近年来,各行业数据泄露事件频发,大有越演越烈的趋势,给企业带来了巨大的经济损失,严重影响了公众的正常生活,数据安全问题已成为社会、企业、用户最为关注的热点。国家和有关部委通过立法、行业监管等手段,持续强化敏感数据保护工作,包括《网络安全法》、《数据安全法》、《个人信息保护法》(草案)等。
数安法明确规定各类数据处理者应当承担的数据安全保护义务及相应责任,建立健全全流程数据安全管理制度、数据分类分级保护制度、应急处置机制、数据安全风险评估和监测预警机制,定期开展数据处理活动风险评估并向有关主管部门报送风险评估报告。为满足法律法规及监管要求,提升企业数据安全防护能力,需定期开展数据风险评估,但在实际的数据安全风险评估过程中,面临诸多挑战:
-
数据使用情况不清:企业不清楚业务系统使用了哪些数据,这些数据安全防护措施是否到位,这些数据都流转到了哪里,是否存在出境的情况,导致无法有针对性的开展风险进行评估。
-
风险评估手段欠缺:目前数据安全风险评估主要通过人工调研、文档审阅等方式进行,工作量大,且评估检测不全面;无法有效支撑短时间内大量数据安全风险评估,缺乏有效的风险评估手段。
-
评估流程和不规范:风险评估人员主观意识强,不够客观公允;评估方法流程不统一,评估效果取决于受检方准备的材料和检测方的经验等;
针对上述问题,企业需要一款灵活、便携、智能、易于扩展的数据安全风险评估检测工具,协助开展数据安全风险评估,弥补现有风险评估手段的不足;以适应不同数据安全检查、风险评估等不同安全风险检测场景。评估工具基于网络流量,以数据分类分级为基础,聚焦“账号风险、暴露风险、权限风险、传输风险、异常行为”风险检测,采用流量协议还原、数据识别、机器学习等技术,帮助评估人员理清被评估系统敏感数据使用情况,自动识别数据安全风险。工具采用基础能力、风险分析、可视化三层分离架构,通过SDK插件方式重构风险分析层,以支持风险模型迭代更新。
工具就近部署在业务系统侧,实现流量采集、日志还原、敏感数据识别、数据流动审计和异常行为分析,发现敏感数据泄露途径、风险事件和不合规的操作,并对安全事件进行溯源取证和风险预警,实现重点业务场景下的敏感数据流动检查及违规行为检查。