11月23日，以“數(shù)字賦能共創(chuàng)未來——攜手構(gòu)建網(wǎng)絡空間命運共同體”為主題的“世界互聯(lián)網(wǎng)大會·互聯(lián)網(wǎng)發(fā)展論壇”在烏鎮(zhèn)開幕。其中，主論壇聚焦全球網(wǎng)絡空間發(fā)展新熱點和新趨勢，圍繞“數(shù)字經(jīng)濟與科技抗疫”展開了熱烈的探討。

　　“中國抗疫成功經(jīng)驗有兩條：一是黨和政府的英明領導，二是數(shù)字技術(shù)的廣泛應用”。奇安信董事長齊向東在主論壇演講中表示，誠然，數(shù)字技術(shù)不僅僅輔助流行病學調(diào)查，追蹤疑似病例，而且還滲入了生活中的方方面面，最大程度滿意了疫情期間的工作生活。然而，數(shù)字技術(shù)的大范圍應用帶來了公民個人隱私數(shù)據(jù)的集中，這就在一定程度上加大了數(shù)據(jù)泄露的風險。

　　另一方面，隨著《中華人民共和國個人信息保護法(草案)》(簡稱“草案”)的正式公布，個人信息處理過程中的行為主體、相關違法行為及懲罰力度做出了明確的規(guī)定。政企機構(gòu)將面對最高可達5000萬元(或者不超過年營收5%)的罰款，個人信息保護的壓力陡然增加。

　　作為新一代網(wǎng)絡安全領軍企業(yè)，奇安信基于內(nèi)生安全框架和全生命周期大數(shù)據(jù)安全保護能力，正式推出了奇安信個人信息保護解決方案，通過識別、防護、檢測、響應恢復的閉環(huán)設計，幫助政企機構(gòu)做好個人信息的監(jiān)測與保護。

　　愈加嚴格的合規(guī)監(jiān)管

　　據(jù)奇安信數(shù)據(jù)安全專家介紹，關于個人信息安全相關違法行為主要包括兩類，第一類是對于個人信息的非法采集和使用;第二類是對于存儲的個人信息保護不力。

　　最新統(tǒng)計數(shù)據(jù)顯示，截至2020年6月，我國網(wǎng)民規(guī)模達9.4億，手機網(wǎng)民規(guī)模達9.32億，網(wǎng)站數(shù)量為468萬個，App數(shù)量有359萬個。面對如此海量的應用，個別信息處理者從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，已經(jīng)嚴重危害到人民群眾的生活安寧、生命健康和財產(chǎn)安全。

　　對此，“草案”對個人信息處理活動中個人的各項權(quán)利進行了明確，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。

　　與此同時，“草案”明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應的安全技術(shù)措施，并指定負責人對其個人信息處理活動進行監(jiān)督;定期對其個人信息活動進行合規(guī)審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估;履行個人信息泄露通知和補救義務等。

　　“草案進一步規(guī)范了個人信息的定義、個人的權(quán)利、個人信息處理者的義務、履行個人信息保護職責的部門，并明確了違反個人信息保護法的懲處力度(最高處以5000萬元以下或者上一年度營業(yè)額5%以下的罰款)。”奇安信數(shù)據(jù)安全專家說，個人信息保護應受到空前的重視。

　　以內(nèi)生安全框架規(guī)劃個人信息保護

　　“個人信息安全的防護體系需要結(jié)合法規(guī)及業(yè)務業(yè)務需求，從頂層視角出發(fā),支撐各行業(yè)的建設模式從局部整改外掛式走向深度融合體系化。”奇安信數(shù)據(jù)安全專家說，在新形勢和新環(huán)境下，傳統(tǒng)防護手段已經(jīng)失效，需要用內(nèi)生安全來保障個人信息安全。內(nèi)生安全框架能指導不同行業(yè)輸出符合其特點的體系化、實戰(zhàn)化的網(wǎng)絡安全架構(gòu);通過分解為可落地實施的“十大工程五大任務”，推動個人信息保護等不同場景安全體系的規(guī)劃、建設和運行。

　　作為第五大工程，“面向大數(shù)據(jù)應用的數(shù)據(jù)安全防護”明確指出，數(shù)據(jù)集中導致風險集中，數(shù)據(jù)流轉(zhuǎn)產(chǎn)生更多攻擊面。應基于數(shù)據(jù)全生命周期及數(shù)據(jù)應用場景，開展數(shù)據(jù)安全防護工作，保障大數(shù)據(jù)采集、存儲、傳輸、處理、使用、共享開放、銷毀安全。

　　基于該能力框架，奇安信推出了個人信息保護解決方案，針對政企機構(gòu)的個人信息安全保護做了完整的內(nèi)生安全設計，涉及隱私衛(wèi)士、數(shù)據(jù)防泄漏、天擎終端安全管理系統(tǒng)、安全訪問代理、應急響應、安全教育等多款產(chǎn)品和服務，通過識別、防護、檢測、響應恢復的閉環(huán)流程，幫助政企機構(gòu)做好個人信息的監(jiān)測與保護。

　　個人信息保護三步走

　　奇安信數(shù)據(jù)安全專家強調(diào)，個人信息保護解決方案落地，至少包括個人信息治理、業(yè)務運行過程控制、階段性專項治理三個步驟。

　　第一步，個人信息治理。個人信息治理通常需要達成四個基本目標，促進有效且合規(guī)使用個人信息，為客戶提供高質(zhì)量的服務;鼓勵員工緊密合作，避免重復工作，以便更有效的利用資源;形成制度并為員工提供適當?shù)墓ぞ呒爸С?，以便他們高質(zhì)量、一致性的執(zhí)行策略;讓組織能夠了解個人信息保護水平及問題，以便進行更加有效的改進。

　　想要達成上述四個基本目標，首先就要完成內(nèi)部審計，并且追蹤每一條信息的來源和去向，它即從個人信息治理的角度，識別業(yè)務涉及的個人信息(相關個人敏感信息的判定參考 GB/T 35273 )，對個人隱私的影響，并提出降低或者消除這些影響的建議。

　　其次是進行風險評估，從而制定整體策略。一旦確定了風險，就應該審查現(xiàn)有的信息安全控制(虛擬和物理)，以確定它們是否足以緩解風險?？紤]到業(yè)務流程、信息、人員、應用程序和基礎架構(gòu)會不斷發(fā)生變化，所以伴隨著技術(shù)和安全風險局面的不斷發(fā)展，企業(yè)事業(yè)單位應該定期審查和監(jiān)控個人信息安全控制策略。

　　在完成了內(nèi)部審計和風險評估的基礎上，依據(jù)內(nèi)部審計及風險評估結(jié)果，進一步梳理各個業(yè)務場景中個人信息使用的全生命周期，對各個環(huán)節(jié)落實制定相關策略、工具、措施(詳見后述業(yè)務運行過程控制章節(jié))等，如下為某單位個人信息處理流程及表單示例。

　　第二步，業(yè)務運行過程控制。奇安信數(shù)據(jù)安全專家強調(diào)，依據(jù)不同的業(yè)務場景，個人信息控制措施各有不同，因此需要明確您的業(yè)務需要獲取和已經(jīng)獲取了哪些個人信息，避免信息的過度采集，并對必要信息實現(xiàn)全生命周期防護。當然，數(shù)據(jù)安全沒有絕對，因此政企機構(gòu)還應制定并提前演練應急響應措施。

　　針對目前廣泛存在的信息過度采集，奇安信網(wǎng)神隱私衛(wèi)士可對個人信息采集的方式(自身采集/第三方采集)、使用權(quán)限(自身使用/第三方使用)、采集頻率、是否出境、是否與隱私政策描述實質(zhì)符合等進行合規(guī)檢測，覆蓋收集規(guī)則、使用規(guī)則、條款狀態(tài)、用戶權(quán)益等7個類別，50多個檢測項，并且具備可擴展的檢測能力。

　　針對終端層面的個人信息安全防護，奇安信天擎終端安全管理系統(tǒng)能夠及時阻斷違反政企機構(gòu)的個人信息保持策略的外部連接，還可以收效取證，協(xié)助抓獲內(nèi)鬼交易的黑手。該系統(tǒng)不僅準確性高，更能適應涉密單位的高安全要求。

　　同時，奇安信安全代理服務器對網(wǎng)頁傳輸?shù)膬?nèi)容、聊天工具傳輸內(nèi)容、郵件傳輸內(nèi)容以及個人信息竊取工具進行實時安全防護，既能防止內(nèi)部敏感內(nèi)容外傳，也能夠抵擋外部惡意信息竊取行為，高效保障業(yè)務順暢穩(wěn)定運行。

　　另外在數(shù)據(jù)層面，作為奇安信個人信息保護解決方案核心產(chǎn)品，奇安信網(wǎng)神數(shù)據(jù)防泄漏系統(tǒng)能夠幫助政企單位進行數(shù)據(jù)安全治理，自動化發(fā)現(xiàn)敏感數(shù)據(jù)并集中展示，全面跟蹤數(shù)據(jù)使用過程，進而及時發(fā)現(xiàn)內(nèi)部人員異常訪問行為并自動分析，然后基于業(yè)務流程及安全策略進行自動處置，第一時間避免大規(guī)模數(shù)據(jù)泄露。

　　與此同時，為進一步降低內(nèi)部員工泄露數(shù)據(jù)的風險，針對權(quán)限過高的賬戶，奇安信特權(quán)帳號管理系統(tǒng)及特權(quán)會話管理系統(tǒng)能夠幫助政企機構(gòu)全生命周期的實施特權(quán)帳號管理工作，在降低內(nèi)部特權(quán)賬號安全風險的同時，更能防范外部攻擊者利用泄露的特權(quán)賬號進行敏感數(shù)據(jù)竊取，有效防范個人信息泄露。

　　需要注意的是，數(shù)據(jù)在使用和流轉(zhuǎn)的過程中，應保證最小化使用原則。奇安信網(wǎng)神數(shù)據(jù)脫敏系統(tǒng)在進行數(shù)據(jù)脫敏處理全過程中保持數(shù)據(jù)不落地的原則，提高數(shù)據(jù)使用安全鏈條的完整性，并且具備靈活的脫敏方案，滿足數(shù)據(jù)分析、開發(fā)測試、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等場景需求。

　　第三步，階段性專項治理

　　個人信息保護應該安排適當?shù)呐嘤枴①Y源配置和管理重點，進而在政企單位員工中培養(yǎng)一種個人信息安全文化。另外還可以有針對性的展開專項治理工作，包括信息泄露事情處置完成之后，即刻展開機會教育，以及結(jié)合國家法規(guī)宣傳，或者在合適的業(yè)務階段、時刻，進行配合宣傳。

　　除了大力開展安全意識教育以外，還應當定期開展實戰(zhàn)攻防演練。近年來，各行業(yè)實戰(zhàn)攻防演練日益頻繁，主要是為了驗證安全防護能力，評估安全防護執(zhí)行程度，發(fā)現(xiàn)安全防護盲區(qū)，舉證安全隱患及其危害，給出整改意見并進行有針對性的加固或者整體改善建議，同時對安全意識宣傳也是個很好契機。

　　當然，萬一政企機構(gòu)發(fā)生個人信息泄露事件，還可以直接尋求奇安信CERT和奇安信安全服務團隊的幫助。

　　據(jù)介紹，奇安信CERT致力于借助技術(shù)創(chuàng)新，為各主流企業(yè)級應用軟件/系統(tǒng)做好漏洞監(jiān)測，能夠為企業(yè)級用戶提供高危漏洞、重大安全事件安全風險通告和相關產(chǎn)品解決方案。尤其是在突發(fā)公共事件或重大活動保障中，將投入精兵強將實時響應。

　　奇安信安全服務團隊以攻防技術(shù)為核心，聚焦威脅檢測和響應，通過提供咨詢規(guī)劃、威脅檢測、攻防演習、持續(xù)響應、預警通告、安全運營等一系列實戰(zhàn)化的服務。奇安信多次承擔國家級的重大活動網(wǎng)絡安全保障工作，擁有穩(wěn)定可靠的網(wǎng)絡安全服務體系——全維度管控、全網(wǎng)絡防護、全天候運行、全領域覆蓋、全兵種協(xié)同、全線索閉環(huán)。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。