隨著新技術(shù)、新業(yè)務(wù)在發(fā)展,物聯(lián)網(wǎng)、云計算、工控、移動、大數(shù)據(jù)等新的網(wǎng)絡(luò)形態(tài),使傳統(tǒng)網(wǎng)絡(luò)安全的范疇進(jìn)一步拓展,要求網(wǎng)絡(luò)安全體系也要隨之升級。在此背景下,等級保護(hù)2.0在各行業(yè)如火如荼地進(jìn)行著。
然而打鐵還需自身硬,作為企業(yè)資質(zhì)的“評審人員”,等保測評等第三方信息安全服務(wù)機(jī)構(gòu)自身的數(shù)據(jù)安全也面臨著合規(guī)監(jiān)管、與時俱進(jìn)的數(shù)字時代新要求。
政策要求 >>> 國家市場監(jiān)督管理總局和中國國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)能力要求和評估規(guī)范GBT36959-2018》中明文規(guī)定,測評機(jī)構(gòu)應(yīng)建立專門的文檔存儲場所和數(shù)據(jù)加密環(huán)境,嚴(yán)格管理測評相關(guān)數(shù)據(jù)信息。 >>> 中國合格評定國家認(rèn)可委員會近日發(fā)布通知,自2022年7月1日起實施《檢驗機(jī)構(gòu)能力認(rèn)可準(zhǔn)則在網(wǎng)絡(luò)安全等級測評領(lǐng)域的應(yīng)用說明》。其中對等保測評等第三方信息安全服務(wù)機(jī)構(gòu)的數(shù)據(jù)安全與管理都提出了明確的要求: ●數(shù)據(jù)安全層面:通知文件明確要求測評機(jī)構(gòu)在過程中應(yīng)當(dāng)建立數(shù)據(jù)和信息保密程序,采取技術(shù)措施保證相關(guān)數(shù)據(jù)和信息的全生命周期中的安全、保密和可控,切實做好在測評過程中收集到的國家秘密、工作秘密、商業(yè)秘密、重要敏感信息和個人隱私信息的數(shù)據(jù)防泄漏工作。 ●數(shù)據(jù)管理層面:明確組織機(jī)構(gòu)應(yīng)建立多層次、立體化的管理制度,通過各種措施對可能面臨的風(fēng)險漏洞進(jìn)行規(guī)避與控制。測評單位應(yīng)具有系統(tǒng)性、針對性、可行性的相關(guān)管理舉措。
行業(yè)需求 在測評活動中,被測單位提供的資料、等保測評進(jìn)程中生成的數(shù)據(jù)和記錄等都是保密要求極高的核心數(shù)據(jù)。并且,在測評活動開始前,測評機(jī)構(gòu)與被測單位還會就數(shù)據(jù)和信息安全等問題簽訂保密協(xié)議。一旦測評有關(guān)數(shù)據(jù)外泄,測評機(jī)構(gòu)不但面臨商業(yè)損失還會承擔(dān)法律風(fēng)險,可以說數(shù)據(jù)安全問題是整個測評活動有序推進(jìn)、圓滿完成的重要基石!對此,測評行業(yè)主要的數(shù)據(jù)安全需求主要包括: >>> 數(shù)據(jù)存儲安全 測評機(jī)構(gòu)通過調(diào)研收集、整理記錄產(chǎn)生的數(shù)據(jù),存儲在電腦終端中,這類數(shù)據(jù)或因為人員主動泄密等問題,帶來極其嚴(yán)重的損失; >>> 數(shù)據(jù)流轉(zhuǎn)安全 由于業(yè)務(wù)需要,數(shù)據(jù)會經(jīng)過業(yè)務(wù)系統(tǒng)或者內(nèi)部網(wǎng)絡(luò)進(jìn)行交互傳輸,在該過程中,可能存在數(shù)據(jù)竊取、設(shè)備丟失等問題,使企業(yè)數(shù)據(jù)面臨威脅; >>> 數(shù)據(jù)管理需求 面對海量的測評相關(guān)數(shù)據(jù),測評機(jī)構(gòu)要在內(nèi)部文檔管理系統(tǒng)中存儲3-5年,對這些數(shù)據(jù)如何進(jìn)行安全防護(hù)和有效管理。
敏捷方案 敏捷科技根據(jù)等保測評等機(jī)構(gòu)的實際數(shù)據(jù)安全需求,結(jié)合自身在數(shù)據(jù)安全領(lǐng)域及應(yīng)用系統(tǒng)安全方面的技術(shù)積累,研發(fā)了以主動式智能加密技術(shù)為核心的,集數(shù)據(jù)透明加密、外發(fā)管理、終端管理等功能于一體的統(tǒng)一平臺——敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS,從文件創(chuàng)建到刪除的整個生命周期進(jìn)行智能化的加密保護(hù)。 ? 智能加密 DGS系統(tǒng)在內(nèi)部部署后,對需要保護(hù)的文檔進(jìn)行強(qiáng)制自動加密。這些文檔在內(nèi)部辦公場景下是透明加密狀態(tài),不影響正常辦公使用。但是無論采取什么方式被帶離內(nèi)部環(huán)境以后,該文檔將無法打開、無法查看、無法編輯。有效防止在走訪調(diào)研等外出辦公場景下設(shè)備丟失、損壞、被竊取等造成的數(shù)據(jù)外泄風(fēng)險。 ? 安全外發(fā) 用戶可以根據(jù)自身不同的等級設(shè)置外發(fā)策略。需要外發(fā)的文件需要通過審批才允許外發(fā),對于特別重要的文檔,還可設(shè)置多級審批。可以根據(jù)需要對外發(fā)文件進(jìn)行權(quán)限管控,控制外發(fā)文件的編輯權(quán)限、使用時間、使用次數(shù)、打印權(quán)限、硬件綁定等。 ? 存儲管理 敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS通過集成云文檔管理DM對存儲在內(nèi)部系統(tǒng)中的文件實現(xiàn)統(tǒng)一高效的加密防護(hù)與集中管理,通過文檔內(nèi)部共享及鏈接外發(fā)實現(xiàn)高效協(xié)同辦公。面對海量數(shù)據(jù),采取多層次、顆粒度的權(quán)限控制,完善權(quán)限管理與內(nèi)部安全機(jī)制。不僅極大提升內(nèi)部辦公效率,確保文檔安全性,也滿足了企業(yè)日常文檔管理中的各種需求。
方案成效 該解決方案在當(dāng)前測評單位業(yè)務(wù)平臺的基礎(chǔ)上,提供大數(shù)據(jù)平臺,將數(shù)據(jù)安全防護(hù)系統(tǒng)相關(guān)日志信息進(jìn)行安全可視化展示,形成一套以集中運(yùn)維管理建設(shè)為核心,以數(shù)據(jù)生命周期管理為理念的“動態(tài)防御+安全管理”的安全服務(wù)支撐體系,實現(xiàn)了機(jī)構(gòu)內(nèi)部文件主動智能加密、未授權(quán)外傳打不開、文件加密存儲管理等效果。 ● 通過官方機(jī)構(gòu)對測評單位資質(zhì)、技術(shù)措施和管理制度的審核或復(fù)審,保證測評流程符合合規(guī)要求; ● 防止企業(yè)內(nèi)部因外出辦公、人員流動等人為因素造成的數(shù)據(jù)外泄,降低自身數(shù)據(jù)安全風(fēng)險; ● 通過技術(shù)手段與管理制度相結(jié)合,打造陽光透明、安全可靠的測評體系,提升客戶的信任感。
目前,隨著各項政策法規(guī)的不斷施行,合法合規(guī)的行業(yè)底線越來越清晰,對用戶、廠商、監(jiān)管者來講都是一個較大的課題。尤其對企業(yè)用戶來講,在合規(guī)壓力之下,更需在深刻了解國家監(jiān)管要求的基礎(chǔ)上不斷改善自己的安全防護(hù)能力,從而適應(yīng)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境,為自身長遠(yuǎn)發(fā)展打好安全基礎(chǔ)。 同時,測評機(jī)構(gòu)等第三方信息安全服務(wù)機(jī)構(gòu)自身水平的不斷提高、等級保護(hù)制度的不斷完善必將使我國的網(wǎng)絡(luò)安全防護(hù)水平得到穩(wěn)步提升,為數(shù)字經(jīng)濟(jì)發(fā)展筑牢安全屏障的同時,守護(hù)人民利益,護(hù)航國家安全。