近年來,國家高度重視數據安全問題,針對數據安全的法律法規陸續出臺,相關工作機制逐步明確。其中,政企數據由于其涉及面廣、影響程度高,成為了相關法律法規和政策文件關注的焦點,也成為國家合規監管的重點。因此,為積極響應國家戰略,厘清數據安全現狀,政企機構對保障數據安全提出了新的更高要求,通過構建數據合規安全體系,切實防范化解數據風險。
政企數據安全合規面臨的風險
隨著信息化及數字化進程的推進,政府機構在履職過程中,以及企業的經營生產環節均會產生大量的敏感數據。同時,在文檔的存儲、應用環節缺乏對數據安全有效的保護機制,容易出現內部資料管理混亂、知識產權和敏感信息泄露,以及文檔外傳擴散等各種問題,造成數據安全隱患。為此,數據安全合規檢查就變得尤為重要。據《中國政企機構數據安全風險分析報告》評估分析,當前政企機構所面臨的安全風險主要有以下幾個方面:
01
數據類型多,敏感程度高
政企數據類型多且雜,散落在各個應用系統、辦公人員電腦中,數據結構、數據類型、存儲形式、重要程度各不相同。據調研機構統計,從泄露數據的數量來看,個人信息數據約有868.8億條,占比為91.4%,其次是運營數據,約有79.5億條,占比為8.4%,二者之和占到了泄露數據總量的99.8%。在商業數據泄露方面,主要涉及文檔數據泄露、代碼數據泄露和文化版權數據盜版三大類數據泄露風險類型。因此,需加強數據安全建設,充分對數據進行統籌管理,全面提升數據監測及安全使用等能力。
02
數據范圍廣,管理難度大
政企數據涉及到生活數據、服務數據、公共數據等,包括政府、運營商等各個行業。覆蓋數據范圍廣且管理難度大,為方便管理數據資產,政企機構需明確數據資產分布、使用、權限等現狀,才能更好的體系化地分析和管理政企數據安全。
03
數據價值高,泄露事件頻發大
政企機構擁有數量大、價值高的數據資源,通過開放共享發揮這些數據資源的潛在價值,是數字時代促進經濟社會發展的必然要求。但在當今的大數據時代下,個人及重要隱私數據保護超越了傳統隱私權保護的范疇,這就導致傳統隱私保護制度無法進行全面保護。一旦遭遇不法分子攻擊威脅,泄露的形式更是多種多樣。因此,需加快構建與數字時代相適應的政企機構數據安全保障體系,提升數據安全合規檢查能力,可以有效防范和化解政企機構數據泄露帶來的風險,構建數據安全。
政企數據安全合規建設要求
政企數據統籌管理,敏感數據依法整改
近年來,國家高度重視數據安全,尤其是政企機構的數據更是類型多樣,一旦造成泄露,損失難以估量,甚至可能影響到國家安全。為此,國家頒布法令對各行業數據安全提出要求,其中《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國網絡安全法》、《網絡安全審查辦法》、《關于加強數字政府建設的指導意見》、《信息安全技術 政企信息共享 數據安全技術要求》等法律、法規、政策文件和技術標準,指出政企機構作為數據共享、運營、使用的責任主體,需接受數據安全審查和合規監管,并采取必要措施,依法整改,不斷提升數據安全統籌管理及風險監測應對能力,以確保數據處于安全保護及合法利用的狀態。
政企數據全面覆蓋,違規行為實時監管
進入新時代,政企機構工作對象、工作范圍不斷擴大,全面覆蓋到各行各業,任務也更加繁重。對于如何保證政企機構隱私和信息安全,建立政府數據合規使用及資源的安全管理已是關鍵。就目前政企機構現狀來看,數據分布復雜難以管理,為此,存在哪些數據,不存在哪些數據,必須清晰界定,合理規范。通過安全檢查技術分析數據敏感程度,并針對檢查的各類數據違規行為,及時發現敏感數據中存在的泄露隱患并立即上報,涉及日常工作場景,將敏感數據例行檢查轉變為實時的安全監管檢查,以解決政企機構當前存在的數據安全問題,形成數據安全全面監管。
政企數據檢查調整,泄密風險全面預警
當前,數據強監管時代已經到來。政企機構為“盤清資產、精準防護、全面預警”提供了全面檢查、部門自查、個人自查和整改復查等多維度檢查模式,實現保密檢查工作的規范化、常態化管理。同時,泄密風險得以感知并快速處置,提升了政企機構保密檢查效率和保密管理工作水平。
政企數據安全合規檢查項目實踐
基于上述數據安全合規檢查要點,明朝萬達通過項目實踐,利用自研的數據安全合規檢查工具,幫助用戶開展了典型場景下的數據安全合規檢查,提升安全檢查監管效率,優化檢查工作流程。
01
場景一:某政府部門以離線形式對各單位進行合規檢查
某政府部門主要業務是對二級單位的數據進行合規監管,通過離線的檢查方式,收集其終端環境下的各類數據文件,利用關鍵字、正則表達式、文件指紋、自然語言處理等規則,進行解析與內容掃描,根據預置的行業數據分類分級標準和數據安全法律法規進行合規性檢查,以是否被命中來判斷是否存在敏感數據,一經發現數據風險責令其整改,以滿足單位數據的合規要求。
02
場景二:某運營商單位以線上自查形式對各代理商進行合規檢查
某運營商單位為解決終端數據泄露風險,為其代理商提供基于終端線上的合規自查工具,通過內置的實時規則,實現終端敏感數據上報,破除“數據孤島,進而持續提升企業內的數據安全管理能力。
明朝萬達數據安全合規檢查工具優勢特點
支持主流終端/服務器平臺環境
數據泄密高風險時代,為解決數據應用需求,系統環境支持標準的Win7、Win10、Win Server等,同時還與龍芯、鯤鵬等CPU架構服務器、統信V20、銀河麒麟V10等操作系統完成兼容性測試并取得互認證證書。同時,部署支持國產化信創環境,滿足用戶對操作系統多樣化適配的要求。
支持主流數據格式內容掃描
數據由于涉及面廣、影響程度高,可支持對主機本地存儲的數據內容進行識別,支持識別數據的各種格式,主要包括:非結構化數據支持對Microsoft Word/Excel/PowerPoint、Open office、WPS等辦公文檔,ZIP、ISO、RAR等壓縮文件,JPG、PNG等圖片文件,*.xml、*.sh等代碼文件,PDF等電子出版格式以及其它以文本形式存儲的格式進行內容掃描。
支持行業的數據安全合規性檢查
檢查以數據安全的目標入手,工具內置政企、金融、運營商等多個行業客戶法律監管規范及安全標準要求,充分落實國家分類分級的指導意見,依據相關標準梳理并落地了常見行業的分類分級規則模板,基于此規則集合可以對個人基礎信息,企業基礎信息,金融,電信等行業客戶終端環境進行快速的數據安全合規檢查或者自檢,以符合合規性的要求。
支持合規檢查結果統計匯總
支持對數據內容檢查結果快速處理及匯總統計。檢查結果快速處理,包括文件查看,命中結果展示,命中文件刪除,多選刪除,命中結果導出,本地檢查報告查看等功能。通過檢查報告自動上傳,控制臺匯總檢查結果更加方便快捷。統計結果包含總終端數,基線變更終端數,命中文件總數,命中規則總數多個維度。通過柱狀圖,餅圖,條形圖的方式,更直觀的展示終端敏感數據占比,敏感文件占比,敏感終端文件排布,敏感文件終端規則分布等信息。
支持標準模式內容掃描
支持一鍵掃描。一鍵掃描主要針對單位上級檢查場景,提前預置行業規則,利用內置的內容掃描引擎,配合先進的掃描模型算法,對終端全路徑文件發起全盤掃描,發現敏感信息及時響應。
支持終端資產檢查
終端資產檢查包括系統檢測,賬戶檢測,硬件檢測,軟件檢測等。通過對系統全方位的檢測,直觀的展示出終端的資產情況,并生成可行性報告,用戶可通過控制臺快速查看檢測結果統計,能更好的滿足政企單位監管快速檢查的場景,同時,實現技術與管理結合,可構建更強大更全面的安全管理能力。
