文|龚磊
伴随数据安全“五法一典”出齐,2021年成为我国数据安全元年。各地、各行业不断加快数据安全政策体系的完善与落地执行。政企机构不断强化数据安全建设,共同助力网络安全行业高景气度维系。
2021年6月,网络安全等保测评报告模板新版发布,将数据作为独立测评对象,单独列出数据安全测评结果。
2021年7月,为“防范国家数据安全风险”,国家网信办对若干互联网公司实施网络安全审查。
2022年2月,工信部决定在辽宁等15个省(区、市)及计划单列市开展工业领域数据安全管理试点工作,试点内容包括数据安全管理/防护/评估/监测以及数据安全产品应用推广、数据出境安全管理。
2022年6月,国家市场监管总局、国家网信办决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。
2021年以来,数据安全的监管动作密集,体现出决策层、监管部门的推进决心。
伴随着监管政策要求的明确,网信办、工信部、各地通管局陆续展开了一系列针对数据安全的专项行动:
2023年2月28日,上海市通信管理局正式开展“浦江护航——2023年电信和互联网行业数据安全专项行动”。
2023年2月,广东省通信管理局决定正式开展“广东省电信互联网行业数据安全行政检查”。
2023年4月,江苏省通信管理局发布关于开展2023年“数安护航”电信和互联网行业数据安全专项行动的通知。
由此可见,各地均通过相关核查监管专项行动,来快速落地互联网行业数据安全建设要求,以提升电信和互联网行业数据安全管理水平,加快推动数据安全管理工作制度化、规范化,为数字经济发展提供有力保障和重要支撑。
行业需求:3大数据安全建设评估要点提出新要求
参照工信部发布的《电信和互联网企业数据安全合规性评估要点》,企业数据安全建设评估主要包括三大方面,包括基础性评估、数据生命周期评估以及技术能力评估。其中针对“安全审计”、“数据使用安全”均提出了非常明确的合规建设要求。
一、基础性评估要点
重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等十个方面开展评估。
【安全审计】
(1)对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理,日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP地址、登录信息等,能够对识别和追溯数据操作和访问行为提供支撑。定期对日志进行备份,防止数据安全事件导致的日志被删除。
(2)加强企业数据安全审计管理,明确审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求。企业数据安全管理责任部门或核心数据处理活动相关平台系统负责部门应配备日志安全审计员,加强日志访问和安全审计管理,至少每半年形成一份数据安全审计报告。
二、数据生命周期评估要点
重点围绕数据采集、传输、存储、使用、开放共享、销毁等六个环节开展评估。
【数据使用】
(1)区分不同目的下数据使用审批流程、数据脱敏处理规则,鼓励在保障安全的情况下,开展数据利用。
(2)除为达到用户授权同意的使用目的外,使用个人信息时消除明确身份指向性,避免精确定位到特定个人。因业务需要,确需改变个人信息使用目的或改变个人信息使用规则时,应再次征得用户明示同意。
三、技术能力评估要点
重点围绕数据识别、安全审计、防泄露、接口安全管理、个人信息保护等五个方面开展评估。
【操作审计】
规划建设具有自动化操作审计能力的平台系统,具备数据操作权限配置、异常操作告警与处置等核心功能,分批次将数据处理活动平台系统接入安全系统,数据操作审计内容和企业平台系统权限分配表作为系统策略进行配置。
解决方案:与时俱进,新要求新方案
参照监管相关要求,建设“具有自动化操作审计能力的平台系统”已然成为行业趋势,在此大背景下,极盾科技面向电信及互联网企业推出基于极盾·觅踪打造的数据安全审计监控平台方案,一站式解决数据安全合规审计、使用过程安全监测、动态脱敏防护等问题,为电信及互联网企业数字化建设保驾护航。
(1)方案整体思路
通过以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和人工智能模型的用户及实体行为分析(UEBA)为抓手的整体思路,构建应用系统数据使用全流程的安全监控体系。
“以人为核心”:在系统数据使用访问过程中,人员为行为主体,通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,识别人员风险。
“围绕业务场景”:通过内部人员在账号、权限、访问行为、数据操作等不同客体对象纬度行为特征的挖掘,识别异常的数据使用访问风险,实现精准定位判断。
“以数据分类分级为基础”:在数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,从而进行针对性防护。
“用户及实体行为分析(UEBA)为抓手”:基于零信任框架和人工智能模型的行为分析技术,高效识别数据使用的行为风险,并进行实时响应告警,在必要是联动相关业务系统对风险行为进行有效阻断和拦截。
(2)方案整体框架
数据使用安全管控系统纵深按照四维一体的防御方式进行分层构建,即:数据收集、资产梳理、安全分析、安全运营四个层面的能力建设,覆盖重要系统数据使用过程实现全面防护:
数据采集层:负责用户行为数据的采集和增强数据的加载。采集用户行为数据,并对接人员组织架构、账号权限、在职状态等数据。
资产梳理层:数据预处理层主要负责对数据采集层中采集进来的用户行为数据进一步处理,识别出其中包含的各类敏感数据、API接口、用户账号等信息,并对敏感数据进行分类分级打标以及关联各类增强数据。通过该层处理后的用户行为数据将包含非常丰富的字段和上下文信息。
安全分析和防护层:安全分析和防护层主要负责对数据预处理层处理后的用户行为数据进行实时分析,并根据系统配置对接入的应用进行实时的安全防护。安全防护引擎根据预先的配置和实时决策分析引擎分析发现的风险,通过网关和JS软探针,对应用进行实时防护,降权或者阻断某些用户的风险行为。
安全运营层:安全运营层主要负责系统自身的维护、安全模型配置、安全事件溯源和风险处置、 安全运营周报制作等。
实践案例:一站式构建5大安全合规能力
1、整体框架
案例中,该头部互联网公司通过引入“极盾·觅踪”,实现了数据使用行为监控及审计,并且对动态使用中的敏感数据实现了统一识别以及精细化动态脱敏。
2、合规能力
通过极盾·觅踪进行数据使用安全管控平台建设,实现了包括“数据使用行为监控”、“全面的日志留存”、“安全审计”、“数据安全应急响应”、“数据分类分级”等一些列合规要求的重点能力,构建起围绕内部应用系统的统一数据安全审计防护体系。
3、动态脱敏
极盾·觅踪的脱敏能力,不仅仅是一个动态脱敏工具,同时帮助企业构建一套动态、灵活的脱敏运营体系。提供脱敏前的决策分析、脱敏实施时的灵活配置脱敏能力和脱敏后的持续运营分析调优,形成一套完整的脱敏运营体系。
支持JSON、XML、HTML、JSONP多种常见的数据格式,也支持Word、Excel、PPT、CSV、PDF、ZIP、RAP等多种常见的文件类型。
脱敏策略制定:支持结合业务场景进行精细化脱敏管控,结合访问主体属性、访问数据对象、访问环境属性灵活设置脱敏规则。脱敏后仍会持续运营分析,结合数据使用情况、权限使用情况等进行持续分析调优。
方案核心价值:细颗粒度数据安全管控
1、统一、全面的应用系统审计日志采集
行内各类应用系统曾差不齐,日志采集存在不完善,不合规,标准不统一等问题。难以审计操作对象及访问内容,尤其是一些敏感数据的访问使用情况,逐个业务系统审计日志采集改造成本巨大,且涉及到大量外部供应商,落地难度高。
极盾·觅踪可以采集细颗粒度应用日志,不需要业务系统进行二次开发改造即可实现统一、完整、合规的审计日志采集。
2、全面的数据使用行为监控
当前行内应用系统不具备数据使用行为的安全分析能力,无法应对诸如账号盗用、共享,非常用环境操作、特权账号、越权操作、数据篡改、数据泄漏等风险。
通过引入极盾·觅踪,可以实现对各个接入系统的全面动态风险监控,结合数据类型、安全等级、人员角色、操作类型、所处环境等因素,实现更加精细的权限管控,灵活适应多种复杂场景下的数据使用风险。
3、统一实时的安全管控机制
当前行内大部分应用系统不具备安全管控能力,也未实现统一的脱敏,无法有效保护暴露的敏感数据。
通过引入极盾·觅踪,实现统一的脱敏、水印以及针对不同安全风险的告警和响应,最大程度降低损失,管控风险。
4、动态权限梳理
行内当前系统众多,人员复杂,权限管理难度越来越高,权限梳理需要跟多个业务部门深度访谈,不同系统中各类账号及权限哪些要用哪些不用,哪些可以收回,哪些不能收回等权限情况梳理非常困难。
极盾·觅踪可以从业务实际使用视角进行权限梳理,比如通过统计分析账号使用低频页面排行,哪些页面最近半年都没有使用过,统计部门使用低频页面排行,对于非常低频的页面可以进行权限回收,从而实现权限最小化。
5、敏感数据流动/动态梳理
当前行内的数据资产梳理、数据分类分级等工作,更偏向于一个静态梳理的过程,可以了解银行静态数据资产中敏感数据的分类、类型、量级等。
极盾·觅踪能够近一步对敏感数据的动态流动进行梳理,在分类分级的基础上,识别哪些敏感数据在被高频使用,哪些敏感数据使用范围最广泛,暴露范围最宽,低频访问的敏感数据有哪些,是否可以收缩等,从而实现动态的敏感数据梳理。