监管部门解决方案
构建常态化监管手段,推进数据安全政策落实,防范安全事件发生
市场背景
当前,全球范围内数据安全监管趋严,我国也相继发布了《网络安全法》、《数据安全法》、《个人信息保护法》为首一系列法律法规及标准规范,进一步明确和压实了政府相关监管部门以及企业内部监管机构的数据安全监管职责与要求,然而新兴技术的广泛应用、业务模式的不断创新、应用场景的日益复杂,给如何高效开展数据安全的监管工作带来了巨大的挑战,如何提高安全监管的时效性、准确性,提升数据风险识别与处置效率,确保数据安全监管质量与实施成果,是亟需解决的一大难题。
痛点分析
风险检查手段不足,感知能 力缺乏
随着互联网技术发展,协议加密、网络代理、数据类型多变、数据量剧增等都给数据风险检查工作带来巨大挑战,基于网络安全和边界防护为核心的风险评估手段,缺乏面向海量数据业务环境下的数据安全问题检测能力,导致风险识别能力不足,风险预测不准等问题。
数据泄露监管缺乏高效技术 手段支撑
数据泄露形式和途径已呈现多元化、隐蔽化,非法意图往往藏匿于正常业务中,单一技术手段或突击式检查难以应对复杂数据窃取行为,存在信息片面化、碎片化、模型化分析数据不全等,从而导致数据安全泄露风险识别不全、违规行为定位不准、重要问题遗漏等问题。
安全事件预警失效慢,回溯 取证难
安全事件预警和溯源往往需要综合数据在业务类型、场景的多个时间段、多个实体的历史操作记录的关联分析,才能有效定位问题根源,缺乏对安全风险或异常行为的定位、持续监测、记录、及情景分析能力,导致安全事件可知不可溯的困局。
方案介绍
围绕数据安全监管核心要素,结合网络数据流转与业务应用过程,采用以定期评估检查为基础,常态流量监管为核心,动态定向检测为补充的多种监管技术及手段相结合模式,构建人技结合、相互融通、相互支撑的闭环监管体系,实现安全监管立体化、风险预警实时化、异常监测持续化、监管态势可视化、监管执法精准化、问题整改彻底化等监管目标,全面防范数据泄露事件发生,保障数据安全合规使用。
网络数据资产梳理
采用深度流量还原解析技术对网络数据资产传输、使用、共享等过程中的数据进行识别与分类分级标记,梳理业务系统资产及敏感数据分布、流转等关系,明确重点监管对象、应用场景及安全策略等。
数据脆弱性监测
对企业业务系统中敏感数据本体及载体的技术脆弱性、处理活动要素脆弱性等进行风险识别分析,结合数据识别结果及安全保护策略,对标安全技术保障现状与合规要求偏差,对识别后的安全风险进行预警与数据泄露影响量化评分,并提示改进措施。
数据泄露监测
根据企业业务服务流程、方式及安全合规管控要求,构建数据访问、操作、流转等关系、范围及行为基线,通过对网络数据的访问方式、操作频次、流转路径、传输信息等多维度关联分析,识别网络数据操作过程中的数据泄露行为。
异常行为分析
基于大数据、利用机器学习、深度学习等技术,以部门、个人、资产等为单位建立多维度行为基线,关联用户与数据资产的行为,利用机器学习算法与自学习+专家干预模式建立的规则,找出严重偏离基线的异常行为,对数据访问实体行为进行画像及风险评分,构建行为评价模型,分析网络数据使用中的异常行为。
事件溯源取证
对采集到的业务分析数据,监测日志数据、告警事件数据、策略数据按照综合分析系统内部数据模型进行标准化,提取关键告警因子,回溯用户/IP等访问行为全量轨迹,定位数据安全异常、违规操作等事件关联数据,取证关键信息。
数据安全态势可视化
对监测数据进行综合分析和全局可视化展现,统计和展现业务系统与敏感数据分布情况、实体间数据交互流量、敏感数据流向与业务关系、异常行为及变化趋势、数据泄露风险指数、数据安全总体趋势、TOP10告警类型及数量、数据安全合规状态等信息。
方案价值
洞悉网络数据资产、完善业务与数据监管
01
基于线下人工录入或补充、线上自动识别梳理、定期自动同步等多种资产盘点机制,实现对安全监管数据资产的全面摸底,聚焦数据价值及风险场景,形成一类一档、一级一档、一期一档等多种监管机制,构建完善的网络数据安全监管档案。
防范数据泄露,保障数据安全合规使用
02
通过体系化监管模式,将各种风险识别检测技术和检查工作融入数据使用各个环节,形成系统性的数据泄露风分析和诊断能力,综合评价数据安全风险态势,,确保数据安全合规使用。
提升数据安全管理水平、服务水平、决策效率
03
通过构建层次化监管体系,实现对数据安全风险的自动识别、关联分析、及时预警等监管的自动化、智能化处理。
方案案例
某省数据安全监管部门
借助于平台的监测预警能力与持续运营,实现了基于业务与数据安全监管的自动化风险监测预警机制,期间共监测发现近百个业务系统涉及的近两百项数据安全风险问题,并通过数据安全风险问题的通报处置构建了从问题发现、通报、整改、复核整套闭环监管流程,从一定程度上提升了所辖政务系统的数据安全管控能力,降低了各业务系统数据泄露的风险。