奇安信推出個人信息保護解決方案 實現全生命週期防護
(原標題:奇安信推出個人信息保護解決方案 實現全生命週期防護)
11月23日,以“數字賦能共創未來——攜手構建網絡空間命運共同體”爲主題的“世界互聯網大會·互聯網發展論壇”在烏鎮開幕。其中,主論壇聚焦全球網絡空間發展新熱點和新趨勢,圍繞“數字經濟與科技抗疫”展開了熱烈的探討。
“中國抗疫成功經驗有兩條:一是黨和政府的英明領導,二是數字技術的廣泛應用”。奇安信董事長齊向東在主論壇演講中表示,誠然,數字技術不僅僅輔助流行病學調查,追蹤疑似病例,而且還滲入了生活中的方方面面,最大程度滿意了疫情期間的工作生活。然而,數字技術的大範圍應用帶來了公民個人隱私數據的集中,這就在一定程度上加大了數據泄露的風險。
另一方面,隨着《中華人民共和國個人信息保護法(草案)》(簡稱“草案”)的正式公佈,個人信息處理過程中的行爲主體、相關違法行爲及懲罰力度做出了明確的規定。政企機構將面對最高可達5000萬元(或者不超過年營收5%)的罰款,個人信息保護的壓力陡然增加。
作爲新一代網絡安全領軍企業,奇安信基於內生安全框架和全生命週期大數據安全保護能力,正式推出了奇安信個人信息保護解決方案,通過識別、防護、檢測、響應恢復的閉環設計,幫助政企機構做好個人信息的監測與保護。
愈加嚴格的合規監管
據奇安信數據安全專家介紹,關於個人信息安全相關違法行爲主要包括兩類,第一類是對於個人信息的非法採集和使用;第二類是對於存儲的個人信息保護不力。
最新統計數據顯示,截至2020年6月,我國網民規模達9.4億,手機網民規模達9.32億,網站數量爲468萬個,App數量有359萬個。面對如此海量的應用,個別信息處理者從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,已經嚴重危害到人民羣衆的生活安寧、生命健康和財產安全。
對此,“草案”對個人信息處理活動中個人的各項權利進行了明確,包括知情權、決定權、查詢權、更正權、刪除權等,並要求個人信息處理者建立個人行使權利的申請受理和處理機制。
與此同時,“草案”明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定製定內部管理制度和操作規程,採取相應的安全技術措施,並指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。
“草案進一步規範了個人信息的定義、個人的權利、個人信息處理者的義務、履行個人信息保護職責的部門,並明確了違反個人信息保護法的懲處力度(最高處以5000萬元以下或者上一年度營業額5%以下的罰款)。”奇安信數據安全專家說,個人信息保護應受到空前的重視。
以內生安全框架規劃個人信息保護
“個人信息安全的防護體系需要結合法規及業務業務需求,從頂層視角出發,支撐各行業的建設模式從局部整改外掛式走向深度融合體系化。”奇安信數據安全專家說,在新形勢和新環境下,傳統防護手段已經失效,需要用內生安全來保障個人信息安全。內生安全框架能指導不同行業輸出符合其特點的體系化、實戰化的網絡安全架構;通過分解爲可落地實施的“十大工程五大任務”,推動個人信息保護等不同場景安全體系的規劃、建設和運行。
作爲第五大工程,“面向大數據應用的數據安全防護”明確指出,數據集中導致風險集中,數據流轉產生更多攻擊面。應基於數據全生命週期及數據應用場景,開展數據安全防護工作,保障大數據採集、存儲、傳輸、處理、使用、共享開放、銷燬安全。
基於該能力框架,奇安信推出了個人信息保護解決方案,針對政企機構的個人信息安全保護做了完整的內生安全設計,涉及隱私衛士、數據防泄漏、天擎終端安全管理系統、安全訪問代理、應急響應、安全教育等多款產品和服務,通過識別、防護、檢測、響應恢復的閉環流程,幫助政企機構做好個人信息的監測與保護。
個人信息保護三步走
奇安信數據安全專家強調,個人信息保護解決方案落地,至少包括個人信息治理、業務運行過程控制、階段性專項治理三個步驟。
第一步,個人信息治理。個人信息治理通常需要達成四個基本目標,促進有效且合規使用個人信息,爲客戶提供高質量的服務;鼓勵員工緊密合作,避免重複工作,以便更有效的利用資源;形成制度併爲員工提供適當的工具及支持,以便他們高質量、一致性的執行策略;讓組織能夠了解個人信息保護水平及問題,以便進行更加有效的改進。
想要達成上述四個基本目標,首先就要完成內部審計,並且追蹤每一條信息的來源和去向,它即從個人信息治理的角度,識別業務涉及的個人信息(相關個人敏感信息的判定參考 GB/T 35273 ),對個人隱私的影響,並提出降低或者消除這些影響的建議。
其次是進行風險評估,從而制定整體策略。一旦確定了風險,就應該審查現有的信息安全控制(虛擬和物理),以確定它們是否足以緩解風險。考慮到業務流程、信息、人員、應用程序和基礎架構會不斷髮生變化,所以伴隨着技術和安全風險局面的不斷髮展,企業事業單位應該定期審查和監控個人信息安全控制策略。
在完成了內部審計和風險評估的基礎上,依據內部審計及風險評估結果,進一步梳理各個業務場景中個人信息使用的全生命週期,對各個環節落實制定相關策略、工具、措施(詳見後述業務運行過程控制章節)等,如下爲某單位個人信息處理流程及表單示例。
第二步,業務運行過程控制。奇安信數據安全專家強調,依據不同的業務場景,個人信息控制措施各有不同,因此需要明確您的業務需要獲取和已經獲取了哪些個人信息,避免信息的過度採集,並對必要信息實現全生命週期防護。當然,數據安全沒有絕對,因此政企機構還應制定並提前演練應急響應措施。
針對目前廣泛存在的信息過度採集,奇安信網神隱私衛士可對個人信息採集的方式(自身採集/第三方採集)、使用權限(自身使用/第三方使用)、採集頻率、是否出境、是否與隱私政策描述實質符合等進行合規檢測,覆蓋收集規則、使用規則、條款狀態、用戶權益等7個類別,50多個檢測項,並且具備可擴展的檢測能力。
針對終端層面的個人信息安全防護,奇安信天擎終端安全管理系統能夠及時阻斷違反政企機構的個人信息保持策略的外部連接,還可以收效取證,協助抓獲內鬼交易的黑手。該系統不僅準確性高,更能適應涉密單位的高安全要求。
同時,奇安信安全代理服務器對網頁傳輸的內容、聊天工具傳輸內容、郵件傳輸內容以及個人信息竊取工具進行實時安全防護,既能防止內部敏感內容外傳,也能夠抵擋外部惡意信息竊取行爲,高效保障業務順暢穩定運行。
另外在數據層面,作爲奇安信個人信息保護解決方案核心產品,奇安信網神數據防泄漏系統能夠幫助政企單位進行數據安全治理,自動化發現敏感數據並集中展示,全面跟蹤數據使用過程,進而及時發現內部人員異常訪問行爲並自動分析,然後基於業務流程及安全策略進行自動處置,第一時間避免大規模數據泄露。
與此同時,爲進一步降低內部員工泄露數據的風險,針對權限過高的賬戶,奇安信特權帳號管理系統及特權會話管理系統能夠幫助政企機構全生命週期的實施特權帳號管理工作,在降低內部特權賬號安全風險的同時,更能防範外部攻擊者利用泄露的特權賬號進行敏感數據竊取,有效防範個人信息泄露。
需要注意的是,數據在使用和流轉的過程中,應保證最小化使用原則。奇安信網神數據脫敏系統在進行數據脫敏處理全過程中保持數據不落地的原則,提高數據使用安全鏈條的完整性,並且具備靈活的脫敏方案,滿足數據分析、開發測試、數據共享、數據發佈等場景需求。
第三步,階段性專項治理
個人信息保護應該安排適當的培訓、資源配置和管理重點,進而在政企單位員工中培養一種個人信息安全文化。另外還可以有針對性的展開專項治理工作,包括信息泄露事情處置完成之後,即刻展開機會教育,以及結合國家法規宣傳,或者在合適的業務階段、時刻,進行配合宣傳。
除了大力開展安全意識教育以外,還應當定期開展實戰攻防演練。近年來,各行業實戰攻防演練日益頻繁,主要是爲了驗證安全防護能力,評估安全防護執行程度,發現安全防護盲區,舉證安全隱患及其危害,給出整改意見並進行有針對性的加固或者整體改善建議,同時對安全意識宣傳也是個很好契機。
當然,萬一政企機構發生個人信息泄露事件,還可以直接尋求奇安信CERT和奇安信安全服務團隊的幫助。
據介紹,奇安信CERT致力於藉助技術創新,爲各主流企業級應用軟件/系統做好漏洞監測,能夠爲企業級用戶提供高危漏洞、重大安全事件安全風險通告和相關產品解決方案。尤其是在突發公共事件或重大活動保障中,將投入精兵強將實時響應。
奇安信安全服務團隊以攻防技術爲核心,聚焦威脅檢測和響應,通過提供諮詢規劃、威脅檢測、攻防演習、持續響應、預警通告、安全運營等一系列實戰化的服務。奇安信多次承擔國家級的重大活動網絡安全保障工作,擁有穩定可靠的網絡安全服務體系——全維度管控、全網絡防護、全天候運行、全領域覆蓋、全兵種協同、全線索閉環。