免费加密 免费检测 English
首页(yè)> 安(ān)全资讯 > 坚如磐石+内外兼修,浅谈如何加强企业数据流动安(ān)全

坚如磐石+内外兼修,浅谈如何加强企业数据流动安(ān)全

发布时间:2023-09-07
随着数据要素化进程的高速发展,数据泄露、篡改、滥用(yòng)等数据安(ān)全事件频发,对个人、组织、社会公(gōng)共利益甚至國(guó)家安(ān)全造成严重威胁和损害,如何加强数据安(ān)全治理(lǐ),成為(wèi)数字经济时代最紧迫、最基础的问题。
某公(gōng)司為(wèi)某政府部门开发运维信息管理(lǐ)系统的过程中(zhōng),未经建设单位同意的情况将建设单位采集的敏感业務(wù)数据擅自上传至租用(yòng)的公(gōng)有(yǒu)云服務(wù)器上,且未采取安(ān)全保护措施。
最终建设单位负责人、部门负责人等4人被追责,某公(gōng)司被罚款。此事件在数据流动未能(néng)摸清外部合作(zuò)的网络和数据安(ān)全风险,且没有(yǒu)对敏感信息分(fēn)类分(fēn)级,最终导致数据泄露发生。
云南市西双版纳州部分(fēn)房地产(chǎn)企业内部员工(gōng)在利益驱使下,利用(yòng)职務(wù)之便,将业主个人信息售卖给多(duō)个装(zhuāng)修公(gōng)司。装(zhuāng)修公(gōng)司非法購(gòu)买到业主个人信息后,便安(ān)排员工(gōng)有(yǒu)针对性地向业主推广公(gōng)司业務(wù)。此外,还会将业主信息免费分(fēn)享或出售给建材家居、广告公(gōng)司等行业的“朋友”,致使业主遭受源源不断的骚扰。
内部员工(gōng)出于个人利益而窃取内部数据的事件频频发生,给企业及用(yòng)户都造成严重安(ān)全隐患和损失。
与此同时,来自企业内外部的数据泄露风险也受到监管机构的重视内部风险方面今年多(duō)家银行已因数据泄露类问题被监管部门处罚,某行曾在2022年被罚款1674万元高额罚款。
外部风险方面,金融监管总局向银行业保险业下发《关于加强第三方合作(zuò)中(zhōng)网络和数据安(ān)全管理(lǐ)的通知》(下称《通知》),要求银行保险机构全面开展一次自查,摸清数字生态场景合作(zuò)中(zhōng)的网络和数据安(ān)全风险底数,开展排査整改。由于金融行业属于数据密集型,对网络和数据依赖性极强。如何更好地保障网络和数据安(ān)全,保护个人信息、引导数据向善,是金融业须面对的重要课题。
《通知》要求,银行保险机构在合同协议中(zhōng)要强化数据安(ān)全要求,对于存在违规行為(wèi)或违反合同约定的,要追究有(yǒu)关外包合作(zuò)单位的责任,在问题整改完成前,不能(néng)扩大合作(zuò)范围内容。还要求加强科(kē)技(jì )风险统筹管理(lǐ),要将数字生态合作(zuò)纳入到银行保险机构的外包风险管理(lǐ)范围,加强统筹管理(lǐ),科(kē)技(jì )和数据管理(lǐ)部门应加强外包合作(zuò)的网络和数据安(ān)全管理(lǐ),加强风险评估和事件处置。
数据泄露基本分(fēn)為(wèi)来自内部和外部两大类,数据泄露可(kě)能(néng)会导致企业信誉受损、客户流失、法律公(gōng)诉、经济损失等,继而影响企业的整體(tǐ)发展。目前,面对日益严峻的数据安(ān)全形势,國(guó)家陆续出台《数据安(ān)全法》《个人信息保护法》《数据出境安(ān)全评估办(bàn)法》等一系列法规,分(fēn)别从國(guó)家重要数据保护、个人隐私和权益保护、数据主权维护角度给出了行為(wèi)指引。《数据安(ān)全法》明确提出了“维护数据安(ān)全应当坚持总體(tǐ)國(guó)家安(ān)全观,建立健全数据安(ān)全治理(lǐ)體(tǐ)系,提高数据安(ān)全保障能(néng)力”,并把分(fēn)类分(fēn)级作(zuò)為(wèi)推进数据安(ān)全的基础工(gōng)作(zuò),提出“國(guó)家建立数据分(fēn)类分(fēn)级保护制度”、“对数据实行分(fēn)类分(fēn)级保护”。
数据分(fēn)类分(fēn)级与敏感个人信息识别可(kě)明确数据保护对象,是开展差异化、动态化数据安(ān)全治理(lǐ)的前提。数据分(fēn)类分(fēn)级是数据安(ān)全治理(lǐ)體(tǐ)系的基石,面向组织数据和个人信息,首先需开展数据资产(chǎn)的发现与梳理(lǐ),然后基于识别备案的数据资产(chǎn),落实从业務(wù)角度出发的数据分(fēn)类标识以及从安(ān)全角度出发的数据定级标识,形成数据分(fēn)类分(fēn)级目录,最后对数据目录进行审核、发布,基于数据伴随业務(wù)处理(lǐ)活动的持续新(xīn)增与变化,分(fēn)类分(fēn)级也需随之动态变更。
爱加密基于多(duō)年服務(wù)企业数据合规治理(lǐ)的经验,沉淀出一整套数据安(ān)全流动解决方案。其中(zhōng),爱加密数据安(ān)全分(fēn)类分(fēn)级资产(chǎn)地图系统是一款面向企业数据发掘并进行自动化数据分(fēn)级分(fēn)类分(fēn)析的产(chǎn)品 。系统致力于梳理(lǐ)并标识数据,实现在复杂环境下自动化扫描并识别其中(zhōng)的敏感数据信息,通过数据的分(fēn)类分(fēn)级梳理(lǐ)过程中(zhōng)搭建数据标准,实现数据口径的统一 。
在数据外部流动过程中(zhōng),API接口的运用(yòng)十分(fēn)广泛,API 是一些功能(néng)、定义或者协议的集合,它既可(kě)以连接服務(wù),也可(kě)以传输数据,尤其作(zuò)為(wèi)企业业務(wù)承载的载體(tǐ),对其进行安(ān)全防御对保障客户的业務(wù)安(ān)全十分(fēn)关键。很(hěn)多(duō)企业甚至自己的不知道有(yǒu)多(duō)少API 被开放,是否受控使用(yòng)和有(yǒu)效使用(yòng),有(yǒu)怎样的安(ān)全风险和隐患,就更不得而知。API安(ān)全造成的影响越来越大,而传统API 安(ān)全网关的部署与维护成本高,无法有(yǒu)效防护新(xīn)兴安(ān)全威胁。
爱加密API安(ān)全监测系统是一款以数据為(wèi)中(zhōng)心,实现对Web 、APP 、小(xiǎo)程序 、IoT等应用(yòng)系统API数据暴露面的治理(lǐ)和对数据攻击行為(wèi)持续发现的流量分(fēn)析系统 。部署在企业互联网出口,实时监控企业API的数据暴露面以及被攻击情况 。通过可(kě)视化API接口报告,及时掌握企业存在的API风险隐患。
企业数据安(ān)全面临着诸如数据跨边界流动,资产(chǎn)暴露面扩大、数据结构多(duō)样化,识别管理(lǐ)有(yǒu)难度、日志(zhì)记录不规范,数据追溯无结果等挑战。為(wèi)解决企业安(ān)全建设中(zhōng)所产(chǎn)生的问题,形成数据安(ān)全防护能(néng)力持续改进与安(ān)全策略持续优化能(néng)力,提高数据监测及风险预警能(néng)力,爱加密应用(yòng)数据风险监测系统,是一款针对web应用(yòng)系统的数据安(ān)全产(chǎn)品, 采用(yòng)网络流量分(fēn)析技(jì )术, 在对现有(yǒu)业務(wù)系统无侵入的情况下, 帮助企业全面盘点線(xiàn)上业務(wù)系统接口,及时发现大规模数据流动风险,快速对数据泄露事件进行溯源分(fēn)析,宏观掌控业務(wù)系统数据流动态势。 
数智时代,数据流动越来越复杂,数据要素与数据流动不断创造新(xīn)的价值与机遇,但也伴随着新(xīn)的风险与挑战。爱加密致力于数据流动安(ān)全的防护与治理(lǐ),将持续加强技(jì )术创新(xīn)与研究,从法律、技(jì )术、规则等角度继续提升数据流动治理(lǐ)能(néng)力,帮助企业有(yǒu)效防范化解风险,為(wèi)数字经济高质(zhì)量发展保驾护航。

加入收藏

上一篇: 人脸识别防护系统:常见绕过方式与防御手段分(fēn)析

下一篇: 乘势而為(wèi),蓄势已发|爱加密已于5月成功适配鸿蒙系统