电信及互联网行业数据安全内控审计建设实践 | 盾见
文|龚磊
伴随数据安全“五法一典”出齐,2021年成为我国数据安全元年。各地、各行业不断加快数据安全政策体系的完善与落地执行。政企机构不断强化数据安全建设,共同助力网络安全行业高景气度维系。
2021年6月,网络安全等保测评报告模板新版发布,将数据作为独立测评对象,单独列出数据安全测评结果。
2021年7月,为“防范国家数据安全风险”,国家网信办对若干互联网公司实施网络安全审查。
2022年2月,工信部决定在辽宁等15个省(区、市)及计划单列市开展工业领域数据安全管理试点工作,试点内容包括数据安全管理/防护/评估/监测以及数据安全产品应用推广、数据出境安全管理。
2022年6月,国家市场监管总局、国家网信办决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。
2021年以来,数据安全的监管动作密集,体现出决策层、监管部门的推进决心。
伴随着监管政策要求的明确,网信办、工信部、各地通管局陆续展开了一系列针对数据安全的专项行动:
2023年2月28日,上海市通信管理局正式开展“浦江护航——2023年电信和互联网行业数据安全专项行动”。
2023年2月,广东省通信管理局决定正式开展“广东省电信互联网行业数据安全行政检查”。
2023年4月,江苏省通信管理局发布关于开展2023年“数安护航”电信和互联网行业数据安全专项行动的通知。
由此可见,各地均通过相关核查监管专项行动,来快速落地互联网行业数据安全建设要求,以提升电信和互联网行业数据安全管理水平,加快推动数据安全管理工作制度化、规范化,为数字经济发展提供有力保障和重要支撑。
行业需求:3大数据安全建设评估要点提出新要求
参照工信部发布的《电信和互联网企业数据安全合规性评估要点》,企业数据安全建设评估主要包括三大方面,包括基础性评估、数据生命周期评估以及技术能力评估。其中针对“安全审计”、“数据使用安全”均提出了非常明确的合规建设要求。
一、基础性评估要点
重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等十个方面开展评估。
【安全审计】
(1)对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理,日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP地址、登录信息等,能够对识别和追溯数据操作和访问行为提供支撑。定期对日志进行备份,防止数据安全事件导致的日志被删除。
(2)加强企业数据安全审计管理,明确审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求。企业数据安全管理责任部门或核心数据处理活动相关平台系统负责部门应配备日志安全审计员,加强日志访问和安全审计管理,至少每半年形成一份数据安全审计报告。
二、数据生命周期评估要点
重点围绕数据采集、传输、存储、使用、开放共享、销毁等六个环节开展评估。
【数据使用】
(1)区分不同目的下数据使用审批流程、数据脱敏处理规则,鼓励在保障安全的情况下,开展数据利用。
(2)除为达到用户授权同意的使用目的外,使用个人信息时消除明确身份指向性,避免精确定位到特定个人。因业务需要,确需改变个人信息使用目的或改变个人信息使用规则时,应再次征得用户明示同意。
三、技术能力评估要点
重点围绕数据识别、安全审计、防泄露、接口安全管理、个人信息保护等五个方面开展评估。
【操作审计】
规划建设具有自动化操作审计能力的平台系统,具备数据操作权限配置、异常操作告警与处置等核心功能,分批次将数据处理活动平台系统接入安全系统,数据操作审计内容和企业平台系统权限分配表作为系统策略进行配置。
解决方案:与时俱进,新要求新方案
参照监管相关要求,建设“具有自动化操作审计能力的平台系统”已然成为行业趋势,在此大背景下,极盾科技面向电信及互联网企业推出基于极盾·觅踪打造的数据安全审计监控平台方案,一站式解决数据安全合规审计、使用过程安全监测、动态脱敏防护等问题,为电信及互联网企业数字化建设保驾护航。
(1)方案整体思路
通过以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和人工智能模型的用户及实体行为分析(UEBA)为抓手的整体思路,构建应用系统数据使用全流程的安全监控体系。
“以人为核心”:在系统数据使用访问过程中,人员为行为主体,通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,识别人员风险。
“围绕业务场景”:通过内部人员在账号、权限、访问行为、数据操作等不同客体对象纬度行为特征的挖掘,识别异常的数据使用访问风险,实现精准定位判断。
“以数据分类分级为基础”:在数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,从而进行针对性防护。
“用户及实体行为分析(UEBA)为抓手”:基于零信任框架和人工智能模型的行为分析技术,高效识别数据使用的行为风险,并进行实时响应告警,在必要是联动相关业务系统对风险行为进行有效阻断和拦截。
(2)方案整体框架
数据使用安全管控系统纵深按照四维一体的防御方式进行分层构建,即:数据收集、资产梳理、安全分析、安全运营四个层面的能力建设,覆盖重要系统数据使用过程实现全面防护:
数据采集层:负责用户行为数据的采集和增强数据的加载。采集用户行为数据,并对接人员组织架构、账号权限、在职状态等数据。
资产梳理层:数据预处理层主要负责对数据采集层中采集进来的用户行为数据进一步处理,识别出其中包含的各类敏感数据、API接口、用户账号等信息,并对敏感数据进行分类分级打标以及关联各类增强数据。通过该层处理后的用户行为数据将包含非常丰富的字段和上下文信息。
安全分析和防护层:安全分析和防护层主要负责对数据预处理层处理后的用户行为数据进行实时分析,并根据系统配置对接入的应用进行实时的安全防护。安全防护引擎根据预先的配置和实时决策分析引擎分析发现的风险,通过网关和JS软探针,对应用进行实时防护,降权或者阻断某些用户的风险行为。
安全运营层:安全运营层主要负责系统自身的维护、安全模型配置、安全事件溯源和风险处置、 安全运营周报制作等。
实践案例:一站式构建5大安全合规能力
1、整体框架
案例中,该头部互联网公司通过引入“极盾·觅踪”,实现了数据使用行为监控及审计,并且对动态使用中的敏感数据实现了统一识别以及精细化动态脱敏。
2、合规能力
通过极盾·觅踪进行数据使用安全管控平台建设,实现了包括“数据使用行为监控”、“全面的日志留存”、“安全审计”、“数据安全应急响应”、“数据分类分级”等一些列合规要求的重点能力,构建起围绕内部应用系统的统一数据安全审计防护体系。
3、动态脱敏
极盾·觅踪的脱敏能力,不仅仅是一个动态脱敏工具,同时帮助企业构建一套动态、灵活的脱敏运营体系。提供脱敏前的决策分析、脱敏实施时的灵活配置脱敏能力和脱敏后的持续运营分析调优,形成一套完整的脱敏运营体系。
支持JSON、XML、HTML、JSONP多种常见的数据格式,也支持Word、Excel、PPT、CSV、PDF、ZIP、RAP等多种常见的文件类型。
脱敏策略制定:支持结合业务场景进行精细化脱敏管控,结合访问主体属性、访问数据对象、访问环境属性灵活设置脱敏规则。脱敏后仍会持续运营分析,结合数据使用情况、权限使用情况等进行持续分析调优。
方案核心价值:细颗粒度数据安全管控
1、统一、全面的应用系统审计日志采集
行内各类应用系统曾差不齐,日志采集存在不完善,不合规,标准不统一等问题。难以审计操作对象及访问内容,尤其是一些敏感数据的访问使用情况,逐个业务系统审计日志采集改造成本巨大,且涉及到大量外部供应商,落地难度高。
极盾·觅踪可以采集细颗粒度应用日志,不需要业务系统进行二次开发改造即可实现统一、完整、合规的审计日志采集。
2、全面的数据使用行为监控
当前行内应用系统不具备数据使用行为的安全分析能力,无法应对诸如账号盗用、共享,非常用环境操作、特权账号、越权操作、数据篡改、数据泄漏等风险。
通过引入极盾·觅踪,可以实现对各个接入系统的全面动态风险监控,结合数据类型、安全等级、人员角色、操作类型、所处环境等因素,实现更加精细的权限管控,灵活适应多种复杂场景下的数据使用风险。
3、统一实时的安全管控机制
当前行内大部分应用系统不具备安全管控能力,也未实现统一的脱敏,无法有效保护暴露的敏感数据。
通过引入极盾·觅踪,实现统一的脱敏、水印以及针对不同安全风险的告警和响应,最大程度降低损失,管控风险。
4、动态权限梳理
行内当前系统众多,人员复杂,权限管理难度越来越高,权限梳理需要跟多个业务部门深度访谈,不同系统中各类账号及权限哪些要用哪些不用,哪些可以收回,哪些不能收回等权限情况梳理非常困难。
极盾·觅踪可以从业务实际使用视角进行权限梳理,比如通过统计分析账号使用低频页面排行,哪些页面最近半年都没有使用过,统计部门使用低频页面排行,对于非常低频的页面可以进行权限回收,从而实现权限最小化。
5、敏感数据流动/动态梳理
当前行内的数据资产梳理、数据分类分级等工作,更偏向于一个静态梳理的过程,可以了解银行静态数据资产中敏感数据的分类、类型、量级等。
极盾·觅踪能够近一步对敏感数据的动态流动进行梳理,在分类分级的基础上,识别哪些敏感数据在被高频使用,哪些敏感数据使用范围最广泛,暴露范围最宽,低频访问的敏感数据有哪些,是否可以收缩等,从而实现动态的敏感数据梳理。
电信及互联网行业数据安全内控审计建设实践 | 盾见相关推荐
- 电信互联网卡套餐一览表2020_行业自律丨易搜集团受邀参加2020中国互联网法治大会,签署电信和互联网行业网络数据安全自律公约...
点击蓝字 关注我们 2020年11月19日-20日,由中国互联网协会主办的"2020(第六届)中国互联网法治大会"在北京举行.大会以"数字化转型与依法治网"为主 ...
- 世平信息签署2020中国互联网大会《电信和互联网行业网络数据安全自律公约》
7月23日,由中国互联网协会主办的2020年(第19届)中国互联网大会以网络大会形式在"云端"开幕,本届大会结合新基建.5G.人工智能.工业互联网.区块链等热门话题,以" ...
- 每日新闻:2018电信和互联网行业网络安全检查工作开始;清华研发“电子皮肤” 可测人体信号...
点击关注中国软件网 最新鲜的企业级干货聚集地 趋势洞察 2018中国软件生态大会 杭州站就要与您见面啦! 点击文末[阅读原文]了解更多喔 趋势洞察 科大讯飞刘庆峰:机器人要会理解.预测.决策及交互 科 ...
- 大家都在聊内卷,究竟内卷是什么意思,互联网行业真的内卷了么?
闲来无事,日常吹水. 这几年内卷这个词变得很流行,我经常在知乎里的各种互联网行业相关的问题当中看到.总是被拿来解释竞争激烈的就业行情以及指责大环境的糟糕.那么内卷究竟是什么意思,现在的互联网行业真的内 ...
- 车路协同云控平台建设实践
前言 随着汽车工业水平飞速发展,以及 IoT.5G.V2X 等信息通信技术的发展演进,通过汽车的智能化.网联化升级为大众带来更智能.更便捷的驾乘体验,成为汽车行业的发展趋势,自动驾驶.智能网联汽车成为 ...
- 【CTF WriteUp】2020电信和互联网行业赛个人赛部分Crypto题解
Crypto (话说题目做一半就当答案是什么鬼) Crypto-bacon 题目 flag{AAAABAAAAAAAABAABBBAABBABABAAABAABAAAABBAABAAABABBABAA ...
- 内控体系建设五步骤_进一步完善环境保护标准体系建设 ——《国家环境保护标准“十三五”发展规划》解读...
◆中国环境报记者郭薇 为进一步完善环境保护标准体系,充分发挥标准对改善环境质量.防范环境风险的积极作用,在充分总结"十二五"环境保护标准工作基础上,环境保护部近日印发了<国家 ...
- 拒绝“内鬼式”数据泄露,安全内控如何构建?
近年来,数据泄露的案例屡见不鲜,产生的危害举不胜举.根据Identify Theft Research Center的数据显示,与2021年同期相比,2022年第一季度实际报告的数据泄露事件数量增加了 ...
- 互联网行业分论坛 | 做好数据安全“守门员”
9月7日下午,由中国信通院云与大数据研究所主办,北京天空卫士网络安全技术有限公司.上海安言信息技术有限公司.深圳永安在线科技有限公司承办的"2022数据安全技术大会互联网行业分论坛" ...
最新文章
- 获取macos mojave_高仿MacOS教程
- UNIX网络编程笔记(7):回射程序的UDP版本
- Spring包名代码提示
- Array为什么这样会有错?
- oracle把一列更新为空,ORA-01439:要更改数据类型,则要修改的列必须为空
- 继续教育计算机组成原理a试卷,计算机组成原理试卷.docx
- bochs运行xp_bochs xp镜像下载-bochs xp镜像下载 v2.5.1精简版-下载啦
- mysql 执行 毫秒_记录sql执行时间毫秒级
- c语言中lookup函数功能,Lookup函数以及0/的用法
- 亲密爱人:《亲密关系》读书笔记
- 2个最好的中文图标搜索引擎
- 手机蓝牙耳机什么牌子的好?618性价比超高的蓝牙耳机推荐
- Programming Ruby 读书笔记(四)
- print函数的高级用法(输出到文件,自定义间隔符,强制刷新)
- 微服务分布式架构中,如何实现日志链路跟踪?
- [转帖]计较,是贫穷的开始 鸡汤...
- html引入本地css样式无效,vue在index.html里面引入css文件样式加载失败
- LeetCode第 546 题:移除盒子(C++) (弃)
- Excel 中自定义函数的限制
- Autolisp 框选图形,统计各类图形的数量,输出到文件。