“软标准”变成“硬规范”!
近日,央行发布《中国人民银行业务领域数据安全管理办法》征求意见稿(以下称《管理办法》),以部门规范性文件的方式,全面衔接《数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求。
那么,致力于“业务数据安全”的新兴安全厂商-极盾科技,可以为金融企业落实《管理办法》提供哪些能力建设?
一、数据分类分级
《管理办法》强调数据处理者应当建立数据分类分级制度规程,规范分类分级工作操作规程;参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
《管理办法》还进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。在数据分级要求方面,数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。在数据分级基础上,数据处理者应当参考行业标准,将数据项敏感性从低至高进一步分为一至五共五个层级。
数据分类分级是数据精细化防护以及数据价值提升的基础性工程。
因此,极盾科技从成立之初就打造了“数据分类分级利器—极盾·智辨”,致力于帮助企业自动化发现数据资产、梳理数据资产,智能分类分级,高效识别敏感数据,自动化周期性扫描数据资产,形成企业数据分类分级全景图。
1、数据资产自动发现
自动化识别业务领域数据资产,对数据资产进行全面盘点,构建数据资产目录,为企业数据资产管理和数据安全体系建设打好基础。
2、分类分级智能引擎
根据行业规范和业务特性提供分类分级模版,利用机器学习算法、NLP、语料库、血缘关系分析等技术智能分类分级,提升覆盖率和准确率,降低人工成本。
3、敏感识别算法库
内置敏感数据智能识别算法库,覆盖常见高敏个人信息和业务信息,开箱即用,帮助企业自动化高效识别敏感数据,梳理敏感数据资产。
4、持续周期性扫描
支持对业务系统持续周期性的定期扫描,不仅可以解决新增数据资产的识别和分类分级,也可以解决原有数据级别需要更改的问题。
5、分类分级全景图
自动化周期性扫描数据资产,智能分类分级,识别敏感数据,生成数据分类分级全景图,支持分类分级结果多样化输出方式。
以某城商行为例,基于极盾·智辨,最终完成:
1)落地实现10000+策略规则,包括当事人、产品、协议、时间、账户、介质、渠道、资源项和通用等9大类信息字段的分类分级识别规则。
2)梳理了3个业务系统,200000+字段的识别打标并分成4类5级,5个敏感等级分别为极敏感、敏感、较敏感、低敏感、不敏感。
3)自动化周期性扫描数据资产,明确数据分类分级结果,输出数据分类分级全景图,并制定出一套可行的数据分级保护策略。
二、数据使用安全管控
《管理办法》强调数据处理者应当按照最小必要和职责分离原则,严格管理信息系统各类业务处理账号、数据库管理员等特权账号的设立和权限,鼓励建设技术平台,采取统一认证、统一授权策略进一步加强管控。建立统一的日志规范,明确数据处理活动日志应当完整记录的溯源所需信息。
《管理办法》还进一步提出了涉及第三层级以上数据项导出使用的风险防范措施,原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施。信息系统界面展示第三层级以上数据项时,原则上应当优先实施脱敏处理后再展示。数据处理者应当建立终端设备安全管控策略,鼓励针对使用第三层级以上数据项的终端,采取安全沙箱、终端行为管控等安全保护措施。
极盾科技自研的“业务领域数据安全管控平台—极盾·觅踪”,通过用户实体行为分析(UEBA)、敏感数据识别、风险识别与告警、 动态数据脱敏、访问控制、水印保护等核心技术,为企业提供针对业务系统“数据流通使用”场景,进行免改造应用的细粒度安全管控服务。
其功能架构主要分成四个部分、分别是数据采集阶段、事前阶段、事中阶段和事后阶段。
第一阶段:数据采集
通过网关流量和应用行为埋点来实现以“人”为主体的多维度信息采集,同时通过接口、数据库读取、导入等多种方式接入组织架构中身份、岗位、权限信息。
第二阶段:事前阶段
信息采集之后,事前进行重要操作标记(复制、下载、导出等)、敏感数据识别并分类分级、自定义水印、特权账号标记、黑白名单等。
第三阶段:事中阶段
事中通过账号监测(账号盗用、账号爆破等)、权限合规筛查、数据泄露监测实现全方位风险监测,并采用数据动态脱敏的防护手段,再结合告警、阻断的有效措施进行风险管控。
第四阶段:事后阶段
事后阶段主要进行日志审计、泄露溯源、权限梳理以及数据暴露面分析等。若数据发生泄漏,平台导入一批泄露的数据内容进行追踪溯源,即可进行快速定位到人、时间、场景、泄露方式等。
三、风险监测、评估审计与事件处置
《管理办法》强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
《管理办法》进一步提出数据处理者应当细化管控数据安全风险评估人员和审计人员使用数据的权限,并采取有效措施确保实施过程安全。鼓励数据处理者建立技术平台,统一建立数据安全风险评估与审计的安全管控策略。
极盾·觅踪通过全面采集用户使用数据的行为、数据自身属性、人员信息、权限分配等链路监控信息,构建数据安全态势感知能力,当发现有账号、接口、数据访问行为、数据复制截屏、数据导出风险时,根据相应的告警规则发出告警提示,并且可以展示触发告警的账号、告警内容,以及该账号之前的全部操作,从而可以对该账号进行风险追踪溯源。
对于触发较多的风险规则,支持脚本自动化处置,自动化处置结果可以“自动化处置历史”里面查看,以便及时对风险规则和告警处置规则进行阈值的调整。
目前,市面上一般会通过访谈、问卷、文档核验、系统查看等方式进行数据安全评估工作,了解系统的风险状况。
极盾·觅踪可以从应用、接口、账号、权限、敏感数据暴露面等角度进行数据分析,提供数据安全评估的衡量指标,生成阶段性评估报告,更直观、快速、高效的进行数据安全评估。同时,可以为数据安全审计留下详细记录和凭证,确保数据安全保障责任落实到人。
极盾科技,一直坚持将数据安全技术支撑能力与数据、业务、场景深度融合,通过“统一分类分级与敏感数据识别”、“统一授权”、“统一访问控制”、“共享安全保护”、“监控与审计”等服务能力输出,实现数据全生命周期的用数安全,在实现安全合规的同时极大释放数据要素价值。