某電信公司(以下簡稱:J公司)的通信網絡與支撐系統均屬于國家關鍵信息基礎設施��,因而無論從國家安全還是企業自身業務需求考慮�,持續提升對重要數據和敏感數據的安全保障能力與管理能力成為現階段的重中之重��。
J公司亟需一套集成多種安全監測能力的策略�,能夠自動準確識別敏感數據資產����,并進行數據分類分級�����,按照有針對性的安全外發使用策略�,結合數據流轉的各個環節����,監測可能產生的數據安全風險�,形成實時監測�����、精準定位����、高效管理能力的綜合監測溯源管理平臺����。從而在保障數據使用自由而安全的同時���,滿足國家及行業相關法律法規的要求����。
依據《網絡安全法》��、《數據安全法》�����、《電信條例》�、《電信和互聯網用戶個人信息保護規定》等相關法律法規及標準規范�����,在維護國家安全和利益�����,確保廣大電信客戶通信自由和通信安全的前提下�����,加強信息數據資料機密性�����、完整性�����、可用性��,保護客戶個人隱私���,提升企業通信服務水平�����,積極防范企業法律風險���。
J公司經過多年的安全建設�,已具備絕大部分安全能力����,尤其是是傳統網絡安全能力��。但隨著其大數據平臺逐漸部署完成���,大數據平臺的數據安全防護成為了J公司目前急需解決的難題��。
參照《電信和互聯網企業數據安全合規性評估要點》的有關要求�����,為保障數據安全�����,需要建設建成以下能力:
1)通用性安全能力:分類分級���、資產梳理�、權限管理�、安全審計��;
2)數據生命周期安全能力:數據采集���、數據傳輸�����、數據存儲���、數據使用���、數據開放共享��、數據銷毀����;
3)技術性安全能力:數據識別�����、數據防泄漏��、接口管控���、個人信息保護����、數據共享溯源�;
按照《2021年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》的重點工作要求�����,為加強數據安全能力建設���,需要進行:
1)實施數據分類分級管理��,對數據處理活動相關平臺系統進行全面清查���,輸出數據分類分級清單����;識別重要數據�����,形成重要數據清單��;
2)強化企業數據安全重點技術能力的建設和使用�����,需具備數據資產識別脫敏���、接口安全管理��、訪問和操作行為安全審計等技術能力�����;
3)規范數據對外合作使用與共享安全管理����,在相關行為開展前進行合規審查���,持續加強安全風險監測����,并對異常行為進行預警�����。
此外�����,需嚴格落實《基礎電信企業數據分類分級方法(YD/T3813-2020)》���、《基礎電信企業重要數據識別指南(2019-0217T-YD)》�����、《電信網和互聯網數據安全評估規范(YD/T -3956-2021)》三項行業標準�����。
隨著云計算�、大數據���、人工智能等技術的蓬勃發展���,移動互聯網����、物聯網產業加速創新����,應用程序接口作為數據傳輸流轉的重要通道發揮著舉足輕重的作用�。然而����,在Web應用及API技術帶來上述積極作用的同時����,伴隨而來的數據安全問題也日益凸顯�����。針對大量應用和接口每天發生的海量數據行為���,J公司缺乏統一的方式方法了解應用數據行為全貌�,尤其是無法掌握涉及敏感信息的應用數據行為情況��,無法了解產生敏感數據行為的人群主體����,同時存在很多提供給第三方開發商以及很多臨時需求產生的API��,使用后無人管理等問題�����,無論是數據安全管理者或是使用者都無法對應用及接口資產做到全量的盤點梳理���。
為了防范數據安全風險�����,加強數據使用行為監控�,當前需要開展數據使用行為巡查工作���,合理設置數據操作日志保存期限以滿足責任可追溯等需求�����。目前J公司缺少數據導出�����、刪除���、修改等敏感操作或異常行為的檢測能力���,例如���,缺少對敏感表的訪問權限���、操作權限和影響行數的有效監控���、無法針對不同客戶端和賬戶的失敗登錄頻次進行監控��、無法針對高危語句操作����、SQL注入�、批量數據篡改和大規模數據泄露等風險行為監控�����,以及無法針對高頻次執行的語句行為進行監控�����,更無法通過監測得到回饋和告警����,這給數據管理者帶來了諸多不便和障礙�����。
在J公司后臺數據庫中�,儲存著大量的敏感信息�����,一旦發生信息泄密行為��,不僅會造成重大的財產損失����,也會對企業聲譽造成嚴重影響���。當前J公司的敏感數據可能分散在成百上千張表和字段中��,元數據的管理工作越發繁重�����,目前J公司缺乏對重要數據的識別及脫敏能力���,無法高效地對數據進行分類分級�,更無法快速完成脫敏工作�����。
隨著J公司數據中心應用系統不斷增多��,其數據庫及數據的規模也持續擴大�����,如何使得J公司的數據庫系統實現對數據的動態監管��,自動化完成對數據的定期檢查�����,以及如何快速為數據安全管理人員和受控人員建立起數據安全管控平臺�,針對不同級別數據的操作及流轉進行管理�、審計�����,脫敏等�����,均是J公司目前在數據安全層面亟需解決的問題�����,需要建立起長效化運營技術手段及機制����,提升J公司的數據安全整體檢測及防護能力����。
安華金和數據安全運營理念���,將數據安全的管理體系及運營體系提升到與安全技術能力建設同等重要的高度����。對于J公司而言���,需建立起“一站式���、體系化”的數據安全運營平臺——集合數據資產梳理��、數據庫審計��、數據脫敏���、API審計等����,通過可視化的信息呈現與工作引導����,真正實現“統一部署���、統一監控����、統一管理����、統一運營”的數據安全日?�;?�、可持續的運營目標����,除傳統意義上利用技術工具來執行操作的數據使用人員之外��,數據安全的管理方和運營監督方也要具備相應的手段來完成自身角色所承擔的任務��,使得“管理���、技術���、運營”三個體系相輔相成����,共同推動整體解決方案落地實踐�。
通過持續優化數據安全策略���、推動數據安全規范要求與業務相結合���,并針對已發生數據安全事件的處理方式及后續風險提出整改措施等���,實現“從制度指導與策略制定����,到事件識別與風險處置����,再回歸到優化改進制度及策略”的運營閉環�����。
建立起以“決策層�����、管理運營層���、治理防控層���、業務運行層“為核心的數據安全管理鏈��,自上而下�,由下往上地形成戰略規劃���、執行落地����、改進優化����,監督運營的協同及迭代����,共同組建成J公司的數據安全運營模型��。
通過建設應用接口安全審計子平臺���,覆蓋電信應用接口��、數據庫等各類數據交互相關數據資產�,逐步實現對J公司所有接口資產的全面梳理�����、安全監控和運營工作的可視化分析展示��,實現對所屬的數據資產及業務API接口進行全面7*24小時持續運營工作監控和大數據實體分析���,使得應用接口安全審計系統可以實時監測J公司的數據流向����,通過數據地圖的形式呈現數據交互的狀態�����,同時以可視化大屏的形態展示J公司數據安全現狀��,為安全管理人員提供全知視角�����,便于溯源和排查����,精準定位安全風險���。
通過采集流量的方式收集內部數據訪問��、數據操作等行為�����,以廣泛數據聯動捕捉更多細節��,避免關鍵用戶�����、系統和應用數據被泄漏��。數據安全管理及接口安全系統通過自動發現并梳理應用及接口資產清單�����、管理應用及接口資產基礎信息���、提供應用及接口資產的敏感標簽管理以及敏感數據資產的使用和分布情況����,使得J公司能夠了解自身哪些接口存在潛在安全風險��,哪些接口會流出敏感數據����,由此進行針對性的重點關注和防護����。對于命中敏感數據泄露風險規則的行為實時報警并同步記錄下所有發生敏感數據的行為��,通過可視化敏感數據行為地圖和行為畫像的展示�����,為后續弱點分析����、事件溯源等功能提供基礎明細數據�。
上一篇:無
產品咨詢:4000 258 365 
