏洞和暴露(CVE)信息結(jié)合網(wǎng)絡(luò)可訪問性等因素來創(chuàng)建基于上下文的風(fēng)險(xiǎn)評(píng)分，幫助您優(yōu)先考慮和解決易受攻擊的資源。通過使用通過使用50多個(gè)漏洞情報(bào)源來幫助快速識(shí)別零日漏洞從而加快MTTR。普華永道作為專業(yè)的信息安全咨詢公司，曾為金融業(yè)、互聯(lián)網(wǎng)業(yè)、制造業(yè)、醫(yī)試等信息安全技術(shù)評(píng)估服務(wù)，已沉淀了成熟而完整的漏洞評(píng)估方法論。亞馬遜云科技—59—普華永道提供完整而科學(xué)的漏洞管理，基于網(wǎng)絡(luò)殺傷鏈(cyberkillchain)模型，使用自動(dòng)化工具和手工識(shí)別的方法,尋找目標(biāo)系統(tǒng)中存在的各類漏洞并加以利用，嘗試獲得初始訪問權(quán)限或提升已有權(quán)限。普華永道的專業(yè)顧問團(tuán)隊(duì)是一個(gè)由云計(jì)算、安全攻防及IT運(yùn)維專家構(gòu)成的綜合團(tuán)隊(duì)：安全攻防團(tuán)隊(duì)由頂級(jí)白帽安全專家組成安全攻防團(tuán)隊(duì)由頂級(jí)白帽安全專家組成精通網(wǎng)絡(luò)攻擊與防御技術(shù)，熟悉最新漏洞利用與評(píng)估技術(shù)，熟悉常見漏洞緩解與修復(fù)方法。到生產(chǎn)線工位。IT運(yùn)維專家團(tuán)隊(duì)由精通IT運(yùn)維技術(shù)專家組成，成員均有多年IT運(yùn)維與架構(gòu)設(shè)計(jì)經(jīng)驗(yàn)，熟悉各行業(yè)IT特點(diǎn)幫助團(tuán)隊(duì)設(shè)計(jì)可落地的修復(fù)與加固方案。由精通亞馬遜云科技的技術(shù)專家組成，熟悉亞馬遜云科技云架構(gòu)及云上設(shè)備管理，能夠針對(duì)客戶的亞馬遜云科技環(huán)境量身打造評(píng)估方案。掃描工具介紹普華永道將采用行業(yè)標(biāo)準(zhǔn)的漏洞掃描器執(zhí)行前述掃描工作，漏洞掃描器將根據(jù)客戶實(shí)際情況與需求靈活選擇商業(yè)產(chǎn)品或亞亞馬遜云科技相關(guān)服務(wù)和本方案相關(guān)的亞馬遜云科技主要服務(wù)如下：AmazonInspectorAmazonsystemsManagerAmazoncloudwatchAmazonsecurityHubAmazonEventBridge劉峰普華永道網(wǎng)絡(luò)安全與隱私保護(hù)服務(wù)資深經(jīng)理feng.fa.liu@亞馬遜云科技—60—普華永道隱私合規(guī)人才稀缺雖然近年來方興隱私合規(guī)人才稀缺雖然近年來方興艾的隱私保護(hù)立法催生出大量的合規(guī)需求，但企業(yè)內(nèi)部往往缺少具備充分經(jīng)驗(yàn)的合規(guī)人才來執(zhí)行隱私合規(guī)管理工作。隱私合規(guī)絕不僅僅是對(duì)相關(guān)法條的生硬解讀，而是要在理解業(yè)務(wù)邏輯、合規(guī)要求、技術(shù)標(biāo)準(zhǔn)等方面復(fù)合知識(shí)的基礎(chǔ)之上，精準(zhǔn)把控合規(guī)風(fēng)險(xiǎn)，正確做出合規(guī)判斷。因此，合規(guī)才不僅需要復(fù)合全面的知識(shí)背，也需要大量行業(yè)經(jīng)驗(yàn)作為支撐。而缺少經(jīng)驗(yàn)沉淀的企業(yè)，很難培養(yǎng)或在短時(shí)間內(nèi)找到合適的隱私合規(guī)全職員開展相關(guān)作。普華永道普華永道隱私保護(hù)合規(guī)解決方案◆中國(guó)互聯(lián)網(wǎng)的發(fā)展已經(jīng)來到了一個(gè)新階段，2022年2月25日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在京發(fā)布第49次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》(以下簡(jiǎn)稱:《報(bào)告》)?！秷?bào)告》顯示，截至2021年12月，我國(guó)網(wǎng)民規(guī)模達(dá)10.32億，較2020年12月增長(zhǎng)4296萬，互聯(lián)網(wǎng)普及率達(dá)73.0%，其中手機(jī)網(wǎng)民規(guī)模達(dá)10.29億，網(wǎng)民使用手機(jī)上網(wǎng)的比例高達(dá)99.7%。高活躍的用戶群體推動(dòng)互聯(lián)網(wǎng)和應(yīng)用程序使用量創(chuàng)歷史新高截至2022年3月末，第三方應(yīng)用商店在架應(yīng)用分發(fā)總量達(dá)到20696億次。以海量個(gè)人信息為支撐的新業(yè)態(tài)新模式不斷涌現(xiàn)，企業(yè)大量收集消費(fèi)者個(gè)人信息用于業(yè)務(wù)增長(zhǎng)。然而，個(gè)人信息泄露、違法使用個(gè)人信息等問題十分突出，個(gè)人信息保護(hù)工作刻不容緩。2021年11月1日，《個(gè)人信息保護(hù)法》的出臺(tái)完善了國(guó)內(nèi)個(gè)人信息保護(hù)的法治頂層設(shè)計(jì)，亦強(qiáng)化了個(gè)人信息安全的監(jiān)管環(huán)境。僅在2021年的APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理中，工信部累計(jì)開展了12批次技術(shù)抽檢，對(duì)208萬款A(yù)PP進(jìn)行技術(shù)檢測(cè),通報(bào)了1549款違規(guī)APP，下架了514款拒不整改的APP，且多次召集互聯(lián)網(wǎng)企業(yè)召開APP個(gè)人信息保護(hù)監(jiān)管會(huì)敲響了隱私合規(guī)必要性的警鐘。2022年7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法》，并規(guī)定該評(píng)估辦法自2022年9月1日起施行，完善了我國(guó)個(gè)人信息保護(hù)的監(jiān)管版圖，隱私保護(hù)與數(shù)據(jù)安全開始成為備受業(yè)界關(guān)切的話題，相關(guān)議題也成為了各企業(yè)合規(guī)工作的重中之重。作為專業(yè)服務(wù)機(jī)構(gòu),普華永道為企業(yè)客戶提供全方位的隱私保護(hù)合規(guī)解決方案結(jié)合亞馬遜云科技的先進(jìn)技術(shù)沉淀與普華永道的豐富行業(yè)經(jīng)驗(yàn)，從合規(guī)咨詢到技術(shù)落地，全方位幫助客戶識(shí)別隱私保護(hù)風(fēng)險(xiǎn)，應(yīng)對(duì)隱私合規(guī)挑戰(zhàn)?；趤嗰R遜云科技服務(wù)的普華永道隱私保護(hù)合規(guī)解決方案致力于幫助客戶解決以下合規(guī)難點(diǎn)法規(guī)標(biāo)準(zhǔn)碎法規(guī)標(biāo)準(zhǔn)碎化各國(guó)對(duì)于信息保護(hù)與數(shù)據(jù)安全的立法并非一即至，而是隨著經(jīng)濟(jì)技術(shù)的發(fā)展處于動(dòng)態(tài)更新的狀態(tài)。法律立法后，相關(guān)配套的標(biāo)準(zhǔn)、規(guī)范也將不斷出臺(tái)，如《個(gè)信息保護(hù)法》中，針對(duì)合規(guī)審計(jì)提出了法律要求，但體的實(shí)施標(biāo)準(zhǔn)卻缺乏明確的定。這樣的法律留白需待相關(guān)標(biāo)準(zhǔn)、規(guī)范文件來完成進(jìn)一步補(bǔ)充。因此，法律本身與相關(guān)配套標(biāo)準(zhǔn)、規(guī)范的結(jié)合，才構(gòu)成一整套完整的合規(guī)框架。而要理解并落實(shí)這樣"碎片化"的法律與標(biāo)準(zhǔn)規(guī)范，更進(jìn)一步提升了企業(yè)在隱私合規(guī)道路上的成本。—61—缺少專業(yè)工具當(dāng)下企業(yè)的隱私合規(guī)工作大多依賴于線下人工操作對(duì)于合規(guī)問題的判斷缺少系統(tǒng)化工具的輔助支持，缺少專業(yè)工具當(dāng)下企業(yè)的隱私合規(guī)工作大多依賴于線下人工操作對(duì)于合規(guī)問題的判斷缺少系統(tǒng)化工具的輔助支持，進(jìn)而影響隱私合規(guī)管理的效率與質(zhì)量。此外，企業(yè)內(nèi)部各部門之間缺少統(tǒng)一的隱私合規(guī)管理線上協(xié)作入口，導(dǎo)致隱私評(píng)估工作流分散，以及評(píng)估記錄的碎片化，難以形成有效的監(jiān)管應(yīng)對(duì)。隱私合規(guī)工作的落實(shí)絕不僅依賴于合規(guī)部門，而是要在合規(guī)部門的主導(dǎo)下，協(xié)調(diào)各業(yè)務(wù)部門共同協(xié)作。在此過程中，各利益相關(guān)方的廣泛參與無形中增加了合規(guī)工作的復(fù)雜性。在對(duì)內(nèi)進(jìn)行充分項(xiàng)目管理的同時(shí)，也需要保持與監(jiān)管部門的有效溝通，并對(duì)隱私合規(guī)工作的結(jié)果進(jìn)行及時(shí)上報(bào)。如果無法很好管理隱私合規(guī)流程不僅會(huì)干擾到企業(yè)業(yè)務(wù)的正常運(yùn)作，還可能招致監(jiān)管處罰。針對(duì)以上合規(guī)難點(diǎn)，普華永道從合規(guī)咨詢與技術(shù)落地兩方面出發(fā)，提出全方位的企業(yè)隱私保護(hù)合規(guī)解決方案?！冯[私合規(guī)咨詢服務(wù)在隱私合規(guī)咨詢服務(wù)中，普華永道將幫助企業(yè)識(shí)別現(xiàn)有的個(gè)人信息處理活動(dòng)及涉及的相關(guān)系統(tǒng)清楚了解個(gè)人信息收集、存儲(chǔ)、使用、銷毀、共享、跨境傳輸?shù)忍幚韴?chǎng)景，梳理個(gè)人信息全生命周期中的風(fēng)險(xiǎn)情況。在此基礎(chǔ)之上，普華永道將對(duì)標(biāo)適用的法規(guī)與標(biāo)準(zhǔn)、指南，開展差距評(píng)估，明確合規(guī)差距。對(duì)識(shí)別出的差距進(jìn)行評(píng)估，針對(duì)性地提出改進(jìn)建議，如修訂隱私政策、加強(qiáng)訪問控制、對(duì)個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理、建立數(shù)據(jù)資產(chǎn)清單等。最終，在公司治理層面，建立個(gè)人信息合規(guī)管理的長(zhǎng)效機(jī)制，通過協(xié)助確立個(gè)人信息保護(hù)崗位職責(zé)并落實(shí)個(gè)人信息管理體系(personalInformationManagementsystem,PIMS)等方式，強(qiáng)化公司隱私設(shè)計(jì)(privacybyDesign,pbD)能力讓隱私保護(hù)與公司日常運(yùn)營(yíng)的全階段相結(jié)合，積極主動(dòng)地構(gòu)建端到端的隱私安全生命周期保護(hù)機(jī)制，滿足法律法規(guī)與企業(yè)的隱私合規(guī)要求。>合規(guī)評(píng)估專業(yè)工具普華永道致力于將數(shù)字化工具應(yīng)用于項(xiàng)目實(shí)踐，以實(shí)現(xiàn)更有效率的隱私合規(guī)改進(jìn)。針對(duì)企業(yè)的隱私合規(guī)痛點(diǎn)與監(jiān)管趨勢(shì)，普華永道自主研發(fā)并推出-款數(shù)字化中國(guó)個(gè)人信息保護(hù)合規(guī)管理平臺(tái)privacyReady，幫助企業(yè)梳理個(gè)人信息處理活動(dòng)，及時(shí)識(shí)別業(yè)務(wù)合規(guī)問題,持續(xù)監(jiān)控風(fēng)險(xiǎn)處置進(jìn)程賦能企業(yè)個(gè)人信息合規(guī)管理。privacyReady兼具企業(yè)總體隱私管理和具體業(yè)務(wù)場(chǎng)景隱私合規(guī)評(píng)估能力，并重點(diǎn)突出數(shù)據(jù)跨境傳輸合規(guī)評(píng)估、移動(dòng)APP個(gè)人信息保護(hù)評(píng)估等監(jiān)管重點(diǎn)，能夠全方位展示風(fēng)險(xiǎn)態(tài)勢(shì)，并持續(xù)追蹤整改狀態(tài)。亞馬遜云科技—62—普華永道圖片來源：普華永道privacyReady截圖>自動(dòng)化評(píng)估流程基于個(gè)人信息保護(hù)法要求，設(shè)計(jì)直觀易懂的自查問卷快速排查具體業(yè)務(wù)場(chǎng)景的個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)。>自動(dòng)生成風(fēng)險(xiǎn)看板:內(nèi)置風(fēng)險(xiǎn)因子和規(guī)則引擎，一鍵自動(dòng)生成合規(guī)問題與風(fēng)險(xiǎn)矩陣，簡(jiǎn)潔易懂的風(fēng)險(xiǎn)看板助力企業(yè)管理合規(guī)風(fēng)險(xiǎn)。>可視化追蹤風(fēng)險(xiǎn)處置:可視化追蹤風(fēng)險(xiǎn)處置進(jìn)度及持續(xù)改進(jìn)計(jì)劃構(gòu)建發(fā)現(xiàn)、評(píng)估、整改、優(yōu)化的管理閉環(huán)。>全方位展示數(shù)據(jù)資產(chǎn):自動(dòng)根據(jù)評(píng)估場(chǎng)景生成資產(chǎn)清單，提供響應(yīng)監(jiān)管要求的個(gè)人信息收集清單、系統(tǒng)清單、與第三方共享個(gè)人信息清單。>-鍵生成評(píng)估報(bào)告:-鍵生成個(gè)人信息安全影響評(píng)估報(bào)告，完整記錄評(píng)估流程和結(jié)果?！穫€(gè)人信息出境管理自動(dòng)統(tǒng)計(jì)企業(yè)個(gè)人信息出境的場(chǎng)景、出境個(gè)人信息數(shù)量與出境目的地，協(xié)助企業(yè)管理數(shù)據(jù)出境風(fēng)險(xiǎn)。亞馬遜云科技—63—普華永道PwcprivacyReady系統(tǒng)架構(gòu)圖PwcPwcprivacyReady的系統(tǒng)環(huán)境分布和傳輸策略亞馬遜云科技—64—普華永道privacyReadyon亞馬遜云科技快速部署架構(gòu)privacyReadyon亞馬遜云科技快速部署模式,將privacyReady系統(tǒng)部署到云上主機(jī)環(huán)境在云上提供生產(chǎn)環(huán)境和開發(fā)測(cè)試環(huán)境這兩個(gè)環(huán)境。生產(chǎn)環(huán)境中，兩臺(tái)EC2云主機(jī)達(dá)成高可用，且通過部署一個(gè)主DocumentDB和一個(gè)副本進(jìn)行熱備份。privacyReadyon亞馬遜云科技無服務(wù)器技術(shù)部署架構(gòu)(中長(zhǎng)期規(guī)劃)為了更好地利用亞馬遜云科技云的技術(shù)優(yōu)勢(shì)和新型的服務(wù)與架構(gòu)在privacyReady的中長(zhǎng)期規(guī)劃中，考慮使用無服務(wù)器技術(shù)的部署架構(gòu)?？蛻粼L問的靜態(tài)頁(yè)面可以通過s3的靜態(tài)頁(yè)面的功能實(shí)現(xiàn)