ESA F E N E T 11 月 刊 亿赛通企业月刊 中国数据安全专家 www.esafenet.com 2021 年共 11 期 亿赛通连续三年入选安全牛百强榜单,持续领跑数据安全细 分领域 亿赛通与神州数码达成合作,携手共进共掘安全蓝海 中国信通院云大所领导一行莅临亿赛通,携手整合技术优势, 开展合作交流 亿赛通与麒麟软件完成兼容认证,国产化征途又添新伙伴 政策 | 《网络数据安全管理条例(征求意见稿)》八大亮点专家详解 新闻播报 | 一周网络安全新闻精选 关注企业官方微信
Esafenet Monthly magazines 中国数据安全专家 主办:亿赛通 本刊为亿赛通企业月刊,欢迎交流,禁止转载 策划:市场部 北京亿赛通科技发展有限责任公司 地址:北京市海淀区西二旗大街 39 号 A 座四层 电话:86-10-57933600 传真:86-10-57933600 咨询热线:400-898-1617 网址:www.esafenet.com
CONTENTS 目录 刊首语 PREFACE 2/3 《亿赛通十一月刊》专业 BUFF 加持,揭露独家企业数据安全治理 秘籍 行业聚焦 INDUSTRY FOCUS 4-8 国内行业新闻 9-13 国外行业新闻 亿赛通动态 ESAFENET NEWS 14/15 亿赛通与麒麟软件完成兼容认证,国产化征途又添新伙伴 16/17 国家支持,官方认定,亿赛通入选北京市“专精特新”中小企业 18/19 洞悉态势、守护安全 | 亿赛通数据安全态势感知平台详解 20/21 亿赛通连续三年入选安全牛百强榜单,持续领跑数据安全细分领域 22/23 亿赛通与神州数码达成合作,携手共进共掘安全蓝海 24/25 中国信通院云大所领导一行莅临亿赛通,携手整合技术优势,开展 合作交流 26/27 关基安全防护引热议,安全保护研讨沙龙亿赛通明确关基保护核心 28/29 如何做好数据安全治理?亿赛通专家来支招 亿赛通小贴士 ESAFENET PROMPT 30-35 《个人信息保护法》已实施,信息安全步入法制快车道 36/37 政策 | 《网络数据安全管理条例(征求意见稿)》八大亮点专家详 解 38/39 新闻播报 | 一周网络安全新闻精选 典型案例 TYPICAL CASES 40/41 徐工集团项目解决方案 42/43 海关总署数据泄露防护解决方案
刊首语 PREFACE 刊首语 2
刊首语 PREFACE 《亿赛通十一月刊》专业 BUFF 加持,揭露独家企业 数据安全治理秘籍 近年来,随着我国信息化程度的不断提高,政府部门、企事业单位对信息 系统的依赖程度也日益增强,信息安全风险管理受到了普遍关注。对企业来说, 数据的安全与非安全之间,其实只隔了一道“磨砂玻璃墙”——或者看不清, 或者一击即破。 对厂商来说,自《数据安全法》实施一来,各项法律条文陆续发布,“数 据安全治理”再次火爆安全圈。本月,亿赛通多次进行“数据安全治理”相关 分享,从政策法规、技术创新、行业格局、理念扩散等方面,阐述了数据安全 治理对企事业单位发展数字经济的重要性以及必要性,强调了数据是数字经济 的合规性关键内容,全面加速数字化转型,是新时期企业生存和发展的必然选 择。《亿赛通十一月刊》详细解析数据安全治理、《网络数据安全管理条例》, 为企业数字安全提供新方向。 3
行业聚焦 INDUSTRY FOCUS 国 内 1. 靖江某营业厅工作人 2、当当网回应用户个人 员非法销售用户验证码, 账户错乱:小漏洞,并非 3000 余条个人信息遭泄 个人隐私泄露 露 摘要:2021 年 11 月 19 日消息,身处东部 某省份的王某反映,双十一在当当网购买商品每 次领券下单都会变成其他人的购物车,有时候提 交订单支付时收货人、地址、电话、所购商品、 支付的钱数也变成了别人的,如果支付就相当于 给别人付款了,甚至更改密码都是别人的手机号 接收验证码,这种情况持续了很多天。 摘要:日前,市公安局经过数月缜密侦查,破获 一起侵犯公民个人信息罪,抓获犯罪嫌疑人 4 人。 4
行业聚焦 INDUSTRY FOCUS 3、杜新枝拟将许妈以及多位主播以泄露病历 隐私等罪名告上法庭 摘要:这几天,“二八事件”连续曝出新消息, 在网络上荡起层层涟漪,引发纷争不断,大有山雨 欲来风满楼之势。昨晚,许敏哥哥在网络平台上忽 然发布了一篇作品,内容顿时引发了网友的关注。 原来,这是一篇草拟的起诉书,以泄露病历涉嫌侵 犯他人隐私等罪名,将淮河医院、许妈、以及支持 她的“猫妈 45”、“大眼睛”、“犀利大王”、“穷 游小峰”等一众主播网友提告。 4、双 11 塌房事件反转:当事人出面道歉, 明星隐私泄露令人担忧 摘要:11 月 10 日,十多位年轻艺人被爆出 用个人身份信息买了一枚一生只能买一次的婚戒。 消息一出,娱乐圈哗然,粉丝炸锅。宋威龙通过社 交账号澄清此事,称自己还在剧组拍戏中,没有做 过爆料中的内容。而焉栩嘉的回应则更加硬气,直 接将所谓的爆料图片加上一个“假”字发出,同时 还明确表示,停止造谣和传播,保留使用法律手段 追究的权利。 5
行业聚焦 INDUSTRY FOCUS 5、建行行长泄露客户信息, 判刑三年 摘要:近日,原中国建设银行城建支行行长沈某,被宁 波银保监局处以从业禁止五年的行政处罚,此前沈某因犯侵 犯公民个人信息罪被余姚法院判处有期徒刑三年,缓刑三年, 并处罚金人民币六千元。 6、腾讯官方回应“云 数据泄露”传闻 摘要:11 月 25 日消息,今日有传闻称“腾讯云 数据库泄露”。对此,腾讯在其“鹅厂黑板报”微信公 众号发文回应称,是谣言。在相关群截图中,出现诸如“腾 讯云数据库泄露”“网信办拉了个腾讯云大客户列表, 正在挨个打电话核查”“风传鹅厂数据库已泄露 ... 部分 国企事业单位已经开始从微信撤退”等传闻,腾讯官方 都予以回应是谣言。 6
行业聚焦 INDUSTRY FOCUS 7、【护网 2021】保定网警组织多地网警 开展网络安全检查活动 摘要:为进一步加强我市网络安全管理,做好做实网络安全基础工作,切实提高企事业单位网站及信息系统的安全性、 可预防性。近日,保定网警组织徐水、满城、阜平、涞水、易县、清苑、高碑店、博野、高阳网安部门开展网络安全执法 检查活动,督促各企事业单位落实网络安全等级保护制度和安全保护技术措施,最大限度消除网络安全隐患。 8、陕西拟为大数据应用立法:企业不得 擅自留存、使用、泄露政务数据 摘要:11 月 24 日,省十三届人大常委 会第二十九次会议举行分组审议,审议了陕 西省人民政府关于提请审议《陕西省大数据 发展应用条例 ( 草案 )》的议案、说明及省人 大财政经济委员会审议意见的报告。《条例 ( 草案 )》规定,政务部门不得过度收集公民、 法人和其他组织的数据,企业不得擅自留存、 使用、泄露政务数据。 7
行业聚焦 INDUSTRY FOCUS 9、内幕消息是否泄露终被盘问 这公司直言: 可能涉嫌内幕交易 摘要:11 月 29 日晚间,深交所向鞍重股 份下发关注函,深交所在关注函中要求鞍重股 份说明公司收购某公司股权事项的信息保密工 作情况、是否及时履行信息披露义务、是否存在 内幕信息泄露情形,同时提供内幕信息知情人名 单。据了解,11 月 28 日,鞍重股份披露《关于 公司股价异动公告》称,为进一步延伸产业链条、 优化产业结构,公司正在筹划收购某公司股权事 项,该公司业务领域为非金属选矿,矿产品加工、 销售等。值得一提的是,公司披露上述消息之前, 鞍重股份在 11 月 22 日 -26 日这 5 个交易日走 出了 4 个涨停板,区间累计涨幅达 38.52%。 10、二维码挪车“神器” 能防泄露隐私?律师:得 防商家挪用个人信息 摘要:在电商平台搜索“扫码挪车”,有不少 商家都在售卖一种带有“二维码”的车贴或纸牌,价 格多在几元至十几元不等。但经营此类业务的商家也 存在收集买家信息和如何保障数据安全的问题。虽然 规避了直接暴露自己手机号的风险,但也要防范商 家在后台收集个人电话这类私人信息后挪作他用的情 况。而且,这整个小程序系统在技术层面难以确定是 否存在技术漏洞。若将收集到的个人信息贩卖给他人, 情节严重的可能会以出售、非法提供公民个人信息罪 被追究刑事责任。 8
行业聚焦 INDUSTRY FOCUS 外 国 1、GoDaddy 向 SEC 披露黑客 入侵事件 120 万账户信息被泄露 摘要:网络注册与托管服务商 GoDaddy 刚刚向美国证券交易委员会(SEC)披露了一起黑客入侵事件,发现有“未 经授权的第三方”获得了对其 WordPress 托管环境的访问权限。事件导致多达 120 万用户的电子邮件地址和客户编号、平 台上托管的两个 WordPress 站点的管理员密码,以及 sFTP、数据库和 SSL 私钥的密码等信息被泄露。 2、猖狂!美国 FBI 遭黑客攻击,超 10 万人收到垃 圾邮件!这家零佣金券商也被攻击,超 700 万用户 数据泄露 摘要:11 月 13 日,美国联邦调查 局(FBI)发布声明称,有黑客攻击其网 络服务器,并使用带有 FBI 域名的电子 邮件地址向数千个组织发送了电子邮件。 另据美媒报道,一名黑客通过 FBI 邮件 服务器向至少 10 万人发送了垃圾邮件, 目前尚不清楚黑客的动机。 9
行业聚焦 INDUSTRY FOCUS 3、涉数十万人信息!德国柏林 新冠检测点数据遭泄露 摘要:11 月 10 日,根据安全研究人员的调查结果,德国柏林数个新冠病毒检测站点的数据运营商因为使用了不安全 的软件解决方案,使数十万人的检测数据遭到泄露。根据调查,有大约 20 万至 40 万人的数据受到影响,检测者的检测结果、 姓名、电话、住址和电子邮箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。 4、美国一医疗机构近 60 万名患者 个人信息可能已遭到泄露 摘要:据 BleepingComputer 网站报道,美国犹他州医疗中心 Utah Imaging Associates(UIA) 近日宣布,该机构系 统中的数据存在泄露风险,58 万多名患者的个人信息可能已遭到窃取。 10
行业聚焦 INDUSTRY FOCUS 5、维斯塔斯公司的数据因网络攻击而 “被泄露 摘要:风力涡轮机制造商维斯塔斯 (VWS.CO) 周一表示,它在周末报告的网络攻击已经影响到其内部 IT 基础设施的 一部分,数据已经被 \" 破坏 \"。11 月 19 日发生的网络安全事件迫使维斯塔斯关闭了多个业务部门和地点的 IT 系统以控制 问题,但这家丹麦公司表示它已经能够继续运营。 6、Robinhood 遭黑客入侵 700 万用户数据被泄露 摘要:11 月 9 日消息,据国外媒体报道, 美国在线券商 Robinhood Markets 于美国当地时间周一表示,在 11 月 3 日的数据泄露事件中,超过 700 万用户的个人信息泄露,不过没有消费者因此事件遭受经济损失。 11
行业聚焦 INDUSTRY FOCUS 7、松下披露数据泄露事件 摘要:“2021 年 11 月 11 日,松下公司已确认其网络被第三方进行非法访问,经过内部调查,确定攻击者在入侵过 程中访问了文件服务器上的部分数据。”松下发布公告称,“在检测到未经授权的访问后,公司立即向有关部门报告了该事件, 并采取了安全措施防止外部访问网络。” 8、私钥失窃:慧与证实 Aruba Networks 客户数据泄露事件 摘要:今年 9 月,美国政府以提高芯片“供 应链透明度”为由,要求台积电、三星等半导 体企业在 45 天内交出被视为商业机密的库存 量、订单、销售纪录等数据。据台湾“中时新闻网” 报道, 此前声称“不会泄露客户机密资料”的 台积电 22 日表态称,将会在 11 月 8 日截止日 期前,把相关资料提交给美国。 12
行业聚焦 INDUSTRY FOCUS 9、渥太华公务员因泄露疫苗数据被捕 摘要:两名分别来自渥太华和蒙特利尔的 居民被捕,因为他们涉嫌与安生新冠系统漏洞 案件调查有关,其中一人还是政府公务员。安 省网络犯罪专案组表示,他们于 11 月 17 日开 始调查一起可能的数据泄露事故,当时安省政 府发现居民预约新冠疫苗或下载疫苗接种证书 后,收到了垃圾诈骗短信。 10、2021 数据泄露调查:85% 的违规行为与人为因素有关 摘要:近日,威瑞森发布《2021 年数据泄露调查报告》称,网络钓鱼、勒索软件和 Web 应用攻击成为 2021 年数据 泄露主要原因。网络钓鱼的人为违规行为较去年增加了 11%,占比达 36%。Web 应用程序的攻击占比则为 39%。报告还发现, 61% 的数据泄露与凭证数据有关。今年与往年一样,人为疏忽仍然是对安全的最大威胁。 13
亿赛通动态 ESAFENET NEWS 亿赛通与麒麟软件完成兼容认证, 国产化征途又添新伙伴 14
亿赛通动态 ESAFENET NEWS 近日,亿赛通与麒麟软件经过严格测试,完成银河麒麟桌面操作系统(海 思麒麟版)V10 的兼容性适配,运行稳定、性能优越,满足用户的关键性需求, 实现高性能、安全稳定,满足千行百业对国产操作系统及数据安全的需求,也 意味着亿赛通获得了更全面的国产化适配支持,国产化生态版图进一步扩大。 在“新基建”的背景下,5G、大数据中心、人工智能、工业互联网等高速发展, IT 基础设施国产化替代与产品技术自主可控受到广泛关注,催生了从底层芯片 到应用层的全面国产替代良机。此次亿赛通与麒麟软件的强强联合,既是双方 产品技术上的交流融合,也为双方在产品、行业拓展、联合解决方案等诸多领 域开展良好的通力合作奠定基础。 亿赛通与麒麟软件在技术研发和产品解决方案上具备各自领先优势,此次 完成兼容性互认证,双方产品技术在稳定性与成熟度上高度契合,符合国产化 安全可控的标准。 在不断深化的生态合作下,产品完成适配后,结合麒麟软件与国产化自主 创新能力与亿赛通在数据安全的专业能力,双方将加速技术融合与联合创新的 步伐,发挥各自优势,实现更多领域的优势互补与交流合作。在数据安全及业 务连续性管理等层面构建高度的安全保障,为众多客户从容应对新的 IT 变化, 提供高效、安全的解决方案。 随着信创产业建设的全面推开,亿赛通秉承开放共赢的合作原则,全面加 快信创产业链的兼容认证,积极与生态伙伴搭建并完善生态体系,打造更安全 更可信的产品和服务,全面加快信创产业链的兼容认证。凭借多年在安全行业 的技术积淀和实践积累,通过了多家厂商的产品认证,联合发布了众多自主可 控、安全可靠的联合解决方案及产品,共同推动着联合解决方案在性能和稳定 性等方面的不断提升。 未来,我司将继续加速国产化进程,深化生态伙伴合作,发动科技创新的 强大引擎,携手合作伙伴共同为企业数据安全提供技术和服务支持,推进传统 产业转型升级,助力企业数字化转型之路。 15
亿赛通动态 ESAFENET NEWS 国家支持,官方认定,亿赛通入选 北京市“专精特新”中小企业 为响应总书记主持召开中央财经委员会第五次会议指出的“要发挥企业家精神和工匠精神,培育一批‘专精特新’中 小企业”的重要指示,按照《关于推进北京市中小企业“专精特新”发展的指导意见》要求,北京市经济和信息化局组织 开展了 2021 年第三批北京市“专精特新”中小企业申报、审查和评审工作。亿赛通通过层层筛选入围榜单,荣获北京市“专 精特新”中小企业称号。 16
亿赛通动态 ESAFENET NEWS 新 “新”是指新颖化。全新提出的“分▪放▪管▪服” 数据安全建设理念,通过制度主建,技术主战,分放管服, 将数据实现分权分责分风险,放管结合,做到要素服务保支 撑,持续安全可运营,确保数据有价值的安全流转,共赢数 据安全大生态。 本次被授予认证的“2021 年度北京市“专精特新”中 小企业”,亿赛通在数据安全产业中所取得的成绩有目共睹, 2021 年 7 月 30 日,政治局会议首次将发展“专精特新” 备受业界及客户的好评。公司始终坚持将技术创新作为企业 中小企业上升至国家层面,推动中小企业步入发展的“快车 的立足之本。通过将区块链、大数据、人工智能等技术融入 道”,其中: 安全防御技术,以丰富的产品体系及安全服务资质助力用户 专 在企业数据安全管理、数据资产分析、态势感知等方面的痛 点突破,从工程交付、服务、数据全生命周期防护等多维度 “专”是指“专业化。拥有专业技术、专业特点明显、 精深化客户安全防护。 市场专业性强的产品。亿赛通在数据安全技术创新方向更加 专注,研发聚焦于数据加密,更加专注于安全产品的实时性 未来,亿赛通将持续深耕数据安全领域,坚定落实数 与高性能,以及数据安全全生命周期的构建。 据安全服务并持续加大研发投入。秉承“专精特新”精神, 继续坚持业务驱动、数据驱动、价值驱动,运用在安全领域 精 近二十年的行业研究与探索积淀,不遗余力专注于安全前沿 “精”是指精细化。亿赛通为技术创新的精湛性,设立 探索,以扎实的技术积累、成熟的产品体系、高效的服务跟 北京、武汉双研发基地,在全国三十余个地区设立办事处协 进,全力为企业数据安全保驾护航! 同合作,建立起全天候的协同研发与工程服务机制。 特 “特”是指特色化。亿赛通采用独特的技术研发,在安 全产品体系的构建中,多项专利创新技术都是区别于其他同 类产品的特点,也因此让数据安全更加便捷可靠。 17
亿赛通动态 ESAFENET NEWS 洞悉态势、守护安全 | 亿赛通数据安全 态势感知平台详解 近期,每当发生安全事件,就会引起社会的广泛关注,哪怕是互联网巨头公司面对黑客攻击、数据泄露等问题时也显 得不知所措;习总书记曾在网络安全和信息化工作座谈会上提出要 “全天候全方位感知网络安全态势”,“态势感知”这 个名词自此在国内网络安全行业热度持续不减。 “态势感知“一词最早由美国军方提出,包括感知、理解和预测三个维度,随着网络技术的迅速发展和网络规模的日 益扩大,诸如网络攻击、网络漏洞、数据安全等网络安全风险日益提升;安全态势感知作为一种主动的大规模网络监测技术, 被逐步应用于安全领域。 18
亿赛通动态 ESAFENET NEWS 根据国内网络安全形式,安全设备资产增多,设备所产 点关注并及时处理,并对安全资产形成周期性的安全状况报 生的海量日志需要进行深入分析,企业对数据安全技术人员 告,让运维人员做到心中有数、智能运营。 的依赖日益加深,对技术人员的安全能力也有了更高的要求。 智能分析 为了更好监控和保障数据安全系统运行,及时识别和防范数 据安全风险,同时满足国家和行业监管要求,保证数据安全 平台通过采集各个系统和终端的日志数据,并对其中 管理工作依法合规,为企业安全管理决策者提供可靠数据支 的异常数据进行关联分析,缩小排查范围,准确追溯定位风 撑,亟需建立一套针对数据安全的态势感知平台,做到事前 险操作对应的终端和人员以及其造成的影响。并能够通过大 预警、事中监控、事后溯源分析,全面提升数据安全管理与 数据挖掘分析,还原风险操作事件的完整数据链,帮助客户 防护水平。 溯源取证、对泄密人员进行追责。 亿赛通数据安全态势感知平台采用先进的大数据技术架 态势感知 构,通过采集分析来自于终端、网络、存储、结构化和非结 平台通过丰富的图形化展示,将用户数据资产、风险 构化的各类安全设备日志,通过人工智能算法,以人员和终 事件、风险趋势、异常行为、智能预警、追踪溯源进行所见 端行为分析为主线,探测发现威胁企业的数据安全事件,并 即所得的安全态势呈现,用户通过可视化平台即可了解受控 提供完整追溯取证证据链,全面保障客户数据安全。同时能 和未受控的资产、安全风险,并对资产和风险进行实时布控、 将各个孤立的安全系统进行资源整合,达到系统集中管、数 监测、趋势分析,帮助用户对企业数据安全态势形成新的认 据关联分析,以揭示海量事件背后隐藏的逻辑关系从而全面 知。 监控数据安全状况,指导企业安全管理,有效预防、阻断或 现今,数据安全治理的侧重点在于对企业全生命周期 减少安全威胁事件的发生。 的防护。而亿赛通数据安全态势感知平台是将自身安全产品 统一监控 平台化联动,实现对数据全整体的把控,对数据做到“看得 清、防得住”,同时还能提供追踪溯源的能力,为企业真正 平台将原本分散化管理的数据安全系统、数据资产进行 进入智能化、自动化、大数据可视化时代提供可靠支撑。 集中管理、集中呈现,解决了以往通常实现一种安全策略或 风险管理要在多个数据安全系统中进行重复操作的复杂性, 且非专业人员对不同安全产品会有不同的技术水平要求。另 外使“影子”资产、安全风险告警未及时处理类似问题大幅 减少,不给内外黑客制造可趁之机。 统一运维 通过对安全资产进行统一管理、工作状态进行实时监控、 健康状态进行动态分析,当数据资产出现异常停机、高危漏 洞、压力超限等状态时进行实时告警,提醒运维人员进行重 19
亿赛通动态 ESAFENET NEWS 亿赛通连续三年入选安全牛百强榜单, 持续领跑数据安全细分领域 11 月 9 日,安全牛发布第九版《中国网络安全企业 100 强》榜单,亿赛通凭借在数据安全领域的卓越表现顺利入选。 目前,全球企业数字化办公常态化,企业尝试避免数字化办公过程中的安全隐患,网络安全正在成为最具决定性和紧 迫性,优先级最高的 IT 投资,而安全红利正在成为所有重视安全的企业乃至国家的核心生产力和竞争力。 在此次《中国网络安全企业 100 强》评选工作中,安全牛中国网络安全百强评委会咨询了大量投资机构专家、企业技 术决策者和安全企业领导者。从经营、用户、产业、行业贡献四大维度 27 个细分项,对网络安全企业进行综合考评,最 终公布评选结果。亿赛通从近 500 家安全厂商中脱颖而出,并且除百强榜单外,安全牛另整理了各细分领域代表厂商,亿 赛通同样强势上榜。 20
亿赛通动态 ESAFENET NEWS 连续 3 年入选安全牛百强榜单! 此次发布的《中国网络安全企业 100 强》报告是安全牛百强榜单的第九版, 在历年发布的百强名单中,亿赛通,至今已经连续 3 年入选! 随着网络的深入发展,人们进入 DT 时代,数据量级和数据价值与日俱增, 在为社会生产活动提供更多推进力的同时,也面临着越来越严峻的网络安全问 题,加强网络安全建设,保障数据安全成为当下亟待解决的问题,网络安全企 业迎来新一波发展机遇。 本次调研数据显示,2020 年度,我国网络安全企业的整体收入规模约为 690 亿元,相比 2019 年度增长约 120 亿元,整体增长率约为 24%。 作为中国新一代信息安全技术企业的代表厂商,亿赛通秉承“保护数据所 有者的信息资产安全”的企业愿景,依托强大的技术研发实力和对行业业务的 深度了解,为客户提供量身定制的数据安全解决方案。连续 3 年入选百强榜单, 充分体现了业界对亿赛通技术和产品服务创新实力的认可。 未来公司也将继续保持坚持以用户为导向,以解决用户实际需求作为核心 产品和安全服务体系设计开发的重要标准,深入行业,以用户为导向,在积极 开发更多具有行业前瞻性、竞争力的核心产品之余,紧跟当前信息化建设中大 数据化、智能化、虚拟化等趋势,开展技术创新、应用创新和服务创新。 21
亿赛通动态 ESAFENET NEWS 亿赛通与神州数码达成合作, 携手共进共掘安全蓝海 近期,亿赛通与神州数码集团正式达成合作协议。 在产品技术、行业市场等方面成为生态伙伴,相互支持, 共同发展。合作双方本着联合创新、协作共赢的原则, 充分发挥自身优势,围绕安全领域展开紧密合作。 神州数码是国内领先的云及数字化服务商,自成立 以来,不断强化研发能力、开发自有品牌产品,持续参 与产业生态深耕,致力于赋能国内产业数字化转型。神 州数码充分发挥整机厂商在产业生态发展中的聚能优势, 联合上下游优质合作伙伴,推动解决方案共享、技术应 用共研、新业务模式拓展等多项举措,进一步拓宽业务 合作边界,为产业升级持续贡献力量。 双方公司优势互补、资源共享,在营销、技术、商务、 运营等环节深度协同,全面建立合作伙伴关系,为客户 提供更优质的高价值产品、服务和解决方案。两家优秀 公司的强强联合对于当前国内的 IT 生态打造异常重要。 在双方的配合中,能够更好地发挥各自在自身专业领域 上的优势,以安全保数据,共同寻求联合型的数据安全 创新类解决方案,解决客户所面临的各类业务困局,实 现双方的核心价值,营造更健康、更良好的市场生态环境。 企业数字化曾经是业务先行,安全后补。因此解决 安全问题往往是某个单点,或者某条线。而现在,无论 《数据安全法》、《个人信息保护法》等法律法规的健全, 还是整个 IT 环境变化的大趋势,都促使企业用户把‘安全’ 这个要素在数字化体系建设初期都要同步考虑到。因此, 数据安全的主体地位正在逐步形成。这使得我们从安全 的角度上去推动企业用户的业务升级,这是安全厂商的 责任和权利。 22
亿赛通动态 ESAFENET NEWS 近二十年来,亿赛通主要涉及数据安全、网络安全及安全服务三大业务,以数据资 产防泄密为核心,以网络安全为基本框架,以协议识别解析为技术支撑,对数据进行智 能识别、智能分类和智能加密,保障政企单位核心数据资产安全无泄露,打造数据安全 领域的综合解决方案。与此同时,亿赛通还提出“分 • 放 • 管 • 服”数据安全建设理念, 通过制度主建,技术主战,分放管服,将数据实现分权分责分风险,放管结合,做到要 素服务保支撑,持续安全可运营,确保数据有价值的安全流转,共赢数据安全大生态。 数据是企业的命脉,敏感数据如财报、档案等重点数据泄露或缺失,将影响企业的 正常运行。如何保护数据安全这项极其重要的公司信息资产,成为用户最迫切的需求。 融合了亿赛通和神州数码集团双方的全线产品的整体解决方案,为用户提供统一、完整、 高体验度的企业级安全服务解决方案。 作为各自行业的翘楚,此次双方合作的达成必将产生 1+1 大于 2 的效果。未来, 亿赛通与神州数码将进一步深化资源共享机制,依靠双方各自的前瞻性思维与技术优势, 合作打造融合的生态体系,实现解决方案融合、优势能力融合、技术创新融合和客户体 验融合。此次合作,实现了从量变到质变的飞跃,双方将会共同发力,助力企业数字化 变革。 23
亿赛通动态 ESAFENET NEWS 中国信通院云大所领导一行莅临亿赛 通,携手整合技术优势,开展合作交流 11 月 22 日,中国信息通信研究院云计算和大数据研究所(以下简称:云大所)副所长魏凯一行到访亿赛通考察交流, 亿赛通公司管理团队陪同参观公司并举行交流会。 怀揣着对大数据、数据安全等领域未来发展高度一致的良好愿景,双方在本次交流中,围绕亿赛通在数据安全方面的 产品布局及现今互联网行业的数据安全现状、关键问题以及未来发展等内容进行深入探讨。 当今大数据行业方兴未艾,百行百业对数据安全治理、数据防泄露、态势感知等需求与日俱增,在此背景下,正需要 亿赛通这样善于将大数据安全技术落地的公司贡献技术与经验。 亿赛通近年来不断推进中国数据安全行业发展,自主推出的“分·放·管·服”数据安全建设理念已在全国进行推广, 多家企业实施并安全稳定运行,具有丰富的成功部署经验。本次,向云大所领导一行展示了建设理念、五大产品类别领域 等技术成果与创新应用。 24
亿赛通动态 ESAFENET NEWS 魏凯副所长高度评价亿赛通在数据安全领域取得的成 绩,并展示了云大所在数据安全方向的业务布局。信通院 云大所在云计算、大数据等产业、技术领域具备很强的科 信通院介绍 研能力与标准制定和评测经验,而亿赛通对大数据则有着 较深的理解,并在助力数字中国建设,各领域数字化转型 中国信息通信研究院(以下简称“中国信通院”)始建 的过程中,有广泛的实践,自加入标准组后,双方将围绕 于 1957 年,是工业和信息化部直属科研事业单位。多年来, 大数据、人工智能、数据安全治理以及关联应用领域,开 中国信通院始终秉持“国家高端专业智库 产业创新发展平 展技术测评、标准研究等工作,优势互补,共同推进行业 台”的发展定位和“厚德实学 兴业致远”的核心文化价值 健康有序发展。 理念,在行业发展的重大战略、规划、政策、标准和测试认 证等方面发挥了有力支撑作用,为我国通信业跨越式发展和 信息技术产业创新壮大起到了重要推动作用。 中国信息通信研究院云计算与大数据研究所(简称云大 所),成立于 2017 年 12 月 27 日,聚焦云计算、大数据、 区块链、人工智能、数据中心等信息技术前沿领域,以及智 慧健康、金融科技两大重点行业领域,开展战略规划、产业 “十四五规划”之下,大数据产业正在形成新的发展 政策、业务监管等领域政府支撑,承担国家重大科技项目、 格局,未来,亿赛通将继续运用自身技术创新优势及大数 产业化项目,研究相关领域技术标准规范,构建新技术新业 据实践经验,积极配合云大所数据标准建设工作,加速融 务试验验证平台,开展测试、评估,并提供技术咨询、培训 合企业数字化产业生态,为我国大数据发展提质增效、全 等服务。 面赋能。 25
亿赛通动态 ESAFENET NEWS 关基安全防护引热议,安全保护 研讨沙龙亿赛通明确关基保护核心 11 月 23 日,由中国计算机学会计算机安全专委会和中关村网络安全与信息化产业联盟联合主办,计算机安全专委会 创新创业工作组、绿盟科技承办的“关键信息基础设施安全保护研讨沙龙在线上与大家见面。 关键信息基础设施安全对于社会经济乃至国家都具有很高的重要性。目前关基所面临的安全问题非常严峻 , 不久前, 美国燃气管道运营商遭勒索病毒攻击被迫停工,由此可见,针对关基发起的攻击所造成的危害不言而喻。 26
亿赛通动态 ESAFENET NEWS 当今世界正经历重大变局,国际环境日趋复杂,不稳 在数据安全领域,亿赛通已经积累了丰富的数据安全 定性、不确定性明显增强。关键信息基础设施安全事关国家 技术经验,形成了以“分·放·管·服”为建设理念,安全解 网络安全和数据安全,已成为安全安全能力建设的核心和 决方案 + 安全运营模式为一体的新战法,构建以客户数据为 关键;成为各国推进数字经济发展、参与国际竞争的重要 核心的新一代安全能力体系。 保障。我国《关键信息基础设施安全保护条例》自 2021 年 《条例》的正式实施不管是对于关基行业还是安全行 9 月 1 日正式施行。《条例》的实施,不仅提升了我国关键 业,带来的影响都是非常深远的。对于安全企业而言,《条例》 信息基础设施保护依据的效力层级,更对一系列重要制度、 的颁布是不仅是利好,更意味着更大责任。作为业内最早的 机制加以完善和固化,必将推动开启我国关键信息基础设 数据安全厂商,亿赛通将国有产业数字化安全、数据安全治 施保护的新格局。在本次沙龙中,亿赛通作为中国数据安 理作为公司的战略发展方向,凭借数据安全领域的独特技术 全专家受邀以数据安全角度分享关基安全保护的新要求、 优势和丰富实践经验积累,已实现多项数据安全关键技术创 新思考。 新,形成一整套数据安全解决方案及优秀的数据安全产品。 亿赛通专家表示,《条例》明确建立健全网络安全管 理制度,依法履行相关安全保护义务,明确责任部门和负责 人,依法依规落实网络安全监测、数据安全风险评估等要求。 在关键信息基础设施信息安全防护方面,于充分考虑我国 关键信息基础设施安全特性的基础上,围绕安全保障体系 建设各维度,亿赛通从数据库安全、大数据分析、态势感 知、安全体系建设等方面系统开展关基数据安全防护工作, 用合规、安全筑牢关键信息基础设施安全保障体系建设的 基础。 27
亿赛通动态 ESAFENET NEWS 如何做好数据安全治理? 亿赛通专家来支招 11 月 30 日,“数据安全培训研讨会”第二期召开。本次活动由中国信息通信研究院云计算与大数据研究所、数据安 全研究计划(DSI)及中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)主办,亿赛通作为数据安全治理方 面专家参加了此次研讨会。 本次研讨会以“数据安全治理”为主题,采用了“线上直播”的形式,吸引了上千位来自数据安全领域的专家学者和 企业代表汇聚一堂,对数据安全治理、数据安全监管、数据分类分级、数据安全防护体系实践等热点话题进行了深入探讨 和交流。 28
亿赛通动态 ESAFENET NEWS 《数据安全法》的实施推进了数据安全治理和治理能 亿赛通的数据安全治理明确数据安全责任,落实数据 力现代化的进程。各地数据安全的建设需求日益旺盛。但 全生命周期管控,进行数据资产、业务数据流转梳理;建立 很多企业在数据的安全性上防护不足,安全漏洞个数逐年 数据分类分级指引,对数据资产进行分类分级,明确保护对 上升。黑客会利用各种漏洞,对于攻击者来说,IT 系统、 象及分级管控策略;以数据分级分类为基础,按照《数据安 数据组件的方方面面都存在脆弱性,这些方面包括常见的 全法》和行业规范,围绕数据生命周期,完善数据库安全, 操作系统漏洞、应用系统漏洞、弱口令、数据库漏洞,也 态势感知,建设数据泄露防护技术体系;通过网络安全与数 包括容易被忽略的错误安全配置问题,以及违反最小化原 据安全的结合,采用全面和专业的安全产品,覆盖网络、用 则开放的不必要的账号、服务、端口等。 户和数据等多个层次,以等保 2.0 为基础,建立内部网络的 习近平总书记强调:“要切实保障国家数据安全。要 纵深安全防护体系。 加强关键信息基础设施安全保护,强化国家关键数据资源 数据已经成为数字经济时代的最新生产要素,成为国 保护能力,增强数据安全预警和溯源能力。”这就要求我 家基础性和战略性资源。加强数据安全成为与整体经济发展 们必须把保障数据安全放在突出位置,有效提升数据安全 与国家安全紧密相关的重要方面。亿赛通一直重视数据安全 治理能力。 领域的前沿技术研究突破和产品能力的创新,目前已经形成 亿赛通高级咨询顾问在直播中聊到《数据安全监管政 具备数据全生命周期流转防护能力的产品、服务以及面向各 策要求及应对实践》,整个报告以《数据安全法》引入,《数 行业覆盖全场景的体系化解决方案。 据安全法》明确了数据安全管理制度、风险监测与安全事 件响应、数据分类分级、数据风险评估、核心数据保护、 数据出境、数据调取、境外执法机构配合等内容。对于数 据安全来说,人为疏忽是最大的威胁。数据安全治理需要 体系化,建立机制,形成闭环。 29
亿赛通小贴士 ESAFENET PROMPT 《个人信息保护法》已实施,信息安全 步入法制快车道 11 月 1 日起,《中华人民共和国个人信息保护法》正 信息。良好的信息保护,才是数字经济发展的前提。《个人 式实施。作为我国第一部针对个人信息保护的专门法律,《个 信息保护法》的实施从法律层面彰显了国家对于个人信息保 人信息保护法》的出现填补了信息安全方面法律的空白。 护的重视。 将公民的各类信息全面纳入保护范围,为信息处理者的合 从长远发展来说,只有做好信息保护,才能让数据所有 规工作提供了明确的方向性指导。 者愿意授予其他主体对数据的使用权利,从而实现数据的合 《个人信息保护法》首次被提起,是在 2019 年 3 月 5 理利用,进一步促进数字经济的发展。 日第十三届全国人大常委会第二次会议,将其列入立法规 01、明确了《个人信息保护法》的适用范围(第 3 条): 划;2020 年 10 月 13 日第十三届全国人大常委会第二十二 境内及境外,境外的使用条件为某些向境内自然人提供产品 次会议对《个人信息保护法(草案)》进行了初次审议; 或服务,但却登记在海外的公司,一旦违法,也需要接受中 2021 年 4 月 26 日第十三届全国人大常委会第二十八次会 国的处置。 议对《个人信息保护法(草案二审稿)》进行了审议;直 至 2021 年 8 月 20 日第十三届全国人大常委会第三十次会 02、明确了个人信息的定义(第 4 条),同时明确了个 人信息处理全过程,包含收集、存储、使用、加工、传输、提供、 议表决通过。历时两年多的定制、审议、修改、表决,如今, 我国对于个人信息的保护将迈入新的时代。 公开、删除等。 不论是《个人信息保护法》,还是《数据安全法》, 03、明确个人信息的处理原则(第 5-12 条),个人信 它们出台的意义都在于在于促进数据的安全流转、存放, 息处理应遵循的原则,强调处理个人信息应当采用合法、正 让数字经济更好发展。尽管近些年来我国的信息安全管理 当的方式,具有明确、合理的目的,限于实现处理目的的最 手段不断加大,仍有某些不法分子,随意收集、买卖个人 小范围,公开处理规则,保证信息准确,采取安全保护措施等, 并将上述原则贯穿于个人信息处理的全过程、各环节。 30
亿赛通小贴士 ESAFENET PROMPT 04、明确处理个人信息应遵循“告知 - 同意”原则(第 管理制度和操作规程,采取相应的安全技术措施,并指定 13-16 条),在实现充分告知的前提下取得个人同意。用户 负责人对其个人信息处理活动进行监督;根据个人信息保 对自己的个人信息应用状态,从头到尾都必须享有知情权 护工作实际,明确国家网信部门负责个人信息保护工作的 和决定权。 统筹协调,发挥其统筹协调作用。同时规定,国家网信部 05、明确严格限制处理敏感个人信息(第 28-30 条), 门和国务院有关部门在各自职责范围内负责个人信息保护 若需处理敏感个人信息,需要提前向个人告知处理敏感个 和监督管理工作。 人信息的必要性和对个人权益的影响,并在有严格保护措 11、若出现涉及个人信息侵权的纠纷,如果数据处理 施的条件下进行。 者不能证明自己没过错,那么,就必须承担赔偿损害责任(第 06、明确对 14 岁以下未成年人实行更为严苛的信息保 69 条)。 护,这是立法者对未成年人的特别保护。(第 31 条) 《个人信息保护法》已实施,互联网中的各类个人信 07、明确了向境外提供个人信息的要求(第 38-43 条), 息数据问题也给出了更明确、更清晰的解决办法,进一步 对于关键信息基础设施运营者和处理个人信息达到国家网 加强了个人信息保护法制保障的客观要求,我国信息安全 信部门规定数量的个人信息处理者应当将在中国境内收集 也进入了法制快车道。 和产生的个人信息存储在境内,若向境外提供的,应通过 安全评估;而对于其他个人信息处理者,应满足《个人信 息保护法》第 38 条规定的四种条件之一,才可向境外提供 个人信息。另外,非经主管机关批准,不得向外国司法或 者执法机构提供存储于境内的个人信息。 08、明确了应用程序过度收集个人信息、大数据杀熟 及非法买卖、泄露个人信息等情况(第 48-49 条)。建立 健全个人信息保护合规制度体系,遵循公开、公平、公正 的原则,对严重违反法律、行政法规处理个人信息的平台 内的产品或者服务提供者,停止提供服务; 09、明确了个人信息处理活动中的各项权利(第 60 条), 包括知情权、决定权、查询权、更正权、删除权等,并要 求个人信息处理者建立个人行使权利的申请受理和处理机 制。 10、明确了个人信息处理者的合规管理和保障个人信 息安全等义务(第 61-65 条),要求其按照规定制定内部 31
亿赛通小贴士 ESAFENET PROMPT 政策 | 《网络数据安全管理条例(征求 意见稿)》八大亮点专家详解 2021 年 11 月 14 日,国家网信办公布《网络数据安全 位的互联网平台运营者。(第七十三条第九款) 管理条例(征求意见稿)》(以下简称“条例”),并向社 本条规定亦是对《个人信息保护法》第五十八条规定 会公开征求意见。 的细化,即符合此概念的大型互联网平台运营者应同时履 《条例》是数据安全领域的三大“上位法”,旨在落实 行《个人信息保护法》第五十八条和《条例》规定的相关 《网络安全法》、《数据安全法》、《个人信息保护法》等 义务。 法律关于数据安全管理的规定。为《数据安全法》和《个人 专业分析,八大亮点详解《条例》 信息保护法》设立的制度提出具体实施路径;对《数据安全法》 亮点一:落实数据分类分级保护制度 和《个人信息保护法》中的一些原则性规定给予进一步细化; 作为行政法规,《条例》增加部分新要求,创设了制度和行 条文 政许可。 《条例》第五条:国家建立数据分类分级保护制度。 适用范围和主体 按照数据对国家安全、公共利益或者个人、组织合法权益 适用范围涵盖境内和境外 的影响和重要程度,将数据分为一般数据、重要数据、核 心数据,不同级别的数据采取不同的保护措施。 • 境内包括:利用网络开展数据处理活动;网络数据 • 国家对个人信息和重要数据进行重点保护,对核心 安全监督管理。 数据实行严格保护。 • 境外包括:目的在于为境内提供产品或服务的活动; • 各地区、各部门应当按照国家数据分类分级要求, 对本地区、本部门以及相关行业、领域的数据进行分类分 行动在于分析、评估境内行为的活动;数据范围在于涉及境 级管理。 内重要数据的活动。 《数据安全法》第二十一条:国家建立数据分 • 除外责任:个人、家庭等私人目的处理数据不使用。 《条例》中对适用主体一共分为三类: 类分级保护制度,根据数据在经济社会发展中的重要程度, 数据处理者:指在数据处理活动中自主决定处理目的 以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 和处理方式的个人和组织。(第七十三条第五款) 对国家安全、公共利益或者个人、组织合法权益造成的危 互 联 网 平 台 运 营 者: 指 为 用 户 提 供 信 息 发 布、 社 害程度,对数据实行分类分级保护。国家数据安全工作协 调机制统筹协调有关部门制定重要数据目录,加强对重要 交、交易、支付、视听等互联网平台服务的数据处理者。(第 数据的保护。 七十三条第九款) 大型互联网平台运营者:指用户超过五千万、处理大量 关系国家安全、国民经济命脉、重要民生、重大公共 个人信息和重要数据、具有强大社会动员能力和市场支配地 利益等数据属于国家核心数据,实行更加严格的管理制度。 32
亿赛通小贴士 ESAFENET PROMPT • 各地区、各部门应当按照数据分类分级保护制度, 作日内提交详细的事件评估报告; 确定本地区、本部门以及相关行业、领域的重要数据具体 目录,对列入目录的数据进行重点保护。 企业需要提前部署风险应急措施和专业团队,建立数 据安全态势感知平台,进行数据溯源,以便及时响应并最大 1.《条例》相比《数据安全法》,进一步将数据分为 化降低数据安全事件影响。 一般数据、重要数据和核心数据 ; 建立自动化访问收集数据规则 2. 突出重要数据重点保护、核心数据严格保护,相比 《数据安全法》的重点保护,更有层次; • 采用自动化工具访问等措施收集数据时,若涉嫌违反 法律法规、影响网络正常功能、或侵犯他人权益时,应停止 3. 企业需要对数据资产进行盘点,摸清数据资产和个 访问和收集数据行为,并采取相应补救措施; 人信息数据分布情况,制定重要数据和核心数据目录。对 数据进行分类分级并制定精细化安全策略; • 另《条例》第二十二条第四款规定,遇到上述情况的 数据处理者应在 15 个工作日内删除采集的个人信息或对个 亮点 2-- 细化数据安全保障具体措施 人信息进行匿名化处理; 根据《条例》第九~十五条、第十七、十八条中的规定, 自动化工具范围广泛,如爬虫类自动访问、网联汽车 数据处理者应制定如下数据安全保障措施: 收集车外数据等数据采集行为或属此类范畴。此类工具的使 建立提前防范机制 用或将受到较为严格限制。 • 采取备份、加密、访问控制等措施,维护数据的完 建立涉及第三方流转的个人信息和重要数据 整性、保密性、可用性 安全保障规则 • 按照等保要求,加强数据处理系统、传输网络、存 数据处理者 储环境等防护,重要数据处理原则上满足三级等保要求, • 对个人的告知义务:告知个人详细信息,取得个人单 核心数据处理依照规定从严保护。 独同意; • 使用密码对重要数据和核心数据进行保护。 • 明确约定处理事项:通过合同与接收方明确数据处理 的目的、范围、方式、保护措施,并进行监督 ; • 根据三级等保要求,可能涉及的数据安全产品有数 据库防火墙、数据库漏扫、数据库安全运维、数据库加密、 • 五年保存期:留存个人同意记录及提供个人信息的审 数据库审计、数据脱敏等。 批记录至少 5 年; • 文档加密等密码产品或将成为重要数据的保护手段。 数据接收方 建立应急处理机制和申报制度 • 约定范围内处理数据; • 安全事件对个人、组织造成危害的,3 个工作日内将 建立社会监督机制 事件情况、后果、补救措施通知厉害关系人,涉嫌犯罪的 应向公安机关报案; • 开通便捷的数据安全投诉举报渠道,及时受理、处置 并公布,接受社会监督。 • 重要数据或 10 万以上个人信息泄露事件,8 小时内 向市级网信等主管部门报告基本信息,处置完毕后 5 个工 需申报网络安全审查的情况 33
亿赛通小贴士 ESAFENET PROMPT • 掌握大量国家、公共数据资源的互联网平台运营者实 落实《数据安全法》第二十七条规定:重要数据处理 施合并、重组、分立,可能影响国家安全的; 者应明确数据安全负责人和管理机构,落实数据安全保护 责任。明确了数据安全管理机构应配备风险监测、应急处理、 • 大型互联网平台在境外设立总部或运营、研发中心, 教育培训、风险评估、应急演练等一系列方案。应帮助企 需向网信部门报告; 业组织根据自身工作情况与业务需要尽快建立数据安全管 理机构,根据相关法律法规及行业标准做合规指引,制定 • 一百万人以上个人信息处理者赴香港上市,或影响 相应制度流程,对数据安全和使用策略等进行管理。 国家安全的; 备案(第二十九条) • 对互联网平台运营者在战略调整以及境外设立分部提 出限制。 识别重要数据后的 15 个工作日内向设区的市级网信部 门备案,备案内容包括: • 明确了赴香港上市是否需要审查的问题。 (一)数据处理者基本信息,数据安全管理机构信息、 亮点 3-- 明确重要数据处理者职责 数据安全负责人姓名和联系方式等; 成立数据安全管理机构并明确数据安全负责人。 数据安全负责人要求: (二)处理数据的目的、规模、方式、范围、类型、 应具备数据安全专业知识和相关管理工作经历 ; 存储期限、存储地点等,不包括数据内容本身; 明确:数据安全负责人应由决策层成员承担; (三)国家网信部门和主管、监管部门规定的其他备 数据安全负责人权利: 案内容 有权直接向网信部门和主管、监管部门反映数据安全 情况; 备案时间紧张,企业在日常即需为重要数据识别及相 数据安全管理机构具体应: 关备案内容做好准备,设立相关数据安全负责人及机构, • 制定实施数据安全保护计划和数据安全事件应急预 梳理内部数据处理活动。 案; • 开展数据安全风险监测,及时处置数据安全风险和事 培训(第三十条) 件; • 定期组织开展数据安全宣传教育培训、风险评估、应 制定数据安全培训计划,每年组织开展全员数据安全 急演练等活动; 教育培训,数据安全相关的技术和管理人员每年教育培训 • 受理、处置数据安全投诉、举报; 时间不得少于 20 小时。 • 按照要求及时向网信部门和主管、监管部门报告数据 安全情况。 • 全员培训 • 相关技术和管理人员培训时间不得少于 20 小时 / 年。 • 企业需及时做好保存记录工作。 采购(第三十一条) 优先采购安全可信的网络产品和服务。 34
亿赛通小贴士 ESAFENET PROMPT 安全评估(第三十二条) • 按照国家网信部门制定的关于标准合同的规定与境外 定期评估:自行或委托数据安全服务机构每年一次 数据接收方订立合同,约定双方权利和义务; 数据安全评估,并于 1 月 31 日前上报上一年评估报告,报 02 上报国家网信部门安全评估的情形 告需保留至少 3 年。(内容包括:重要数据处理情况、风险 (第三十七条) 及处置措施;数据安全管理制度,数据备份、加密、访问控 制等安全防护措施,以及管理制度实施情况和防护措施的有 • 出境数据中包含重要数据; 效性;落实法律法规、标准情况;发生数据安全事件及其处 • 关键信息基础设施运营者和处理一百万人以上个人信 置情况;数据安全相关投诉及处理情况) 息的数据处理者向境外提供个人信息; 场景评估:对于共享、交易、委托处理、向境外提 • 围绕跨境数据需做好安全管理和评估工作: 供数据这四类场景的安全评估,需重点包含如下内容:目的、 • 业务数据,明确适用范围,对出境安全自评估; 方式、范围、风险、接收方背景情况和安全保障能力、合同 • 数据跨境监测工具,识别发现出境流量做好自监管 ; 约束条款等。 03 向境外提供数据的处理者义务 专项评估:国家机关和关键信息基础设施运营者采 (第三十九、四十、四十二条) 购的云计算服务,应当通过国家网信部门会同国务院有关部 门组织的安全评估。 • 履行 9 项义务; • 针对数据安全战略部署等内容的安全咨询服务; • 编制包含 6 项内容的数据出境安全报告; • 数据备份、加密、访问控制等防护措施; • 建立健全相应技术管理措施; • 态势感知、应急响应方案; 亮点 5-- 细化平台型互联网企业合规职责 • 云安全服务等; 出境安全评估报告 6 项内容: 流转批准(第三十三条) 共享、交易、委托处理重要数据应征得市级以上主管部 门同意。 进一步规制重要数据流转行为,但批准流程还需条例进 一步明确。 亮点 4-- 明确数据跨境特定场景安保规则 01 跨境传输数据的许可条件(第三十五条) 亮点 6-- 细化个人信息处理规则 1// 基本原则 • 通过国家网信部门组织的数据出境安全评估; 数据处理者处理个人信息,应当具有明确、合理的目的, • 数据处理者和数据接收方均通过国家网信部门认定的 遵循合法、正当、必要的原则。 专业机构进行的个人信息保护认证; 35
亿赛通小贴士 ESAFENET PROMPT 第十九条规定,处理个人信息需满足以下条件: 程序、裁决程序,保障平台规则、隐私政策、算法公平公正。 • 服务、义务必须性; 日活用户超过一亿的大型互联网平台运营者平台规则、 • 最短周期、最低频次; 隐私政策制定或者对用户权益有重大影响的修订的,应当 • 对个人权益影响最小; 经国家网信部门认定的第三方机构评估,并报省级及以上 • 不得因过度收集被拒而影响用户适用; 网信部门和电信主管部门同意。 2// 基本前提 从时间维度明确响应速度 处理个人信息的基本前提是应当取得个人同意。 第十一条 安全事件对个人、组织造成危害的,数据处 理者应当在三个工作日内将安全事件和风险情况、危害后 3// 特殊情况 果、已经采取的补救措施等以电话、短信、即时通信工具、 电子邮件等方式通知利害关系人。 处理一百万以上个人信息,还应遵守本条例对重要数 据的保护规定。 针对这些规定,互联网平台企业应建立信息安全事件 相关的内部规章制度,主动配合主管部门进行事件处置工 4// 规则要求 作;建立数据安全与个人信息保护团队,通过制度建设、 人员培训、技术保障等方式推进落实工作。 数据处理者应制定个人信息处理规则并严格遵守,规 则应明确公开展示、内容具体、系统全面。 第二十条规定,个人信息处理规则务必包含: 亮点 8-- 明确监督管理责任部门,细化行为 • 清单列名所需信息内容、用途等; 和要求 • 信息存储期限 个人基本权利; • 便捷信息展示; 国家网信部门:统筹协调数据安全和相关监督管理 工作; • 三方信息提供; 公安机关、国家安全机关:职责范围内承担数 • 信息保护措施; • 投诉举报渠道; 据安全监管职责; 亮点 7-- 增加互联网平台运营者合规职责 国家举措(第五十七~五十九条): 《条例》针对互联网平台运营者,设定了专门章节, 1. 建立健全数据安全应急处置机制,完善网络安全事 对于个人信息保护层面,进行了具体细化,包括数量级的 件应急预案和网络安全信息共享平台,将数据安全事件纳 界定、上报时间的要求等。 入国家网络安全事件应急响应机制,加强数据安全信息共 享、数据安全风险和威胁监测预警以及数据安全事件应急 从数量维度对数据安全定级评估 处置工作。 第四十三条 互联网平台运营者应当建立与数据相关的 平台规则、隐私政策和算法策略披露制度,及时披露制定 2. 建立数据安全审计制度。数据处理者应当委托数据 安全审计专业机构定期对其处理个人信息遵守法律、行政 法规的情况进行合规审计。 36
亿赛通小贴士 ESAFENET PROMPT 3. 支持相关行业组织按照章程,制定数据安全行为规 范,加强行业自律,指导会员加强数据安全保护,提高数 据安全保护水平,促进行业健康发展。 工业、电信、交通、金融、自然资源、卫生健康、教育、 科技等主管部门 • 明确本行业、本领域数据安全保护工作机构和人员, 编制并组织实施数据安全规划和数据安全事件应急预案。 • 定期组织开展数据安全风险评估,监督检查处理者 未来,亿赛通将继续凝神聚力,整合并强化我司在安全 的数据安全保护义务履行情况,指导督促数据处理者对风 领域的核心技术能力,加快发展进程,秉承“保护数据所有 险隐患及时整改。 者的信息资产安全”的企业使命,为数字化建设和打造网络 监管、主管部门监督检查措施(第五十七条): 安全强国贡献力量! 1. 要求数据处理者相关人员就监督检查事项作出说 明; 2. 查阅、调取与数据安全有关的文档、记录; 3. 按照规定程序,利用检测工具或者委托专业机构对 数据安全措施运行情况进行技术检测; 4. 核验数据出境类型、范围等; 2020 年,亿赛通正式发布“分放管服”数据安全建 设理念。基于在安全领域里的持续深耕,亿赛通在产品研发、 技术创新、服务培训等方面形成了完善、成熟的全生命周 期防护体系。 同时,在数据分类分级管理中,亿赛通依托于完备的 产品链,以近二十年的项目实施经验,搭建了集数据分类 分级管理、数据安全服务为一体的安全、可信的防护体系, 为企业安全办公铺平了技术实现的道路。 37
亿赛通小贴士 ESAFENET PROMPT 新闻播报 | 一周网络安全新闻精选 本周网络安全新闻精选 关键词:新冠检测、证券交易、黑客攻击、网信办、条例…… 德国 20 至 40 万人新冠检测信息遭泄露 对目前网络上个人隐私信息泄露情况时有发生,应用程序 强制用户授权否则不能使用,甚至出现“不让人脸识别, 日前,德国柏林数个新冠病毒检测站点的数据运营商 自己小区门都进不去”的情况,不得将人脸、步态、指纹、 因为使用了不安全的软件解决方案,使数十万人的检测数 虹膜、声纹等生物特征作为唯一的个人身份认证方式。国 据遭到泄露。根据调查,有大约 20 万至 40 万人的数据受 家对个人信息和重要数据进行重点保护,对核心数据实行 到影响,检测者的检测结果、姓名、电话、住址和电子邮 严格保护。 箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。 美国基金证劵交易平台遭黑客攻击 医疗机构工作人员廉洁从业九项准则 美国基金证券交易平台罗宾汉(Robinhood)发表声 近日,国家卫健委会同国家医保局、国家中医药管理 明称,平台发生重大数据泄露事件,超过 700 万客户的数 局,针对当前医疗卫生领域群众反映强烈的突出问题,共 据遭泄露。声明指出,该漏洞于 11 月 3 日被发现,袭击者 同制定印发《医疗机构工作人员廉洁从业九项准则》,明 掌握了约 500 万客户的电子邮件地址,以及 200 万客户的 确医疗机构工作人员不得泄露患者隐私、不牟利转介患者、 姓名,还有部分客户的邮政编码和出生日期等信息被泄漏。 不收受患方“红包”等。 所幸此次泄露没有暴露任何客户的社会安全号码、银行账 同时,要求各地要将医疗机构贯彻执行该准则的情况 户号码或信用卡号码,并且没有客户因此遭受经济损失。 列入评审评价、医院巡查的重要内容;将医疗卫生人员贯 新规:不得将人脸等生物特征作为唯一的 彻执行该准则的情况列入医疗卫生人员年度考核、医德考 个人身份认证方式 评以及医师定期考核的重要内容,与个人待遇相挂钩。此外, 对落实该准则不彻底导致出现严重问题的,除追究当事人 14 日发布的《网络数据安全管理条例(征求意见稿)》 责任,还应视情节严重程度,追究卫生健康、医保部门和 中提出,数据处理者利用生物特征进行个人身份认证,针 医疗机构相关人员责任。 38
亿赛通小贴士 ESAFENET PROMPT 亿赛通作为专业数据安全厂商,具备结构化、半结构化及非结构化的数据全生命周期数据安全防护能力。针对数据安 全的特殊性,我们以“分▪放▪管▪服”为数据安全建设理念,将用户数据实现分权分责分风险,放权管责相结合,做到 要素服务保支撑,持续安全可运营,不断打造保护核心数据安全的精品,对国家重要基础数据以及个人隐私信息提供全套 数据安全解决方案,为各级各部门提供专业的数据安全产品和技术服务。 39
典型案例 TYPICAL CASES 徐工集团项目解决方案 项目背景 解决方案 随着徐工集团工程机械股份有限公司(以下简称:徐 工集团)信息化不断地发展,各种研发辅助设计软件、管 理软件、协同开发软件等也得到了快速发展以及广泛的应 用。由于企业发展以及业务的需要,各类包含大量重要信 息的电子资料,如源代码、设计图纸、计划书、技术文档 等与企业知识产权相关的数据被高度共享,在企业内部无 障碍应用、传输及存储,这些核心数据关系到企业的生存 发展以及商业竞争力,一旦泄密,将会给企业造成不可估 量的损失。 此前,徐工集团已采用了其他加密手段对部分终端进 本方案是为建立核心数据安全管理系统,针对数据安全 行了相应管控,但随着公司信息化的不断发展,现有的使 性、服务器安全加固、平台易用性、系统扩展性等问题,结 用场景中,原加密软件已不能完全兼容和适应现有信息化 合现有的网络系统环境,制定一整套完善的解决方案,在保 场景,计划更换成更完善的管控软件,以达到公司的安全 证安全的前提下,尽量少改变用户原有工作习惯、不增加用 需求。 户工作负担、不限制用户的正常操作行为,在保证用户原有 业务模式的情况下,不影响用户的工作效率,让用户在安全 需求分析 的环境中无感知的处理各种业务。在公司内实现数据代码文 档安全,防止重要资源外泄,提高公司数据安全保护能力, 经过前期需求调研,徐工集团与各分子公司无论是人 保护公司资源和效益,同时不对日常办公、开发产生负面影 员管理,还是业务审批均需要独立管理,但是要保证集团 响,达到安全与效率的平衡。最终实现以下重要目标: 公司的统一管理权限;文档在使用过程中保存后自动加密, 支持集团所有进行和扩展名;并且亿赛通产品需要能无缝 文件加密:基于进程和关联文件类型的驱动级加密 替换原有加密产品,不影响员工使用办公;还需针对部分 业务系统对接,使用业务系统流程调用加解密接口,进行 方式,可以对任意文件类型进行加密设置,也可以自行添加 加解密。如后期解密流程集成到 OA 系统中,即可使用到 接口。 40
典型案例 TYPICAL CASES 和扩展,满足数据安全保护的同时,操作简单,应用方便; 第三方加密软件的场景,目前内部电脑上已经存在历史加 权限控管:加密软件管理及审批提供分级管理功能, 密数据的场景,亿赛通专业定制相关的第三方无缝替换方 案,可以对历史加密数据完成自动数据转换和平滑过度, 灵活的分级设置,给企业提供灵活的管理支撑。系统所有 集团员工不需要对历史文件进行大量解密,即保障了替换 功能均通过模块体现,模块组合为角色,通过对角色的合 过程中的数据安全也将少了替换方案的实施难度。 理分配和管理,角色用户能通过直观的模块功能体系快速 实现对系统的使用和管理,无需投入过多培训及学习资源。 数据隔离:实现重要部门和非重要部门之间的数据 对不同机构、人员应用不同的加密策略,使用不同策略的 隔离,实现双向隔离也可单向隔离。如:集团总部部门 A 机构或用户之间,可设置是否能够互相正常打开加密文档。 和部门 B 使用不同的密钥,实现部门隔离,部门 C 拥有部 应用相同加密策略的用户之间,在内部交流时不需要进行 门 B 的密钥,因此可以打开部门 B 的文档。但部门 B 无法 解密便能正常交流。 打开部门 C 的文档。分支属地部门 A 和部门 B 使用不同的 应用灵活:与业务实际情况进行结合、实现对文 密钥,实现部门隔离,部门 B 和部门 C 拥有彼此的密钥, 因此可以互相传阅文档。集团总部和分支属地可通过统一 档灵活的管理。达到“多方适应,技管结合,兼顾现状” 密钥实现文档双向均可以阅读。 的系统应用机制; 外发控制:根据业务需要,对需要与合作伙伴进 项目成果 行交互的外发文件进行特殊处理,在满足企业正常业务运 作为国内信息安全领军厂商,亿赛通在近二十年的软 转的情况下,最大限度的保证文件的安全性。 件研发应用和国内六百余万终端用户实施服务经验的基础 离线办公:充分适应企业离线应用需求,对出差 上,结合有关制度、管理体系和应用模式,为用户倾力打 造电子文档安全管理系统,采用了自主研发的文档安全管 人员提供离线时长限制,保证离线人员可以正常使用加密 文件,同时防止泄密。 理系统,将透明加密、权限管理、文档安全防护、服务器 日志审计:提供详细的日志审计功能,对管理人 安全加固、日志审计等技术完美地结合在一起,有效防范 数据泄密。 员以及终端用户的操作行为进行详细计录。 系统集成:与用户的 OA、代码管理配置平台以及 本次数据安全项目的实施与其他信息安全项目相比, 存在较大的工作量和项目风险。为了保障数据安全解决方 其它业务系统等进行无缝集成,利用动态加解密技术实现 案的成功实施,特将数据安全项目分为六大阶段(项目准 服务器中的数据存放明文,下载到终端或离线后的文件自 备阶段、方案设计阶段、技术准备阶段、试点部署阶段、 动加密,防止终端泄密或扩散。 推广部署阶段、项目验收阶段),并细化每个阶段的工作 并对其中存在的项目风险进行控制。在实施过程中进展顺 分布式部署:部署方式灵活多变,采用异地部署 利,实现对徐工集团内部文档使用范围、用户权限、用户 操作、文档流转进行控制管理,防止文档内部核心信息非 统一管理的模式,适应企业网络环境,同时与企业已有 AD 法授权阅览、拷贝、篡改等,以达到既防止文档外泄和扩散, 域进行集成认证,实现单点登录。 又支持内部知识积累和文件共享的目的,高度符合企业需 求。 多模式工作:提供工作模式和个人模式两种运行 方式,及两种模式转换便利性。既方便用户使用又保护涉 密电子文件安全。 加密软件无缝替换:由于徐工集团已经使用了 41
典型案例 TYPICAL CASES 海关总署数据泄露防护解决方案 行业背景 的各种通讯协议及服务传输的内容进行分析、检测和响应; 并且事项能够根据关键字、正则等丰富的数据识别手段,识 海关总署与国家紧密联系,所涉及信息带有机密性, 别敏感标识内容;根据敏感内容以及用户身份检测敏感属性; 所以其信息安全问题,如敏感信息的泄露、网络资源的非 最后根据策略进行日志记录、事件告警,邮件告警等相应动 法使用以及勒索病毒等,都将对其信息安全构成威胁。尽 作。同时能够向海关现有的安管中心、认证系统、邮件系统 管已经采用了安全防护措施等方式来提高信息安全等级, 提供接口,根据海关数据制定适合海关情况的数据识别策略, 但在数据防泄露部分,大多还是以明文存储在服务器、终 与海关三统一平台整合并配合海关大数据云建设提供相关数 端及各种存储介质中,数据泄露的风险时刻存在,另外也 据。 无法做到对数据在内部使用权限和范围的管控。 其中终端数据泄露防护系统采用分散部署模式,以镜像 需求分析 模式部署于海关管理网用户接入与业务核心区域安全边界以 及管理网对外接入的外部边界,获取核心交换机上所有流量 海关总署于 2007 年成立安全组织机构,2008 年制定 的镜像数据,对从用户接入域到应用服务域的流量进行识别 海关等保标准,各直属海关完成系统定级。经过调研,海 审计,对通讯协议及传输的内容进行分析和检测。旁路监听 关的风险主要对于网络中传输的数据没有监控和审计;对 方式对用户无感知,不会影响原有网络架构,也不会影响海 于邮箱应主动或无意外发敏感文件没有必要的防护措施。 关正常业务。 因此有必要加强对海关信息系统,电子信息数据的安全防 护。特别是对敏感信息资源进行保护。双方沟通后,具体 数据安全需求分为两部分:信息中心和业务部门的系统安 全,这部分更侧重于整体系统安全防护;以及主要针对保 密办和办公厅两部门的内容安全,两部门由于涉密专人专 岗,涉密系统定级整改,所以更侧重涉密信息系统。 解决方案 针对海关总署问题痛点,亿赛通在其内网区域旁路部 署数据泄露防护系统,通过数据识别策略,对内网中传输 42
典型案例 TYPICAL CASES 1、主动泄露防御,分级精准控制 3、识别敏感内容,标记敏感级别 通过部署在内部网络和外部网络连接的出口处的网络 对海关总署通过网络协议的还原和对数据的检测分析, DLP 系统,对进出单位内部网络的所有网络敏感数据进行 获取此协议承载的数据情况,对违规内容进行安全防泄露 扫描防护,对敏感数据泄露事件可根据策略进行阻断。 处理,并进行违规数据统计和态势分析,在设备部署过程 系统能在事件发生时及时响应,包括:阻断、警告、 中,网络数据泄露防护系统部署在核心交换机取旁路镜像 日志记录、邮件通知。 数据流,对终端访问业务系统和外发时下载的数据进行内 容识别和敏感信息审计,数据泄露防护系统只取镜像数据, 系统能对用户角色和管理员角色进行划分和权限设置, 不影响网络数据的正常传输。 并将权限控制在最小范围内。 项目成果 支持旁路镜像流量部署。 支持物理串联部署。 亿赛通为海关总署建设科学先进、自主可信、可扩展 支持多层级部署架构,支持横向扩展能力。 又满足央企商密保护合规要求的全方位数据防泄密体系。 流量捕获设备与内容检查设备为一台设备,支持高可 具体实现了与海关与建设或正在建设的第三方平台对接, 用及扩展。 特别是与海关的安管中心。以 SNMP 或 SYSLOG 方式上传 管理平台及数据库高可用,支持使用多台管理平台构 系统运行状态和安全事件;整合后,可共用组织机构、人员、 建管理群集,防止单点故障。 岗位等信息,把用户、组织同步到 DLP 系统。现有的内网 邮件系统也进行了整合,从而实现所有通知信息均可通过 2、明确定位数据,全通道控制 邮件的方式进行通知;设置了数据识别策略后,保证了系 对海关总署内部邮件进行敏感内容防控,并进行增删 统对报关单仓单的敏感数据库文件的数据保护业务;并且 收件人,邮件正文替换,剥离敏感附件、邮件告警、邮件审批、 定期调整数据识别策略,以降低误报率和漏报率,是之符 邮件阻断等操作。 合实际工作和事件处置需要。本次系统部署可有效降低业 支持按用户、规则、全局设置白名单、审计策略。 务运营中的 IT 风险,提升海关敏感数据防护能力,降低多 可根据 IP、IP 段、域名、URL、关键字、文件类型、 重安全合规管理成本。 文件大小、发送者、接受者的检测等进行多维度灵活组合 策略配置。 每条策略可单独设置风险响应办法,包括邮件告警和 邮件处理等。 支持策略自定义,策略能够定义不同算法、算法的组 合逻辑,如与、或关系。 43
扫一扫,关注官方微信 联系我们 地址:北京市海淀区西二旗大街 39 号 A 座四层 电话:86-10-57933600 传真:86-10-57933600 咨询热线:400-898-1617 网址:www.esafenet.com
