運(yùn)營(yíng)商們快來(lái)get√，數(shù)據(jù)安全合規(guī)能力建設(shè)“秘籍”

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)法律、行政法規(guī)的規(guī)定，參照國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，履行數(shù)據(jù)安全保護(hù)義務(wù)，建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全計(jì)劃，實(shí)施數(shù)據(jù)安全技術(shù)防護(hù)，開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置安全事件，組織數(shù)據(jù)安全教育、培訓(xùn)。

——《數(shù)據(jù)安全管理辦法第六條》

隨著信息化大力發(fā)展，持續(xù)提升運(yùn)營(yíng)商“互聯(lián)網(wǎng)+”服務(wù)能力，運(yùn)營(yíng)商已經(jīng)較全面建立了信息化的業(yè)務(wù)系統(tǒng)。相對(duì)于普通的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，電信運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)更加復(fù)雜，大致可分為固網(wǎng)業(yè)務(wù)系統(tǒng)和移網(wǎng)業(yè)務(wù)系統(tǒng)。其中，固網(wǎng)業(yè)務(wù)系統(tǒng)可細(xì)分出統(tǒng)一平臺(tái)的綜合業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)平臺(tái)、企業(yè)信息化平臺(tái)、客服系統(tǒng)、郵件系統(tǒng)等，移網(wǎng)業(yè)務(wù)系統(tǒng)可細(xì)分出計(jì)費(fèi)系統(tǒng)、網(wǎng)上營(yíng)業(yè)廳系統(tǒng)、移動(dòng)辦公系統(tǒng)、短信系統(tǒng)、彩信系統(tǒng)、無(wú)線(xiàn)增值系統(tǒng)等。多種業(yè)務(wù)系統(tǒng)中都存儲(chǔ)著大量的數(shù)據(jù)，數(shù)據(jù)在個(gè)人終端存儲(chǔ)、內(nèi)部業(yè)務(wù)系統(tǒng)流轉(zhuǎn)、數(shù)據(jù)離網(wǎng)及外發(fā)等環(huán)境下都存在泄密的風(fēng)險(xiǎn)。在業(yè)務(wù)系統(tǒng)使用過(guò)程中也面臨被違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險(xiǎn)。

這些承載在各個(gè)業(yè)務(wù)系統(tǒng)上的數(shù)據(jù)資源，一方面是電信運(yùn)營(yíng)商長(zhǎng)期運(yùn)營(yíng)積累的寶貴財(cái)富，另一方面也是國(guó)家監(jiān)管部門(mén)監(jiān)督檢查的重點(diǎn)。無(wú)論是國(guó)家法律法規(guī)還是行業(yè)準(zhǔn)則，都對(duì)運(yùn)營(yíng)商數(shù)據(jù)安全監(jiān)管提出了明確的要求：

國(guó)家層面：《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等從法律制度層面對(duì)數(shù)據(jù)的安全提出了相關(guān)防護(hù)要求。

行業(yè)監(jiān)管：工信部網(wǎng)絡(luò)安全管理局下發(fā)《各省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》、工信部辦公廳下發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專(zhuān)項(xiàng)行動(dòng)》等規(guī)范都對(duì)數(shù)據(jù)安全的合規(guī)性建設(shè)提出了相關(guān)的要求。

·數(shù)據(jù)安全分類(lèi)分級(jí)

實(shí)施數(shù)據(jù)分類(lèi)分級(jí)管理，對(duì)數(shù)據(jù)處理活動(dòng)相關(guān)平臺(tái)系統(tǒng)進(jìn)行全面清查，輸出數(shù)據(jù)資源分類(lèi)分級(jí)清單;識(shí)別重要數(shù)據(jù)，形成重要數(shù)據(jù)清單。

·數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)

強(qiáng)化企業(yè)大數(shù)據(jù)安全重點(diǎn)技術(shù)能力建設(shè)和使用，具備對(duì)數(shù)據(jù)資產(chǎn)的識(shí)報(bào)送信息包括企業(yè)數(shù)據(jù)資別脫敏、接口安全管理、訪(fǎng)問(wèn)和操作行為安全審計(jì)等技術(shù)能力。

作為國(guó)內(nèi)新一代信息安全技術(shù)企業(yè)的代表廠(chǎng)商，明朝萬(wàn)達(dá)基于對(duì)數(shù)據(jù)安全領(lǐng)域的深入探索和研究，依托強(qiáng)大的技術(shù)產(chǎn)品實(shí)力，可為運(yùn)營(yíng)商提供多種自主研發(fā)的數(shù)據(jù)安全產(chǎn)品和相關(guān)安全服務(wù)，滿(mǎn)足運(yùn)營(yíng)商合規(guī)建設(shè)，提升數(shù)據(jù)安全防護(hù)能力。

數(shù)據(jù)分類(lèi)分級(jí)服務(wù)

明朝萬(wàn)達(dá)針對(duì)運(yùn)營(yíng)商行業(yè)對(duì)數(shù)據(jù)分類(lèi)分級(jí)需求，提供數(shù)據(jù)分類(lèi)分級(jí)服務(wù)。以運(yùn)營(yíng)商兩大分類(lèi)（用戶(hù)相關(guān)數(shù)據(jù)和企業(yè)自身數(shù)據(jù)），四級(jí)數(shù)據(jù)分級(jí)為數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，使用分類(lèi)分級(jí)工具通過(guò)自動(dòng)發(fā)現(xiàn)、數(shù)據(jù)錄入等方式對(duì)企業(yè)內(nèi)部數(shù)據(jù)庫(kù)資產(chǎn)進(jìn)行管理。同時(shí)支持對(duì)企業(yè)內(nèi)部服務(wù)器的非結(jié)構(gòu)化文件進(jìn)行管理。最終通過(guò)數(shù)據(jù)分類(lèi)分級(jí)服務(wù)輸出詳細(xì)的分類(lèi)分級(jí)清單。用戶(hù)可直觀(guān)感知敏感資產(chǎn)信息，為企業(yè)管理員人員的數(shù)據(jù)安全決策提供數(shù)據(jù)依據(jù)。

數(shù)據(jù)合規(guī)檢查服務(wù)

隨著數(shù)據(jù)安全法的頒布，運(yùn)營(yíng)商既要保護(hù)敏感數(shù)據(jù)資產(chǎn)的安全，符合監(jiān)管要求；又要在不改變現(xiàn)有業(yè)務(wù)流程的前提下快速部署實(shí)施，降低自身員工生產(chǎn)過(guò)程中使用數(shù)據(jù)資產(chǎn)的操作復(fù)雜度，提升生產(chǎn)效率。

針對(duì)上述問(wèn)題，明朝萬(wàn)達(dá)推出了Chinasec（安元）數(shù)據(jù)安全合規(guī)檢查工具。該工具支持用戶(hù)能夠?qū)?biāo)現(xiàn)有基礎(chǔ)的等保、數(shù)據(jù)安全法以及數(shù)據(jù)安全管理行業(yè)管理規(guī)定，提前對(duì)辦公終端電腦、服務(wù)器環(huán)境中的數(shù)據(jù)文件進(jìn)行合規(guī)性自檢。提前發(fā)現(xiàn)數(shù)據(jù)安全管理的風(fēng)險(xiǎn)并由用戶(hù)進(jìn)行響應(yīng)的合規(guī)性處置，幫助企業(yè)用戶(hù)平衡敏感數(shù)據(jù)資產(chǎn)的生產(chǎn)效率與合規(guī)風(fēng)險(xiǎn)。

數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)

在網(wǎng)絡(luò)與數(shù)據(jù)資源高度融合的環(huán)境下，圍繞數(shù)據(jù)全生命周期，從采集、傳輸、存儲(chǔ)、處理、共享、銷(xiāo)毀等環(huán)節(jié)，以數(shù)據(jù)為核心，形成覆蓋“云、網(wǎng)、應(yīng)用、數(shù)據(jù)、終端”的一體化安全服務(wù)，實(shí)現(xiàn)主動(dòng)防御數(shù)據(jù)安全防護(hù)體系能力。

實(shí)現(xiàn)成果

·滿(mǎn)足監(jiān)管要求

數(shù)據(jù)安全防護(hù)服務(wù)提供多種安全能力，貫徹落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)及標(biāo)準(zhǔn)，以防濫用、防泄露作為數(shù)據(jù)安全核心需求，實(shí)現(xiàn)針對(duì)數(shù)據(jù)全生命周期的分類(lèi)分級(jí)、數(shù)據(jù)識(shí)別、安全審計(jì)、防泄漏等安全技術(shù)，響應(yīng)《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)（2020年）》中的基礎(chǔ)性評(píng)估要點(diǎn)、數(shù)據(jù)生命周期評(píng)估要點(diǎn)以及技術(shù)能力評(píng)估要點(diǎn)的技術(shù)內(nèi)容。符合《各省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》中的實(shí)施數(shù)據(jù)分類(lèi)分級(jí)管理和強(qiáng)化企業(yè)大數(shù)據(jù)安全重點(diǎn)技術(shù)能力建設(shè)標(biāo)準(zhǔn)，滿(mǎn)足運(yùn)營(yíng)商數(shù)據(jù)安全監(jiān)管要求。

·應(yīng)對(duì)業(yè)務(wù)需求

因工作需要從支撐系統(tǒng)、業(yè)務(wù)平臺(tái)或通信系統(tǒng)中提取的文件包含敏感數(shù)據(jù)時(shí)，從技術(shù)手段上防止其被泄漏?？刹捎玫募夹g(shù)手段包括文件內(nèi)容加密、數(shù)字水印、數(shù)字簽名、文件打開(kāi)次數(shù)限制、文件修改權(quán)限限制、文件打開(kāi)終端限制等。以業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全為核心目標(biāo)，貼近用戶(hù)使用場(chǎng)景，為用戶(hù)構(gòu)建整套立體數(shù)據(jù)防泄密體系。

·提升數(shù)據(jù)防護(hù)

以數(shù)據(jù)為中心，建立覆蓋運(yùn)營(yíng)商數(shù)據(jù)生命周期安全防護(hù)機(jī)制。在采集、傳輸、存儲(chǔ)、處理、共享、銷(xiāo)毀等環(huán)節(jié)，提供相應(yīng)的數(shù)據(jù)安全保護(hù)服務(wù)。（如數(shù)據(jù)分類(lèi)分級(jí)、訪(fǎng)問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、用戶(hù)行為分析等），滿(mǎn)足數(shù)據(jù)全生命周期不同階段的安全需求，全方位提升核心應(yīng)用、業(yè)務(wù)及數(shù)據(jù)數(shù)據(jù)安全防護(hù)能力，有效應(yīng)對(duì)外部攻擊和內(nèi)部泄露，構(gòu)建面向數(shù)字時(shí)代的新一代主動(dòng)防護(hù)安全體系。