400-100-9516
solution
数据安全治理综合方案
市场背景
国家层面

2020年4月中共中央国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)正式将数据作为继“土地、劳动力、资本、技术”后的第五种生产要素。数据作为新型生产要素被写进了《意见》中,明确表示了数据是一种新型的生产要素,已参与到社会生产活动的各个环节中,带来价值增值,且与对其他要素合作可以起到倍增作用,对于市场经济价值创造发挥着重要作用。

在数据的生产价值被广泛挖掘的同时,数据作为生产要素的非法采集、非法滥用、数据泄露诱发的诈骗等安全问题也浮出了水面。在这个背景下,《数据安全法》于2021年6月正式发布,首次在法律上对数据、数据活动和数据安全给出了明确定义,明确了企业数据安全治理对象,确立了国家数据安全监管和执法范围,为我国数据安全长久发展提供了度量依据和标准。数据安全法明确要求开展数据处理活动的企业必须承担的数据安全保护义务:
建立健全全流程数据安全管理制度,组织开展数据安全教育培训。(第二十七条)
加强数据风险监测,发现和修复数据安全缺陷、漏洞等风险。(第二十九条)
定期开展数据风险评估,并向有关主管主们保送风险评估报告。(第三十条)
应该采取合法、正当的方式搜集数据。(第三十二条)

数据安全法进一步明确了开展数据处理活动的企业的法律责任,对企业最高罚款可达1000万,对直接责任人员的个人罚款最高可达100万。在这个大背景下,企业数据安全治理势在必行。

行业层面

中国人民银行于2020年2月、2020年9月和2021年4月分别发布了《个人金融信息保护技术规范》、《金融数据安全数据安全分级指南》和《金融数据安全 数据生命周期安全规范》等一些列数据安全相关的安全规范和指南,并于2021年发布了配套一些通知,要求各单位有效落实这些规范和指南。这些要求无一例外要求企业从以下几方面落实数据安全:
数据安全管理组织架构和制度的确立
数据分类分级
数据生命周期的风险评估和监测
数据分级保护措施的落地
数据安全事件应急响应
对此,国有四大银行和股份制商业银行纷纷启动数据安全项目来应对即将到来的数据安全监管,项目类型包括数据安全体系和制度规划、数据资产分类分级、数据安全风险评测、数据安全技术落地等。
 

客户痛点
缺乏经验,缺乏专家

近几年数据作为生产要素的价值和风险变得更加突出,数据作为生产要素在企业内外各个场景流转,传统基于边界的安全手段在新场景下失效,这要求企业在传统网络安全建设的基础上,需 要针对数据的特性进行更加精细化安全策略保护。但数据作为生产要素提出尚处于一个比较新的阶段,大多数企业的数据化改革也才刚刚起步,这使得对于大多数企业来说,新一代的数据安 全(传统网络安全之外的数据安全)建设一个相对陌生领域。企业自身在这方面的经验非常有限,同时企业甚至整个行业都非常缺乏在数据安全领域有丰富经验的专家来帮助企业设计、规 划、落地和运营整个数据安全。

现状评估难、策略落地难

很多企业会聘请咨询机构来进行数据安全的评估和咨询。他们在法律法规的解读和体系制度的完备性具有专业性,但在落地性上存在明显的不足:
a)对现状的了解不足:由于评估和咨询的方式基本通过人工调研,缺乏技术手段的支撑,他们的评估往往跟企业自身的贴合性和全面性上存在不足,比如对数据资产梳理,企业数据环境错综
复杂,依靠人工的方式不可能实现全面的梳理和盘点。
b)技术的落地性的不足:咨询机构的核心职责是做评估、出规划方案,但技术方案在实际场景中是否能落地、落地效果如何都很难保障。比如数据分类分级之后,针对数据流动的分级管控。
为了实现这一点,我们需要对高等级敏感数据的流动形成全面的感知和管控能力,没有配套的技术手段支撑,这套理念就很难落地。

持续性不佳

企业数据环境一直处于动态变化中,每个月都会有大量新增的数据、新发布或者变更的业务系统、调整的数据网络环境、变化的组织架构。这些因素的变化使得数据安全治理一定不是一件静态的事,而是需要持续的跟踪、评估、和运营。比如如何动态地持续地去发现新增数据,对增量数据进行分级,同时对分级后的数据进行数据流动生命周期风险评估和管控。

方案特色
一块基石

平台介绍:数据资产梳理和分级是整体数据安全治理的基础。《数据安全法》第二十一条要求国家和企业建立数据分类分级保护制度。全知科技可为企业提供,数据资产梳理和分级服务。

特点
  • 数据资产发现和梳理:支持主流的30+数据库类型,可灵活扩展。
  • 数据处理能力:集成NLP、OCR、图像领域的基础算法能力,支持结构化和非结构化数据类型
  • AI算法赋能自适应适配:融合小样本学习和无监督学习等前沿AI技术,快速建立新领域的数据分类能力。
  • 内置丰富的数据分级场景:系统内置金融数据分级指引、个人信息安全规范、个人金融信息安全保护规范等场景
一套体系

平台介绍:结合《数据安全法》、国家权威标准和行业最佳实践,基于深度的企业数据安全和风险现状调研为基础,为企业量身定制一套数据安全组织和管理制度体系。《数据安全法》第二十七条和第三十九条要求国家和企业建立健全全流程数据安全管理制度,落实数据安全保护责任。全知科技可为企业提供专业的数据安全管理制度、组织架构、技术体系规划设计。

特点

以数据资产梳理和风险评估驱动的设计和规划,让企业全面了解和掌控数据和风险现状。在此基础上设计和规划整体的数据安全管理制度和体系,以风险评估为基础,设计落地的优先级,让企业数据安全建设有的放矢,每一分钱都花在最大化降解数据安全风险的地方。

一个平台

平台介绍:依托于AI技术,无需侵入或者业务改造,自动化实现数据生命周期关键场景的全面风险感知。联动数据安全控制能力,对高等级数据实行匿名化和动态权限控制等保护手段,让数据更加安全合规的使用。《数据安全法》第二十一条要求国家和企业建立数据安全风险监测机制,发现数据安全缺陷、漏洞等风险,加强数据分级保护。全知科技可为企业提供,数据安全风险监测和管控平台,落地数据安全监测和保护要求。

特点

平台以数据分级为中心,自动化管控数据权限、追踪数据流动风险监测、关联数据保护措施,对企业数据安全管理人员来说,做好数据分级之后,可以通过一个平台自动化映射数据风险监控策略、数据权限管理策略、数据脱敏管理策略等,而相比于传统的单点产品,需要在每个产品进行单独的数据分类分级再做安全策略配置,平台化的自动化安全策略映射可以大幅减少人工运营的成本,提升数据风险管理的覆盖面。

方案价值
让数据安全建设有章可循

以国家数据安全法和行业数据安全监管规范为准绳,全面动态掌控企业在数据安全方面的差距,并以此为基础完成数据安全治理组织、制度、体系的规划和设计,让数据安全建设有章可循。

让数据安全策略持续有效

动态适应保障数据安全策略的有效性和时效性
a)动态数据梳理和分级,让企业时刻都拥有一份完整的数据安全资产清单。b)持续的数据安全监测体系,让企业时刻掌控着当前数据安全风险态势,第一时间响应和解决数据安全高危风险,持续为数据流动保驾护航。

让数据安全落地成本可控

遵循国家和行业监管规范,以可控成本落地建设一套数据分级保护体系,缩减高等级数据的暴露面、最小化高等级数据的授权、严格控制和保护高等级数据的流出。

成功案例
大型快递行业

某大型快递行业由于其业务场景,需要在互联网上开放大量的API接口,此企业之前有遭受过严重的客户数据泄露现象,比较关注过量数据的暴露和黑灰产数据窃取问题。

全知科技通过自身的API安全解决方案,帮助客户针对数据暴露面进行了整改,并持续监测黑灰产的数据窃取情况。

一方面,通过帮助用户梳理API资产,发现暴露在互联网上的敏感数据API,对这些API进行数据脱敏和持续的暴露面监测,直观反映暴露面的治理情况:共帮助梳理API资产17w余个,其中有1037个API是暴露在互联网上且透出敏感数据的API,通过对这一千多个API进行弱点识别,共发现存在未鉴权可访问的API32个,伪脱敏API64个,过量数据返回37个,参数遍历21个等,通过推动内部对这些标志性安全隐患的修复,并持续不断发现安全隐患,形成良性的安全治理循环:发现-修复-持续发现。

另一方面,通过持续监测重点数据接口的访问行为,及时发现黑灰产数据窃取风险,帮助企业对风险事件进行处理,减少不必要的安全损失:共发现黑灰产数据窃取风险事件3起,分别是来自安徽的某2个IP和来自福田的某IP通过短时间内不断更换请求参数(手机号)碰撞拉取快递信息(寄件人姓名、寄件人地址、寄件人手机号、寄件内容、收件人地址、收件人姓名、收件人手机号等),其中一条风险事件累计泄露快递信息3,0218条,共涉及到个人信息6,0536条。API产品通过及时的告警,推动内部安全运营人员针对此IP进行了访问限制,减少了后续的数据泄露情况。

某银行机构

在一次对某银行的数据安全运营分析过程中,发现了来自外网的恶意IP通过篡改身份证号的方式批量试探拉取此银行的客户数据的现象,结合上下问关联分析,发现此IP在触发数据窃取风险之前的前一周都在执行扫描操作,并利用了扫描成功的API进行了批量数据拉取,从而导致该银行4,218条个人信息的泄露。

此风险案例的实施步骤如下:

2021-03-20 – 2021-03-28日期内的每日23:00:00 – 05:00:00执行扫描操作,累计扫描用户web系统3,019个,扫描API 58,291个,扫描成功API 391个;

2021-03-28 13:00:00利用扫描成功的API,并不断尝试更换身份证号这个入参试探拉取此银行的客户数据,主要包括客户的银行卡号、身份证号、手机号、开户时间等,累计获取了4,218条个人数据,该IP当日累计请求11,3452次,每秒钟访问频次高达102次,造成此银行客户数据的大批量泄露,给银行带来较大的安全影响。

此案例与去年银保监会下发的关于“某金融机构的微信银行业务系统存在数据安全风险,引起资金被盗取的安全事件”有很大相似之处。

在线客服