11月23日,以“数字赋能共创未来——携手构建网络空间命运共同体”为主题的“世界互联网大会·互联网发展论坛”在乌镇开幕。其中,主论坛聚焦全球网络空间发展新热点和新趋势,围绕“数字经济与科技抗疫”展开了热烈的探讨。

“中国抗疫成功经验有两条:一是党和政府的英明领导,二是数字技术的广泛应用”。奇安信董事长齐向东在主论坛演讲中表示,诚然,数字技术不仅仅辅助流行病学调查,追踪疑似病例,而且还渗入了生活中的方方面面,最大程度满意了疫情期间的工作生活。然而,数字技术的大范围应用带来了公民个人隐私数据的集中,这就在一定程度上加大了数据泄露的风险。

另一方面,随着《中华人民共和国个人信息保护法(草案)》(简称“草案”)的正式公布,个人信息处理过程中的行为主体、相关违法行为及惩罚力度做出了明确的规定。政企机构将面对最高可达5000万元(或者不超过年营收5%)的罚款,个人信息保护的压力陡然增加。

作为新一代网络安全领军企业,奇安信基于内生安全框架和全生命周期大数据安全保护能力,正式推出了奇安信个人信息保护解决方案,通过识别、防护、检测、响应恢复的闭环设计,帮助政企机构做好个人信息的监测与保护。

愈加严格的合规监管

据奇安信数据安全专家介绍,关于个人信息安全相关违法行为主要包括两类,第一类是对于个人信息的非法采集和使用;第二类是对于存储的个人信息保护不力。

最新统计数据显示,截至2020年6月,我国网民规模达9.4亿,手机网民规模达9.32亿,网站数量为468万个,App数量有359万个。面对如此海量的应用,个别信息处理者从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,已经严重危害到人民群众的生活安宁、生命健康和财产安全。

对此,“草案”对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

与此同时,“草案”明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。

“草案进一步规范了个人信息的定义、个人的权利、个人信息处理者的义务、履行个人信息保护职责的部门,并明确了违反个人信息保护法的惩处力度(最高处以5000万元以下或者上一年度营业额5%以下的罚款)。”奇安信数据安全专家说,个人信息保护应受到空前的重视。

以内生安全框架规划个人信息保护

“个人信息安全的防护体系需要结合法规及业务业务需求,从顶层视角出发,支撑各行业的建设模式从局部整改外挂式走向深度融合体系化。”奇安信数据安全专家说,在新形势和新环境下,传统防护手段已经失效,需要用内生安全来保障个人信息安全。内生安全框架能指导不同行业输出符合其特点的体系化、实战化的网络安全架构;通过分解为可落地实施的“十大工程五大任务”,推动个人信息保护等不同场景安全体系的规划、建设和运行。

作为第五大工程,“面向大数据应用的数据安全防护”明确指出,数据集中导致风险集中,数据流转产生更多攻击面。应基于数据全生命周期及数据应用场景,开展数据安全防护工作,保障大数据采集、存储、传输、处理、使用、共享开放、销毁安全。

基于该能力框架,奇安信推出了个人信息保护解决方案,针对政企机构的个人信息安全保护做了完整的内生安全设计,涉及隐私卫士、数据防泄漏、天擎终端安全管理系统、安全访问代理、应急响应、安全教育等多款产品和服务,通过识别、防护、检测、响应恢复的闭环流程,帮助政企机构做好个人信息的监测与保护。

个人信息保护三步走

奇安信数据安全专家强调,个人信息保护解决方案落地,至少包括个人信息治理、业务运行过程控制、阶段性专项治理三个步骤。

第一步,个人信息治理。个人信息治理通常需要达成四个基本目标,促进有效且合规使用个人信息,为客户提供高质量的服务;鼓励员工紧密合作,避免重复工作,以便更有效的利用资源;形成制度并为员工提供适当的工具及支持,以便他们高质量、一致性的执行策略;让组织能够了解个人信息保护水平及问题,以便进行更加有效的改进。

想要达成上述四个基本目标,首先就要完成内部审计,并且追踪每一条信息的来源和去向,它即从个人信息治理的角度,识别业务涉及的个人信息(相关个人敏感信息的判定参考 GB/T 35273 ),对个人隐私的影响,并提出降低或者消除这些影响的建议。

其次是进行风险评估,从而制定整体策略。一旦确定了风险,就应该审查现有的信息安全控制(虚拟和物理),以确定它们是否足以缓解风险。考虑到业务流程、信息、人员、应用程序和基础架构会不断发生变化,所以伴随着技术和安全风险局面的不断发展,企业事业单位应该定期审查和监控个人信息安全控制策略。

在完成了内部审计和风险评估的基础上,依据内部审计及风险评估结果,进一步梳理各个业务场景中个人信息使用的全生命周期,对各个环节落实制定相关策略、工具、措施(详见后述业务运行过程控制章节)等,如下为某单位个人信息处理流程及表单示例。

第二步,业务运行过程控制。奇安信数据安全专家强调,依据不同的业务场景,个人信息控制措施各有不同,因此需要明确您的业务需要获取和已经获取了哪些个人信息,避免信息的过度采集,并对必要信息实现全生命周期防护。当然,数据安全没有绝对,因此政企机构还应制定并提前演练应急响应措施。

针对目前广泛存在的信息过度采集,奇安信网神隐私卫士可对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测,覆盖收集规则、使用规则、条款状态、用户权益等7个类别,50多个检测项,并且具备可扩展的检测能力。

针对终端层面的个人信息安全防护,奇安信天擎终端安全管理系统能够及时阻断违反政企机构的个人信息保持策略的外部连接,还可以收效取证,协助抓获内鬼交易的黑手。该系统不仅准确性高,更能适应涉密单位的高安全要求。

同时,奇安信安全代理服务器对网页传输的内容、聊天工具传输内容、邮件传输内容以及个人信息窃取工具进行实时安全防护,既能防止内部敏感内容外传,也能够抵挡外部恶意信息窃取行为,高效保障业务顺畅稳定运行。

另外在数据层面,作为奇安信个人信息保护解决方案核心产品,奇安信网神数据防泄漏系统能够帮助政企单位进行数据安全治理,自动化发现敏感数据并集中展示,全面跟踪数据使用过程,进而及时发现内部人员异常访问行为并自动分析,然后基于业务流程及安全策略进行自动处置,第一时间避免大规模数据泄露。

与此同时,为进一步降低内部员工泄露数据的风险,针对权限过高的账户,奇安信特权帐号管理系统及特权会话管理系统能够帮助政企机构全生命周期的实施特权帐号管理工作,在降低内部特权账号安全风险的同时,更能防范外部攻击者利用泄露的特权账号进行敏感数据窃取,有效防范个人信息泄露。

需要注意的是,数据在使用和流转的过程中,应保证最小化使用原则。奇安信网神数据脱敏系统在进行数据脱敏处理全过程中保持数据不落地的原则,提高数据使用安全链条的完整性,并且具备灵活的脱敏方案,满足数据分析、开发测试、数据共享、数据发布等场景需求。

第三步,阶段性专项治理

个人信息保护应该安排适当的培训、资源配置和管理重点,进而在政企单位员工中培养一种个人信息安全文化。另外还可以有针对性的展开专项治理工作,包括信息泄露事情处置完成之后,即刻展开机会教育,以及结合国家法规宣传,或者在合适的业务阶段、时刻,进行配合宣传。

除了大力开展安全意识教育以外,还应当定期开展实战攻防演练。近年来,各行业实战攻防演练日益频繁,主要是为了验证安全防护能力,评估安全防护执行程度,发现安全防护盲区,举证安全隐患及其危害,给出整改意见并进行有针对性的加固或者整体改善建议,同时对安全意识宣传也是个很好契机。

当然,万一政企机构发生个人信息泄露事件,还可以直接寻求奇安信CERT和奇安信安全服务团队的帮助。

据介绍,奇安信CERT致力于借助技术创新,为各主流企业级应用软件/系统做好漏洞监测,能够为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。尤其是在突发公共事件或重大活动保障中,将投入精兵强将实时响应。

奇安信安全服务团队以攻防技术为核心,聚焦威胁检测和响应,通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务。奇安信多次承担国家级的重大活动网络安全保障工作,拥有稳定可靠的网络安全服务体系——全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。