正安时代安全服务

专业安全服务,为您的业务保驾护航


数据安全产品及解决方案

1、建设目标

随着《数据安全法》、《个人信息保护法》以及《网络数据安全管理条例》等法规条例的密集出台,凸显了国家在数据安全的高度重视。而数据资源中心拥有大量的数据库、业务系统及其他关键服务,是数据密度较高、数据价值巨大、数据汇聚集中之地,存放着各类关键及敏感数据,数据一旦泄露或遭受破坏,对国家、社会都会造成巨大的影响。因此保障数据资源中心的数据安全是防护的重中之重和前沿阵地,必须确保数据资源中心数据的高度安全。本次项目目标是根据《数据安全法》、《个人信息保护法》等法律法规相关要求,结合数据资源中心对数据使用的实际情况,通过体系化的数据安全服务进一步完善和加强数据资源中心的数据安全建设,实现如下目标:

  1. 实施敏感数据识别及分类分级管理服务,奠定数据安全保护基础。
  2. 评估及分析数据资源中心数据生命周期的应用场景及数据安全风险,落地实施数据全生命周期的应用场景的数据安全技术保障服务。
  3. 加强重要数据和敏感字段的安全保护,强化数据安全审批留痕,推动数据安全共享及使用,落实数据安全使用权限、减少违规操作、杜绝高危操作。
  4. 建立完善的数据安全运营服务保障体系,建立数据安全风险评估机制、数据安全合规评估以及常态化安全服务工作,通过持续优化,使得数据资源中心数据安全保护体系更加健全,达到领先水平。

2、服务体系架构

从数据全生命周期维度出发,在现有安全建设的基础上,通过数据安全体系化服务建设,明确数据权责关系,制定数据安全管理制度。针对数据特性及数据管理现存的安全威胁,从数据视角出发,系统化、规范化、科学性的建立数据安全服务体系,提高数据安全管控能力,持续化提升安全保障能力。总体架构如下:

服务体系内容

贯彻国家网络空间安全战略,保障关键信息基础设施安全,满足政策合规性要求,统筹全体系数据安全支撑。基于上述四点核心目标进行数据安全体系设计,达成目标要求。

合规是安全的基础要求,建设大型数据安全项目必须将合规纳入总体规划内,作为必须满足的目标之一,本架构以满足各项保护条例以及网安法等相关安全要求为基础。

对自身能力进行评估,输出现状与目标差距,指导工作方向。建立制度规范,约束、指导日常工作流程。建立运营机制,保障项目收益及效果。

最终,以数据的全生命周期为架构,技术体系可以覆盖各生命周期内的风险;以识别、防护、检测、响应为闭环,形成技术体系的有机互动。以同步规划、同步实施、同步投产为准绳,实现数据的内生安全。

提供为数据资源中心数据安全建设服务工作,保障数据资源中心数据安全持续运行。各服务项如下:

框架图

2.1 数据安全运营管理体系规划服务

  1. 数据安全运营管理体系规划服务:以国家相关法律法规为指导,结合实际数据安全管理情况,构建完善的数据安全管理组织框架,制定相应的数据安全管理规范和细则。数据安全运营管理体系建设包括组织架构、规章制度以及流程管理。通过建立完备的数据安全管理组织架构,确保数据安全管理方针、策略、制度规范的统一制定和有效实施。
  2. 数据安全运营制度规范设计服务:在数据安全建设工作中,根据当前数据安全实施现状,结合最新的政策要求,为适应新时期的发展需求,应重新审视已编制规范的执行和运行情况,并根据数据采集、传输、存储、销毁等生命周期全过程的操作反馈,持续补充完善编制工作。

2.2 数据分类分级服务

提供数据安全分类分级方案咨询及设计,数据安全分类分级方案实施,以及数据分类分级工具的部署和配置。通过数据分类分级服务,了解重要数据及敏感数据的存储分布、流转及使用情况,在数据治理和数据保护上实现基于数据分类管理、分级保护的重大意义。

2.3 数据安全风险评估服务

  1. 数据安全基础评估服务:数据基础风险评估是通过对数据库或大数据平台等设备、服务及进行安全漏洞扫描、基线检查和渗透测试,以发现存在的安全漏洞和薄弱环节,并对发现的脆弱性进行识别、分析、修补、检验,消除、降低IT设备的高、中风险隐患,防范安全事件发生,避免信息系统脆弱性被非法利用,保障业务的可持续性。
  2. 数据安全检查评估服务:数据安全检查评估服务是为了以查促改、以查促管、以查促防,以查促发展,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升安全防护能力。
  3. 数据安全生命周期评估服务:针对组织数据收集、存储、传输、使用、交换和销毁等活动,遵照风险评估标准规范,从资产和风险两大视角出发,采用定性分析、定量分析等风险分析方法,识别组织内数据相关活动或数据资产所存在的安全风险,以生成数据资产的全面风险清单和风险预估、并基于评估结果给出风险处置建议。

4、数据生命周期技术安全保障服务

根据数据资源中心的数据资产为核心,健全安全汇数、用数、管数、控数及审计等能力,结合共享开发区域的业务场景以及数据运营单位涉及的相关角色和人员,在数据采集、传输、存储及销毁的全生命周期中利用管理措施和技术服务手段,实现数据生命周期的数据安全保障。在数据生命周期过程中分析应用场景,利用数据识别与分类分级、数据脱敏、数据加密、数据权限管控、数据审计监控、数据流动监测等技术服务,切实保障数据安全,为数据安全目标提供技术手段和工具,保障了服务管理的有效执行,为数据安全建设提供可落地的技术管理手段。

  1. 数据资产识别及分类分级服务能力:提供全面捕获扫描数据、智能解析数据类型和含义、实现敏感数据梳理及数据分类分级,并以可视化的方式呈现资产发现和分类分级最终成果,支持对发现结果进行确认并同步到资产发现总览和分类分级总览。
  2. 数据防泄漏技术服务能力:包括数据防泄漏安全管理、网络数据防泄漏监测(DLP)。
  3. 数据加密技术服务能力:针对数据库节点相关敏感信息以及重要信息的数据加密,支持国密算法加密。
  4. 数据库安全状态监控服务能力:提供7*24小时实时监控数据库持续运行的保障服务,借助数据库安全运行监控工具,实现隐患感知,快速定位问题,提供快速简单的日常数据库运维工作。
  5. 数据权限访问控制技术服务能力:提供数据高权限管控、高危操作阻断、违规操作管控、可疑数据操作行为审计等。
  6. 数据安全审计技术服务能力:提供面向数据访问行为全程审计和监控,安全事件审计追溯。
  7. 数据脱敏技术服务能力:提供数据共享脱敏服务,包含数据脱敏服务及水印服务。服务过程能够实现数据共享脱敏,基于用户的请求进行实时数据脱敏,从而保障运维、应用系统、数据交换等业务场景下的数据安全。
  8. 数据流动风险监测服务能力:提供数据流动时的安全常态化监测和智能风险预警,包括应用API资产梳理、API接口敏感数据发现与监控、数据流动态势感知、数据流动风险监测等功能。

5、数据安全运营完善服务工作

提供常态化的数据安全运营服务工作,包括数据安全统一运营管理、数据访问权限稽查服务、数据安全应急响应服务、重大活动安全保障服务、数据安全监测预警服务、数据安全教育培训服务以及驻场服务等常态化运营内容。