网御星云：企业数据安全“防护难”？上好合规“安全锁”是关键!

随着《网络安全法》《数据安全法》《个人信息保护法》的全面实施，网络安全主管部门、监管部门针对各企事业单位数据安全保护合规督查的力度也不断增强，近阶段全国范围内接连出现数据使用单位因数据安全保护不当造成安全事件而被处罚，处罚措施包括单位和主要责任人分别被罚款、警告等。由此可见，数据安全合规保护工作迫在眉睫，必须开展针对单位内重要数据、核心数据、个人信息相关等数据的安全监测与管控保护。

上海某银行因违反征信安全管理规定等被处罚90万！

南昌某高校发生数据泄露事件，被处罚80万！

上海某政务系统承包商因公民个人信息泄露遭境外披露兜售而被处罚！

福建某银行因涉及个人信息安全被罚426.5万！

……

为什么企业数据安全“防护难”？

造成数据泄露，既有外部黑客的攻击，更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等。究其原因，可能是由于管理人员安全意识薄弱、安全体系老旧、安全策略过时所致。具体来看，企业数据安全“防护难”主要归结为以下原因：

单位内的数据资产不清

由于单位内的业务系统是逐步建设，随着业务中涉及的敏感数据不断增多，数据资产家底的管理难度大，难以全面掌握数据库中敏感数据的内容、数据类型、数据的位置等信息。同时，由于数据业务系统增多，人工梳理无法满足当前管理需求，缺乏自动化手段对数据进行有效梳理。

数据安全防护对象偏离

数据安全事件20%来自于外部，而80%来自于内部。而实际工作，偏重针对外部攻击的防护，往往忽略内部的安全威胁。由于缺乏行之有效的安全管控措施，内部人员造成的数据泄露往往更加隐蔽、更难发现和管控。

数据安全策略管理缺失

虽然很多单位都有安全管理制度，但安全策略往往过于抽象，从安全管理制度到具体的数据安全产品策略之间存在真空，虽然部署了多种数据安全产品，但产品间各自为政，无法获知整体安全风险，安全管理制度也无法真正落地。

缺乏有效的溯源能力

单位内部对数据共享或者传输过程中发生的泄露缺乏数据标识能力，无法进行有效溯源，定位其相关责任人，也无法对数据泄露形成有效威慑。

数据安全风险未知

大部分单位有审计无分析，针对运维操作、应用操作、接口访问行为只是记录，甚至有些单位根本没有记录。同时，缺乏有效的数据安全风险分析识别能力，无法对用户历史行为变化和同类型用户的行为进行有效分析，数据风险不能有效防范。

网御星云数据安全建设之道

网御星云数据安全治理管控体系包含数据安全管理体系、数据安全技术体系、数据安全运营体系三大部分。从管理组织建设、制度体系、策略优化入手，可协助各单位完成数据安全管理制度体系层级和数据安全组织建设。最后通过数据安全治理管控平台（DSMP）驱动各种数据安全能力建设，形成完善的数据安全运营能力。

数据安全治理管控平台（DSMP）是数据安全保障的作战指挥系统，在整个数据安全治理体系中处于核心的枢纽地位：向上承接各类制度规范的拆分和解读，使之成为具体可落地、可执行的安全策略；向下基于统一的、全局的安全策略驱动和调度各种能力组件（数据安全产品）执行各种安全策略。数据安全治理管控平台（DSMP）同时提供对安全运营服务的支撑，使得制度、规范、流程、风险评估、安全能力、安全策略形成闭环，从而为数据安全构建起一套综合的防护体系。

针对数据处理活动建立全面的安全管理制度

《数据安全法》第32条和第51条要求，“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。”“窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。”网御星云可帮助各单位健全数据全生命周期的数据安全管理制度，采取相应的技术措施，保障合法合规处理数据，履行数据安全保护义务，明确数据安全负责人和管理机构，落实数据安全保护责任。

需要开展单位内部数据分类分级管理工作

网御星云可协助各单位针对重核数据建立识别与管理制度。目前在政务、运营商、金融、互联网等行业数据分类分级管理办法已出台，在此项基础上还需针对重核数据进行识别，对于不同类型和等级的数据做不同的处理要求，制定相应的管理制度，履行相应审批程序。

数据全生命周期的合法合规保障措施

《数据安全法》第3条指出：数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。网御星云可通过相应的数据安全技术及数据安全产品，助力各单位围绕数据全生命周期全面开展数据安全监测和管理，保证数据的安全及合法合规使用。

加强数据安全风险监测，完善数据安全运营能力

网御星云通过全面的数据安全风险监测，协助各单位不定期开展风险评估工作，针对所处理重要数据的种类、数量、开展数据处理活动的情况，数据安全风险及其应对措施等进行定期风险评估。发现异常第一时间形成事件并告警，同步开展应急响应处置工作。

网御星云数据安全治理管控体系目前已在运营商、政府、企业、医疗、金融等多行业广泛应用，不断为各行业用户开展数据安全治理管控工作保驾护航。未来，网御星云还将专注于核心技术和创新突破，致力于打造出符合中国特色的数据安全解决范式。