当前,数据泄露的问题十分突出,虽然2020年全球已公开的数据泄露数量较2019年下降了近五成,但仍有360多亿条数据泄露,比2019年增加了332%。华住(China Travel)2.4亿入住记录被窃取、顺丰(顺丰)3亿用户数据被黑卖的事件频频发生,伴随着《网络安全法》(CyberSecurityAct)、《数据安全法》(CyberSecurityAct)等相关法律法规的出台,我国的数据安全问题日益突出。该方案围绕“管理+监督+操作”建立了闭环系统,包括以下内容:
在管理层面上,着重做好数据资产的整理和标准化工作。利用 DSAS的数据资产评价工具,采用静态扫描和动态流量分析相结合的方法,将某企业的数据库从300多个扩展到500多个,并对其进行了全面管理和控制。建立数据的分类和评级标准,如金融行业的1-4级,对敏感数据如身份证号码和银行卡号等进行明确的评级;二、对账户权限进行梳理,编制《敏感数据最小化授权指南》(以下简称《指引》);同时,还制定了10项管理制度和17项规范,编制了《数据资产安全评估报告》等3项评估报告,进一步强化了数据资产的安全保障能力。
在监视水平上,建立了用于不同场景的保护能力。运维端采用审批流程与动态脱敏相结合的方式,有效防止了操作失误;DMS-S测试和开发专用的静态脱敏软件,既模拟了生产数据,又防止了数据泄漏;数据存储采用 DES加密体制,采用透明密码体制;建立 DAS数据库审核系统,对数据库的访问情况进行实时监控,审核数据至少保存半年。同时,统一的管理平台也能实时显示业务的压力和安全威胁,例如,某省级人社平台采用了 DPS保护体系,采用了主、从两个中心的结构,保证了数据的安全访问。
在操作层面上,实现了常规操作。依托操作控制平台,每天通过大屏幕查看数据资产,风险事件,数据流动情况;操作监控使用数据图来获得资产的分布和商业的热度,并追踪事件的处理,例如,客户的平台能够对未处理的事件进行统计并分析其趋势。服务内容包括日常策略更新,风险专家分析,两会等重要时刻的重点保障,以及7-24小时的紧急应对,以及对网络的保护,对网络的风险进行预警。
该项目的实施分为两个阶段:第一阶段是建立管理和监督制度,第二阶段是完善操作制度。目前,该方案已经在国家某部委和江苏某商业银行成功应用,该银行通过该方案的实施,提高了运营管理水平和数据脱敏效率,达到了“管、控、追”的目的。
