運(yùn)營商們快來get√，數(shù)據(jù)安全合規(guī)能力建設(shè)“秘籍”

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照有關(guān)法律、行政法規(guī)的規(guī)定，參照國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，履行數(shù)據(jù)安全保護(hù)義務(wù)，建立數(shù)據(jù)安全管理責(zé)任和評價考核制度，制定數(shù)據(jù)安全計劃，實施數(shù)據(jù)安全技術(shù)防護(hù)，開展數(shù)據(jù)安全風(fēng)險評估，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置安全事件，組織數(shù)據(jù)安全教育、培訓(xùn)。

——《數(shù)據(jù)安全管理辦法第六條》

隨著信息化大力發(fā)展，持續(xù)提升運(yùn)營商“互聯(lián)網(wǎng)+”服務(wù)能力，運(yùn)營商已經(jīng)較全面建立了信息化的業(yè)務(wù)系統(tǒng)。相對于普通的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，電信運(yùn)營商的業(yè)務(wù)系統(tǒng)更加復(fù)雜，大致可分為固網(wǎng)業(yè)務(wù)系統(tǒng)和移網(wǎng)業(yè)務(wù)系統(tǒng)。其中，固網(wǎng)業(yè)務(wù)系統(tǒng)可細(xì)分出統(tǒng)一平臺的綜合業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)平臺、企業(yè)信息化平臺、客服系統(tǒng)、郵件系統(tǒng)等，移網(wǎng)業(yè)務(wù)系統(tǒng)可細(xì)分出計費(fèi)系統(tǒng)、網(wǎng)上營業(yè)廳系統(tǒng)、移動辦公系統(tǒng)、短信系統(tǒng)、彩信系統(tǒng)、無線增值系統(tǒng)等。多種業(yè)務(wù)系統(tǒng)中都存儲著大量的數(shù)據(jù)，數(shù)據(jù)在個人終端存儲、內(nèi)部業(yè)務(wù)系統(tǒng)流轉(zhuǎn)、數(shù)據(jù)離網(wǎng)及外發(fā)等環(huán)境下都存在泄密的風(fēng)險。在業(yè)務(wù)系統(tǒng)使用過程中也面臨被違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險。

這些承載在各個業(yè)務(wù)系統(tǒng)上的數(shù)據(jù)資源，一方面是電信運(yùn)營商長期運(yùn)營積累的寶貴財富，另一方面也是國家監(jiān)管部門監(jiān)督檢查的重點(diǎn)。無論是國家法律法規(guī)還是行業(yè)準(zhǔn)則，都對運(yùn)營商數(shù)據(jù)安全監(jiān)管提出了明確的要求：

國家層面：《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等從法律制度層面對數(shù)據(jù)的安全提出了相關(guān)防護(hù)要求。

行業(yè)監(jiān)管：工信部網(wǎng)絡(luò)安全管理局下發(fā)《各省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評分標(biāo)準(zhǔn)》、工信部辦公廳下發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項行動》等規(guī)范都對數(shù)據(jù)安全的合規(guī)性建設(shè)提出了相關(guān)的要求。

·數(shù)據(jù)安全分類分級

實施數(shù)據(jù)分類分級管理，對數(shù)據(jù)處理活動相關(guān)平臺系統(tǒng)進(jìn)行全面清查，輸出數(shù)據(jù)資源分類分級清單;識別重要數(shù)據(jù)，形成重要數(shù)據(jù)清單。

·數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)

強(qiáng)化企業(yè)大數(shù)據(jù)安全重點(diǎn)技術(shù)能力建設(shè)和使用，具備對數(shù)據(jù)資產(chǎn)的識報送信息包括企業(yè)數(shù)據(jù)資別脫敏、接口安全管理、訪問和操作行為安全審計等技術(shù)能力。

作為國內(nèi)新一代信息安全技術(shù)企業(yè)的代表廠商，明朝萬達(dá)基于對數(shù)據(jù)安全領(lǐng)域的深入探索和研究，依托強(qiáng)大的技術(shù)產(chǎn)品實力，可為運(yùn)營商提供多種自主研發(fā)的數(shù)據(jù)安全產(chǎn)品和相關(guān)安全服務(wù)，滿足運(yùn)營商合規(guī)建設(shè)，提升數(shù)據(jù)安全防護(hù)能力。

數(shù)據(jù)分類分級服務(wù)

明朝萬達(dá)針對運(yùn)營商行業(yè)對數(shù)據(jù)分類分級需求，提供數(shù)據(jù)分類分級服務(wù)。以運(yùn)營商兩大分類（用戶相關(guān)數(shù)據(jù)和企業(yè)自身數(shù)據(jù)），四級數(shù)據(jù)分級為數(shù)據(jù)分類分級標(biāo)準(zhǔn)，使用分類分級工具通過自動發(fā)現(xiàn)、數(shù)據(jù)錄入等方式對企業(yè)內(nèi)部數(shù)據(jù)庫資產(chǎn)進(jìn)行管理。同時支持對企業(yè)內(nèi)部服務(wù)器的非結(jié)構(gòu)化文件進(jìn)行管理。最終通過數(shù)據(jù)分類分級服務(wù)輸出詳細(xì)的分類分級清單。用戶可直觀感知敏感資產(chǎn)信息，為企業(yè)管理員人員的數(shù)據(jù)安全決策提供數(shù)據(jù)依據(jù)。

數(shù)據(jù)合規(guī)檢查服務(wù)

隨著數(shù)據(jù)安全法的頒布，運(yùn)營商既要保護(hù)敏感數(shù)據(jù)資產(chǎn)的安全，符合監(jiān)管要求；又要在不改變現(xiàn)有業(yè)務(wù)流程的前提下快速部署實施，降低自身員工生產(chǎn)過程中使用數(shù)據(jù)資產(chǎn)的操作復(fù)雜度，提升生產(chǎn)效率。

針對上述問題，明朝萬達(dá)推出了Chinasec（安元）數(shù)據(jù)安全合規(guī)檢查工具。該工具支持用戶能夠?qū)?biāo)現(xiàn)有基礎(chǔ)的等保、數(shù)據(jù)安全法以及數(shù)據(jù)安全管理行業(yè)管理規(guī)定，提前對辦公終端電腦、服務(wù)器環(huán)境中的數(shù)據(jù)文件進(jìn)行合規(guī)性自檢。提前發(fā)現(xiàn)數(shù)據(jù)安全管理的風(fēng)險并由用戶進(jìn)行響應(yīng)的合規(guī)性處置，幫助企業(yè)用戶平衡敏感數(shù)據(jù)資產(chǎn)的生產(chǎn)效率與合規(guī)風(fēng)險。

數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)

在網(wǎng)絡(luò)與數(shù)據(jù)資源高度融合的環(huán)境下，圍繞數(shù)據(jù)全生命周期，從采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)，以數(shù)據(jù)為核心，形成覆蓋“云、網(wǎng)、應(yīng)用、數(shù)據(jù)、終端”的一體化安全服務(wù)，實現(xiàn)主動防御數(shù)據(jù)安全防護(hù)體系能力。

實現(xiàn)成果

·滿足監(jiān)管要求

數(shù)據(jù)安全防護(hù)服務(wù)提供多種安全能力，貫徹落實《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)及標(biāo)準(zhǔn)，以防濫用、防泄露作為數(shù)據(jù)安全核心需求，實現(xiàn)針對數(shù)據(jù)全生命周期的分類分級、數(shù)據(jù)識別、安全審計、防泄漏等安全技術(shù)，響應(yīng)《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點(diǎn)（2020年）》中的基礎(chǔ)性評估要點(diǎn)、數(shù)據(jù)生命周期評估要點(diǎn)以及技術(shù)能力評估要點(diǎn)的技術(shù)內(nèi)容。符合《各省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評分標(biāo)準(zhǔn)》中的實施數(shù)據(jù)分類分級管理和強(qiáng)化企業(yè)大數(shù)據(jù)安全重點(diǎn)技術(shù)能力建設(shè)標(biāo)準(zhǔn)，滿足運(yùn)營商數(shù)據(jù)安全監(jiān)管要求。

·應(yīng)對業(yè)務(wù)需求

因工作需要從支撐系統(tǒng)、業(yè)務(wù)平臺或通信系統(tǒng)中提取的文件包含敏感數(shù)據(jù)時，從技術(shù)手段上防止其被泄漏?？刹捎玫募夹g(shù)手段包括文件內(nèi)容加密、數(shù)字水印、數(shù)字簽名、文件打開次數(shù)限制、文件修改權(quán)限限制、文件打開終端限制等。以業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全為核心目標(biāo)，貼近用戶使用場景，為用戶構(gòu)建整套立體數(shù)據(jù)防泄密體系。

·提升數(shù)據(jù)防護(hù)

以數(shù)據(jù)為中心，建立覆蓋運(yùn)營商數(shù)據(jù)生命周期安全防護(hù)機(jī)制。在采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)，提供相應(yīng)的數(shù)據(jù)安全保護(hù)服務(wù)。（如數(shù)據(jù)分類分級、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、用戶行為分析等），滿足數(shù)據(jù)全生命周期不同階段的安全需求，全方位提升核心應(yīng)用、業(yè)務(wù)及數(shù)據(jù)數(shù)據(jù)安全防護(hù)能力，有效應(yīng)對外部攻擊和內(nèi)部泄露，構(gòu)建面向數(shù)字時代的新一代主動防護(hù)安全體系。