科创板上市公司股票代码:688023

数字经济的安全基石

Menu

全国服务热线:400-6059-110

首页 > 安恒动态 > 资讯中心 > 正文

面向合规保障和风险管控的运营商数据安全体系建设

阅读量:

运营商行业

《数据安全法》于2021年6月10日审议通过,于2021年9月1日起正式施行。《个人信息保护法》于2021年8月20日审议通过,将于2021年11月1日起正式施行。国家就数据安全工作正逐步构建起以法律为基础的治理框架,数据安全建设刻不容缓。

电信领域具有海量的通讯信息、个人信息等敏感数据,是数据要素应用和数据安全保障的重要领域,在数据规模、覆盖范围、存储和传输能力,及实时性和多样性方面均具有突出的价值优势。随着运营商行业数据内外部应用的同步拓展和推进,数据安全问题日益凸显。

合规保障是运营商行业数据安全治理的底线要求,风险管理是运营商行业数据安全治理需要解决的重要问题,在数字经济时代,以数据安全为前提下的数据流通才能最大限度释放数据价值。

安恒信息从成立之初即积极推进数据安全能力的建设,目前已推出了包括数据安全咨询规划、数据安全技术产品和数据安全运营服务的一系列数据安全产品、方案和服务。围绕运营商数据的的合规利用和价值释放,安恒信息结合运营商的行业特点,推出了面向运营商行业的数据安全体系方案。该方案体系以《数据安全法》《个人信息保护法》等法律法规为准绳,以运营商监管部门的监管文件、国家标准和行业标准为指导,参考了Gartner 数据安全治理(DSG)、数据安全能力成熟度模型(DSMM)等国内外的优秀实践,确保数据的合规保障、安全可控和有效利用。

01

运营商数据安全体系框架


1


基于运营商的数据安全需求,安恒信息推出了面向运营商的AiGuard数据安全体系,该体系以合规保障、风险可控和开发利用为战略目标,围绕数据的全生命周期,从安全管理、安全技术和安全运营三大方面构建运营商的数据安全体系。

(一) 安全管理体系

《数据安全法》规定:应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训。

组织建设指的是数据安全组织机构的架构建立、职责分配和沟通协作,建议自上而下的建立管理组织架构,确保数据安全责任层层落实。

制度流程指的是组织机构关键数据安全领域的制度规范和流程落地建设。建议结合自身业务场景,在数据安全涉及的不同领域编制一级、二级、三级、四级的管理和技术文件,指导数据安全制度体系的总体建设

人员能力指的是执行数据安全工作的人员的意识及专业能力。建议根据人员角色、岗位职责,从安全意识培养、安全能力培训、安全能力考核三方面入手构建相适应的人才培养机制

(二)安全技术体系

《数据安全法》规定:应采取相应的技术措施和其他必要措施,保障数据安全。

建议结合业务场景,通过风险识别、安全防御、安全检测和安全处置一系列的技术手段和产品工具,建立围绕数据全生命周期的安全防护技术体系。安恒信息具备一系列的产品和平台,满足运营商的技术能力体系建设。


2


AiSort数据安全分级与评估系统:敏感数据识别、自动分类分级、资产目录生成和风险评估;

AiMask数据脱敏系统:数据静态脱敏和数据水印;

AiGate数据安全网关系统:动态脱敏、访问控制、漏洞防护、运维管控等;

AiThink用户与实体行为分析系统:基于AI的用户实体行为分析;

AiDLP数据防泄漏系统:网络数据防泄露和终端数据防泄漏;

AiTDE透明数据库加密系统:数据库透明加密;

AiTTE透明传输加密系统:加密通信;

DBAuditor明御数据库审计:数据库访问行为实时审计、数据库恶意攻击识别、数据库违规访问行为识别;

AiTrust零信任: 零信任安全,包括API接口安全代理、应用安全代理和身份服务中心;

AiLand安全岛:可信安全多方计算;

AiGuard数据安全管理平台:梳理+监测+防护+运营的立体化数据安全管理。

(三)安全运营体系

《数据安全法》规定:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

安恒信息的数据安全运营体系是以用户数据业务最终安全为目标,通过统筹运用多种技术和管理手段,将安全能力持续输出传递给用户的过程,其核心价值在于发现问题、验证问题、分析问题、响应处置和解决问题,不断迭代优化安全问题的处置能力,持续将安全风险降低至用户可接受的范围。

结合业界最佳实践和安恒信息十多年网络安保经验,创造性的提出“九维六级五域四核一中心”安全运营服务核心理念(简称“96541服务模型”):九维彩虹服务团队构建安全运营四个核心要素,借助一个安全运营支撑平台对五大核心攻防对抗域的开展常态化运营工作,实现六级安全能力成熟度的逐级提升。

02

运营商数据安全体系建设要点

安恒信息围绕以下的通用安全和生命周期安全的关键要点,建设面向运营商的数据安全体系。

(一)数据安全通用安全

依据《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《电信网和互联网数据安全通用要求》、《基础电信企业数据分类分级办法》、《基础电信企业重要数据识别指南》等法律法规文件,指导以下通用安全的建设。

1、数据基础性安全

权限管理与访问控制:基于零信任体系进行身份管理与数据访问控制的增强保护。

安全审计:数据安全审计、访问和操作行为安全审计、API接口安全审计

2、数据分类分级

数据分类分级:根据数据分类分级方法,采用人工与技术手段相结合的方法,实现企业数据资源的梳理与分类分级,并进行数据分类分级标识,建立数据分类分级清单,并实施数据分类分级安全管控。

3、数据风险性管理

安全评估:包括一般性风险评估和重要数据风险评估。

风险监测:对数据安全风险进行监测,通过主动扫描、被动收集等方式,进行数据安全风险的识别、分析和感知。

安全态势:建立数据安全态势感知系统,整体把控安全态势。

应急处置:建立数据安全应急响应体系,通过安恒信息的数据安全运营体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行。

4、重要数据保护

重要数据保护:建立对重要数据的识别、保护、评估和安全事件管理的一系列安全手段。

(二)数据全生命周期安全

依据《电信和互联网企业网络数据安全合规评估性要点》,围绕数据采集、传输、存储、使用、开放共享、销毁等六个环节开展安全防护。鉴于篇幅限制,不在此展开。

(三)数据开发利用

《数据安全法》规定:国家支持数据开发利用技术研究,鼓励数据开发利用等领域的技术推广和商业创新,培育、发展数据开发利用产品、产业体系。

安恒信息推出数据安全岛AiLand,打造数据可信流通环境,构建新型数据可信安全多方计算基础设施。安全岛综合应用安全计算沙箱,联邦学习,MPC等多种前沿技术,配合关键行为数字验签和区块链审计技术,实现共享数据的所有权和使用权分离,保障多方数据联合计算过程的可靠、可控和可溯。数据在传输、存储、加工过程中的安全性得到落地,避免了敏感数据在开放和共享过程中的泄露风险。


3


综上,安恒信息围绕上述数据安全体系框架和建设要点,面向运营商客户的数据安全需求,通过数据安全咨询规划团队、数据安全产品方案团队和数据安全运营团队,按照治理规划、建设、运营、成效评估的实践路线,构建相适应的数据安全能力体系,针对风险防范、监控预警、应急处理等内容形成一套持续化运营机制,从而保障运营商数据安全的持续性建设。

关闭

相关推荐