jidunkeji的博客

数据的流通使用是创新的动力，但安全和合规是不可逾越的底线。企业如何在这三者之间找到平衡点？极盾科技，助力某金融租赁机构，基于极盾·觅踪构建，实现10＋核心应用系统的统一管理，对（姓名、身份证、手机号、银行卡、地址）基于用户身份实现，并结合实现，以满足更多场景的不同需求。

若特权账号拥有社交平台，它们的日常或许是这样的：“今日又遇管理员‘微服私访’，机智如我，轻松化解一场‘误会’！“谁说特权账号就得嚣张？我其实也是个乖宝宝，只是偶尔调皮一下而已。“听说最近有人想黑我？哼，我可是有‘金钟罩’护体的，不怕不怕！特权账号，以其高级权限、数量少但影响大、高风险等特性，成为安全防线的关键节点，亟需精细管理与严密防护。作为业务数据安全的守护者，极盾·觅踪如何守护特权账号的“三生三世”？

本文搜集了与数据资产目录相关的政策文件，总结出其中的数据资产清单模板，包含金融、交通、卫生健康、公共数据、工业、政务、气象等领域，希望对此领域感兴趣的同学能够起到一定借鉴作用。

为了积极响应国家以及行业政策的号召，银行业正全力推动数据分类定级工作，并通过数据安全评估，了解行内数据安全建设现状，以有效贯彻金融数据生命周期全过程安全管理策略。极盾科技助力某农商行，基于极盾·智辨，完成：1、覆盖目录框架，构建数据安全制度相关文档2、梳理了个重点业务系统，字段的识别打标，实现数据自动分类分级，建立包含的数据安全分类分级目录，明确数据分类分级结果，输出数据分类分级全景图，并制定出一套可行的数据分级保护策略。

极盾·觅踪，围绕业务构建动态零信任机制，基于UEBA（用户实体行为分析），进行离职风险监测，能够全面覆盖员工离职的全周期，包括已离职、离职中以及预离职。

数据安全建设，不是单纯的产品功能的堆砌，也不是一蹴而就的一次性项目。

关于个人信息安全，本文搜集了26项国家标准、18项行业标准以及24项团体标准，以供对此领域感兴趣的同学参考。

数据的流转路径反映的是业务的运营流程，本质上是人员的行为在执行种种操作，围绕内部人员（包括正常员工，无意的违规者以及内鬼、报复人员等主观恶意的攻击者）在账号、权限、访问行为、数据操作等不同维度行为特征的挖掘，结合。即全面了解数据访问主体，网络安全的视角关注到的仅仅是访问账号，但是如今数据的复杂流转场景决定了，账户背后的“人”在数据使用访问过程中的各类属性信息，才能构建出动态人员画像，实时发现可疑行为。三个基础问题，有机融合调研、技术、管理手段，最终形成有效的运营管控体系，从而保障数据的安全使用。

本文梳理出有关数据安全的49项「团体标准」，包括工业、金融、交通、医疗、教育等行业，以供大家参考。

首先对企业的数据安全现状进行调研以及风险评估，并制定相匹配的数据安全管理规范制度，然后通过敏感数据识别、数据分类分级、权限管控、数据脱敏、数据水印溯源、UEBA行为管控、日志审计、态势感知等安全技术手段构建一套数据安全防护体系，加强数据安全监测和风险预警，全面提升数据安全防护能力，筑牢数据安全防线。通过日常的数据安全运营，定期的数据安全风险评估结果与组织适用的外部法律法规、监管要求、标准规范进行对标，发现不满足要求的评估项，再通过改进业务方案或强化安全技术手段的方式实现风险防范，以满足监管要求。

在监控管理系统层面提出指令管理、数据展示、事件追踪处置、基础管理等功能的技术要求，在基础能力系统层面提出数据资产管理、访问和操作审计、数据脱敏、数据溯源、数据加密、应用流量安全、数据接口安全、集中管控与数据展示、事件追踪处置、数据上报与指令接收、基础管理等功能的技术要求。本标准适用于互联网行业的组织机构进行自身的数据安全管理，提升自身的数据安全能力。本标准适用于公有云服务的文件数据安全标记的表示、生成、使用和管理，主要适用于公有云服务的文件数据流动的审计和监管所需的标记的表示、生成、使用和管理。

基于访问主体（部门、岗位、职位、角色、账号等）、访问数据（数据种类、数据级别等）、访问环境（IP、操作系统、设备等）、操作行为（导出、下载等）等多重维度信息，识别多层面的用户身份并自定义脱敏规则策略，针对不同的身份采用不同的动态脱敏规则，对不同权限的用户可分别返回真实数据、遮盖数据等脱敏结果。脱敏后，仍会持续运营分析，结合数据使用情况、权限使用情况等进行持续分析调优，为不同角色、不同权限、不同数据类型实时执行最优的脱敏方案，真正实现“数据使用”和“安全管控”的双向奔赴。

概述/要求：GB/T 33770 的本部分规定了信息技术外包服务中数据保护所涉及的数据生命周期、数据主体权利、数据管理者、数据管理、管理机制、数据获取、数据处理、安全管理、过程管理、应急管理等方面的基本规则和要求。其他相关机构可作为参考。概述/要求：本文件规定了智慧城市场景下智慧停车的数据分类、数据元素、数据采集要求、数据传输要求、数据处理要求、数据存储要求、数据交换要求、数据管理要求。概述/要求：本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。

本文搜集了2024年第一季度数据安全相关的9项国家政策、7项地方法规、6项行业规范、6条国家标准、5条地方标准、5条团体标准、12条行业标准以及15篇行业相关报告，共65份文件，以供大家参考。数据作为新型生产要素，已成为我国数字经济发展的核心资源，也是国家重要资产和基础战略资源。在依托数据价值释放，打造数字化、网络化、智能化的环境背景下，保障各行业领域的数据安全至关重要。数据安全作为数字经济之“盾”，已迈入高质量发展的关键时期。即可打包下载本文所有资料“PDF完整版”回复关键词“2024Q1数据安全”

遵循法律法规要求和行业标准规范，结合企业组织架构、管理方针，制定企业数据安全管理总则、管理制度、实施规范和工作模版等，帮助机构制定可持续化的数据安全运营体系，支撑管理制度和技术工具的落地，覆盖日常运营、数据安全评估、应急保障等场景，实现数据安全管理运营流程化、规范化，持续保护数据安全。极盾科技作为数据安全提供商，始终秉持“让数据使用安全、合规、自由”的理念，紧跟时代发展与政策要求，在数据安全等前沿领域持续推出自主创新产品和解决方案，为护航企业数据安全贡献力量。

针对业务应用场景，先汇集账号、设备、使用环境、岗位、角色、权限等众多属性信息，构建一个丰满的人物主体，再以人物主体为中心，汇集主体在不同场景不同业务应用的所有行为信息，识别行为操作涉及的权限范围和敏感数据资产，最后基于机器学习算法和专家规则可以做到实时的数据安全分析。除了事前盘点和事中防护，在事后安全事件应急响应过程中，该解决方案可以根据泄漏信息进行调查分析，溯源复盘，固定证据，最后生成调查分析报告，并完整记录所有的日志信息，从而满足企业合规审计的需求。

概述/要求：《指导意见》明确了数据安全产业发展的指导思想和基本原则，提出了至2025年、2035年分别需要实现的发展目标，并基于此确定了七大重点任务：提升产业创新能力、壮大数据安全服务、推进标准体系建设、推广技术产品应用、构建繁荣产业生态、强化人才供给保障、 深化国际交流合作。概述/要求：各相关企业要采取管理和技术措施，按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于有效保护和合法利用状态，保障车联网安全稳定运行。

本文通过总结网络安全和数据安全应急响应相关政策文件，并总结出一份从无到有的数据安全应急预案实战指南，助力企业打造高效的数据安全应急体系。

极盾科技助力某汽车科技公司，构建敏感数据实时风险监测平台，通过用户行为和实体分析系统（UEBA），打通数据和安全桥梁，实现敏感数据流动风险行为监控，半年内共计检测78万条内部员工的应用日志，发现10017个账号，所录13个特征中高达9个发出异常告警，48个账号存在高风险异常，发现“离职员工异常访问”、“非业务时间频繁操作”等异常行为。

数据安全，从关注数据本身的1.0阶段、聚焦汇聚安全的2.0阶段，不断进化到专注流通安全的3.0阶段，不仅是技术和生产的驱动，亦是数据安全法律法规的实际响应。极盾科技，作为业务数据安全的守护者，一直专注于数据流通安全，并在政策汇总、报告撰写、法规解读等方面输出一系列干货内容。等政策资料进行汇总，以「关键词」作为下载索引，点击标题可直接查看原文内容。“季度篇”“行业篇”“能力篇”“国标篇”“报告篇”“解读篇”，回复相应关键词即可下载（关键词详见下文引号）。若要下载本文所列资料，关注。