文|龚磊
伴随数据平安“五法一典”出齐,2021年成为我国数据平安元年。各地、各行业不断加快数据平安政策体系的完善与落地执行。政企机构不断强化数据平安建设,共同助力网络平安行业高景气度维系。
2021年6月,网络平安等保测评报告模板新版发布,将数据作为独立测评对象,单独列出数据平安测评结果。
2021年7月,为“防范国家数据平安危害”,国家网信办对若干互联网公司实施网络平安审查。
2022年2月,工信部决定在辽宁等15个省(区、市)及计划单列市开展工业领域数据平安治理试点工作,试点内容包括数据平安治理/防备/评价/监测以及数据平安产品运用推广、数据出境平安治理。
2022年6月,国家市场监管总局、国家网信办决定开展数据平安治理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据平安保护。
2021年以来,数据平安的监管动作密集,体现出决策层、监管部门的推进决心。
伴随着监管政策要求的明确,网信办、工信部、各地通管局陆续展开了一系列针对数据平安的专项行动:
2023年2月28日,上海市通信治理局正式开展“浦江护航——2023年电信和互联网行业数据平安专项行动”。
2023年2月,广东省通信治理局决定正式开展“广东省电信互联网行业数据平安行政检查”。
2023年4月,江苏省通信治理局发布关于开展2023年“数安护航”电信和互联网行业数据平安专项行动的通知。
由此可见,各地均通过相关核查监管专项行动,来快速落地互联网行业数据平安建设要求,以提升电信和互联网行业数据平安治理水平,加快推动数据平安治理工作制度化、规范化,为数字经济发展提供有力保障和重要支撑。
行业需求:3大数据平安建设评价要点提出新要求
参照工信部发布的《电信和互联网企业数据平安合规性评价要点》,企业数据平安建设评价主要包括三大方面,包括基础性评价、数据生命周期评价以及技术威力评价。其中针对“平安审计”、“数据利用平安”均提出了非常明确的合规建设要求。
一、基础性评价要点
重点围绕机构人员、制度保障、分类分级、合规评价、权力治理、平安审计、合作方治理、应急响应、投诉处理、教育培训等十个方面开展评价。
【平安审计】
(1)对数据授权拜访、批量复制、开放共享、销毁、数据接口调用等重点环节实施日记留存治理,日记记录至少包括执行时间、操纵账号、处理方式、授权情况、IP地址、登录信息等,能够对辨别和追溯数据操纵和拜访行动提供支撑。定期对日记从事备份,防止数据平安事件导致的日记被删除。
(2)加强企业数据平安审计治理,明确审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求。企业数据平安治理责任部门或核心数据处理活动相关平台体系负责部门应配备日记平安审计员,加强日记拜访和平安审计治理,至少每半年形成一份数据平安审计报告。
二、数据生命周期评价要点
重点围绕数据收罗、传输、存储、利用、开放共享、销毁等六个环节开展评价。
【数据利用】
(1)区分不同目的下数据利用审批流程、数据脱敏处理规则,鼓励在保障平安的情况下,开展数据利用。
(2)除为达到用户授权同意的利用目的外,利用个人信息时消除明确身份指向性,避免精确定位到特定个人。因业务需要,确需改变个人信息利用目的或改变个人信息利用规则时,应再次征得用户明示同意。
三、技术威力评价要点
重点围绕数据辨别、平安审计、防泄露、接口平安治理、个人信息保护等五个方面开展评价。
【操纵审计】
规划建设具有自动化操纵审计威力的平台体系,具备数据操纵权力配置、异常操纵告警与处置等核心功能,分批次将数据处理活动平台体系接入平安体系,数据操纵审计内容和企业平台体系权力分配表作为体系策略从事配置。
解决方案:与时俱进,新要求新方案
参照监管相关要求,建设“具有自动化操纵审计威力的平台体系”已然成为行业趋势,在此大背景下,极盾科技面向电信及互联网企业推出基于极盾·觅踪打造的数据平安审计监控平台方案,一站式解决数据平安合规审计、利用过程平安监测、动向脱敏防备等问题,为电信及互联网企业数字化建设保驾护航。
(1)方案整体思路
通过以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和人工智能模型的用户及实体行动阐发(UEBA)为抓手的整体思路,构建运用体系数据利用全流程的平安监控体系。
“以人为核心”:在体系数据利用拜访过程中,人员为行动主体,通过收集人员的“动向”行动信息、环境信息以及相对“静态”的人员权力、组织架构、岗位部门等信息,构建人员主体画像,辨别人员危害。
“围绕业务场景”:通过内部人员在账号、权力、拜访行动、数据操纵等不同客体对象纬度行动特征的挖掘,辨别异常的数据利用拜访危害,兑现精准定位判断。
“以数据分类分级为基础”:在数据拜访利用过程中基于敏感辨别和分类分级规则,辨别当前拜访数据的重要程度和敏感程度,从而从事针对性防备。
“用户及实体行动阐发(UEBA)为抓手”:基于零信任框架和人工智能模型的行动阐发技术,高效辨别数据利用的行动危害,并从事实时响应告警,在必要是联动相关业务体系对危害行动从事有效阻断和拦截。
(2)方案整体框架
数据利用平安管控体系纵深按照四维一体的防御方式从事分层构建,即:数据收集、资产梳理、平安阐发、平安运营四个层面的威力建设,覆盖重要体系数据利用过程兑现全面防备:
数据收罗层:负责用户行动数据的收罗和增强数据的加载。收罗用户行动数据,并对接人员组织架构、账号权力、在职状态等数据。
资产梳理层:数据预处理层主要负责对数据收罗层中收罗进来的用户行动数据进一步处理,辨别出其中包含的各类敏感数据、API接口、用户账号等信息,并对敏感数据从事分类分级打标以及关联各类增强数据。通过该层处理后的用户行动数据将包含非常丰富的字段和上下文信息。
平安阐发和防备层:平安阐发和防备层主要负责对数据预处理层处理后的用户行动数据从事实时阐发,并根据体系配置对接入的运用从事实时的平安防备。平安防备引擎根据预先的配置和实时决策阐发引擎阐发发现的危害,通过网关和JS软探针,对运用从事实时防备,降权或者阻断某些用户的危害行动。
平安运营层:平安运营层主要负责体系自身的维护、平安模型配置、平安事件溯源和危害处置、 平安运营周报制作等。
实践案例:一站式构建5大平安合规威力
1、整体框架
案例中,该头部互联网公司通过引入“极盾·觅踪”,兑现了数据利用行动监控及审计,并且对动向利用中的敏感数据兑现了统一辨别以及精细化动向脱敏。
2、合规威力
通过极盾·觅踪从事数据利用平安管控平台建设,兑现了包括“数据利用行动监控”、“全面的日记留存”、“平安审计”、“数据平安应急响应”、“数据分类分级”等一些列合规要求的重点威力,构建起围绕内部运用体系的统一数据平安审计防备体系。
3、动向脱敏
极盾·觅踪的脱敏威力,不仅仅是一个动向脱敏工具,同时帮助企业构建一套动向、灵活的脱敏运营体系。提供脱敏前的决策阐发、脱敏实施时的灵活配置脱敏威力和脱敏后的持续运营阐发调优,形成一套完整的脱敏运营体系。
支持JSON、XML、HTML、JSONP多种常见的数据格式,也支持Word、Excel、PPT、CSV、PDF、ZIP、RAP等多种常见的文件类型。
脱敏策略制定:支持结合业务场景从事精细化脱敏管控,结合拜访主体属性、拜访数据对象、拜访环境属性灵活设置脱敏规则。脱敏后仍会持续运营阐发,结合数据利用情况、权力利用情况等从事持续阐发调优。
方案核心价值:细颗粒度数据平安管控
1、统一、全面的运用体系审计日记收罗
行内各类运用体系曾差不齐,日记收罗存在不完善,不合规,标准不统一等问题。难以审计操纵对象及拜访内容,尤其是一些敏感数据的拜访利用情况,逐个业务体系审计日记收罗改造成本巨大,且涉及到大量外部供应商,落地难度高。
极盾·觅踪可以收罗细颗粒度运用日记,不需要业务体系从事二次开发改造即可兑现统一、完整、合规的审计日记收罗。
2、全面的数据利用行动监控
当前行内运用体系不具备数据利用行动的平安阐发威力,无法应对诸如账号盗用、共享,非常用环境操纵、特权账号、越权操纵、数据篡改、数据泄漏等危害。
通过引入极盾·觅踪,可以兑现对各个接入体系的全面动向危害监控,结合数据类型、平安等级、人员角色、操纵类型、所处环境等因素,兑现更加精细的权力管控,灵活适应多种复杂场景下的数据利用危害。
3、统一实时的平安管控机制
当前行内大部分运用体系不具备平安管控威力,也未兑现统一的脱敏,无法有效保护暴露的敏感数据。
通过引入极盾·觅踪,兑现统一的脱敏、水印以及针对不同平安危害的告警和响应,最大程度降低损失,管控危害。
4、动向权力梳理
行内当前体系众多,人员复杂,权力治理难度越来越高,权力梳理需要跟多个业务部门深度访谈,不同体系中各类账号及权力哪些要用哪些不用,哪些可以收回,哪些不能收回等权力情况梳理非常困难。
极盾·觅踪可以从业务实际利用视角从事权力梳理,比如通过统计阐发账号利用低频页面排行,哪些页面最近半年都没有利用过,统计部门利用低频页面排行,对于非常低频的页面可以从事权力回收,从而兑现权力最小化。
5、敏感数据流动/动向梳理
当前行内的数据资产梳理、数据分类分级等工作,更偏向于一个静态梳理的过程,可以了解银行静态数据资产中敏感数据的分类、类型、量级等。
极盾·觅踪能够近一步对敏感数据的动向流动从事梳理,在分类分级的基础上,辨别哪些敏感数据在被高频利用,哪些敏感数据利用范围最广泛,暴露范围最宽,低频拜访的敏感数据有哪些,是否可以收缩等,从而兑现动向的敏感数据梳理。