来源:中孚信息官微 时间:2023-05-18 16:20:33
烟草行业作为国民经济体系中重要的组成部分之一,加快推进行业数字化转型,充分发挥数据价值对行业发展的叠加作用,是烟草行业实现高质量发展,有力支撑国民经济的重要举措。当前,烟草行业已经形成了业务横线联通、上下级纵向贯通的基础现状。但随着数字化转型的深入推进,数据交换共享需求激增,进一步加大了行业敏感数据及个人隐私数据泄露的安全风险。因此,在安全合规的前提下,推进数据治理与应用,已成为烟草行业的重要任务。
(资料图)
2023年初,“全国烟草行业网络安全和信息化工作会议”在湖南长沙召开,会议指出“要切实筑牢行业大安全屏障,增强平台安全防控,突出数据安全保护,注重信创技术应用,强化网络意识形态安全,实现行业高质量发展和高水平安全的良性互动”,再次强调了确保数据安全的重要性。
全维度、全周期、全场景的数据安全设计思路
中孚信息(300659)以国家监管要求、行业标准规范、行业业务特性为基础,以满足合规监管要求及切实提升数据安全能力为目标,针对业务开发、业务测试、业务运维、业务应用、共享交换、要素流通等业务场景,综合考虑组织、制度、技术、人员等多维度影响因素,覆盖数据采集、存储、传输、处理、交换、销毁全生命周期,通过管理体系保障、数据安全评估、安全策略规划、数据安全防护、数据安全运营5个关键步骤的实施,体系化完善数据安全建设并形成持续优化的安全能力。
“1+4+X”数据安全总体框架
中孚信息“1+4+X”数据安全架构:从数据安全治理角度出发,以业务系统的重要数据资产为核心,通过厘清数据资产,研判数据及其在流动过程中的风险问题,优化数据安全组织体系和管理体系,建立“端管边云脑”数据安全体系,实施全生命周期防护,并以防护与监管一体化为目标,打造数据安全态势感知平台,叠加数据安全运营服务,对数据安全态势全面监控、安全威胁实时预警、安全事件及时处置,最终建成自适应的数据安全体系,达到数据可见、风险可控、安全可护、资产可管的安全效果。
“1”即一个数据安全态势平台;
“4”即数据安全组织体系、数据安全管理体系、数据安全防护体系、数据安全运营体系4个数据安全体系;
“X”即多重安全能力,如数据资产梳理、数据分类分级、访问控制、隐写溯源、动静态脱敏、数据加密等多重数据安全能力。
数据安全建设内容
中孚信息以数据安全治理为基础理念,以DSMM等标准为依托,以风险管控为目标,从数据安全组织体系、管理体系、防护体系及安全运营体系四个维度进行数据安全建设方案的制定。
(一)数据安全组织体系
完善数据安全组织架构是明确数据安全 “谁来干”的关键。组织架构分为4层。
决策层:制定数据安全顶层规划,并对数据安全工作做出决策,指导管理层工作的开展。
管理层:负责数据安全治理体系建设工作。
执行层:负责具体数据安全治理工作的落地实施。
监督层:对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层。
(二)数据安全管理体系
规范制度流程是统一数据安全意识与标准的关键,是明确数据安全“怎么干”的重要工作。
数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
(三)数据安全防护体系
制定数据安全建设方案是落实数据安全工作“干什么”的关键。基于组织全量数据发现、敏感数据识别、数据分类分级以及数据安全风险评估等前置服务,依据组织面临的风险问题,以敏感数据为核心,从信任基础、数据全生命周期防护、态势感知等三方面进行技术方案制定。
一是围绕密码应用、身份授权与管理,夯实信任基础;
二是通过安全沙箱、DLP、API审计、数据库加密、数据库静态/动态脱敏、数据库防火墙、数据库审计、电子文档安全管理等多技术组合或复用,强化数据全生命周期安全防护;
三是打造数据安全态势感知平台,对数据安全现状和风险进行实时监测预警,有效提升安全事件响应能力。
(四)数据安全运营体系
数据安全运营服务是保障和验证数据安全工作“干的如何”的重要支撑。将安全咨询服务、数据安全资产勘探、数据安全风险评估、数据安全检查、安全测试、攻防对抗、安全培训等安全运营能力渗透在数据安全建设的各个环节,形成资产梳理、底账建立、风险识别、组织完善、制度规范、体系定制、能力培养、运营持续的资产管理闭环,深度参与客户数据安全体系规划建设。
通过上述方案与服务的实施,可显著提升敏感数据识别与定位、数据分类分级、数据风险分析、数据安全审计稽核、数据资产生命周期监测、数据资产热度分析、数据安全运营管理、用户与实体数据访问监测等能力,一站式解决了数据资产管理与应用过程、漏洞信息、运行事件、安全事件、网络行为等安全风险与合规问题。
当前,中孚信息已服务多个省市级烟草行业单位,将数据安全与烟草行业、等保2.0标准深度融合,打造覆盖数据全生命周期的“端管边云脑”的数据安全体系,持续沉淀具有烟草行业特征的分析预测模型,为客户提供精准的深度安全分析、用户实体分析、风险预测等综合能力,并通过驻场运营或自运营持续保障数据安全,确保高风险事件得到及时告警、排查和处置,构建“事前防范、事中监测、事后响应”的安全能力闭环,助力烟草行业“大安全”战略的加快推进。
关键词:
“少年航天科普特训营”举行,VR空间站引关注