中国版的 GDPR--个人信息安全规范
信息安全技术个人信息安全规范(GB/T 35273-2017)(以下简称 "个人信息安全规范" 或 "规范"), 是我国国家质量监督检验检疫总局和国家标准化管理委员会在 2017 年 12 月 29 日发布, 2018 年 5 月 1 日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准.
该标准的编制有以下四个特点
特点 1: 充分考虑标准在多方诉求方面的平衡性
特点 2: 立足国内现有的法律, 法规, 规章, 标准
特点 3: 参考对标国际最先进的规则和立法
特点 4: 不是自成一体而是与国际接轨
安恒信息 AiLPHA 大数据实验室亮剑
"工欲善其事, 必先利其器", 这个利器就是 "明御数据库审计与风险控制系统". 且看我们是如何化险为夷的!
数据资产发现与分类
本规范要求企业建立与保留详细的个人数据库清单, 然后按风险预测与优先性分类数据. 为满足这一要求, 首先需要了解数据库的位置, 以及其内存储的数据类型. 我们的产品可自动扫描企业网络找到已知与未知的数据库, 帮助企业轻松创建定制自己的数据发现策略, 并应用于企业网络任意部分的扫描. 为确保数据发现的持续性, 并将新数据纳入安全与防护范围, 还支持自动定时扫描. 拥有自动与定时扫描功能可便于企业随时获取自己的网络内的最新的全部数据清单.
数据库漏洞评估
本规范要求企业对数据采取连续保护, 并定期测试与验证所采用的技术保护措施有效性, 确保数据处理的安全性. 同时还需连续进行数据库漏洞评估, 识别出个人数据风险. 我们的产品可识别出数据库的安全漏洞, 并可对数据库服务器及操作系统平台进行 1000 种以上预设漏洞与不当配置 (如: 未安装补丁包, 默认密码或权限配置不当) 的测试与扫描. 同时还可生成评估报告, 并针对识别出的漏洞提供具体的建议方案, 增强被扫描数据库服务器的安全性能.
监控数据访问活动
数据活动监控是规范中最重要的内容之一, 要求企业为数据处理提供安全环境. 为满足规定, 企业需回答下列问题: 数据访问者是谁? 数据用途是什么? 应对这一合规要求, 我们的产品利用其对所有数据库活动的持续监控与分析功能, 帮助用户实现对数据活动的实时完全可见, 包括本地特权用户访问与服务帐号. 数据库活动的监控与审计功能可确保个人数据的适当使用, 以及授权用户对个人数据的访问. 此外, 数据监控功能还可防止外部攻击盗窃数据, 如 SQL 注入, 并防止内部威胁, 如: 恶意, 疏忽, 或受到侵犯的用户. 随时警惕数据安全, 才能使企业在发生数据违规前识别与阻止可疑或非法数据访问.
违规检查与事件响应
一旦发生个人数据违规, 本规范要求数据控制方必需 "不得无故拖延, 如可能, 应在获取该消息后 72 小时内上报给监管机关". 如未能在 72 小时内发出通知, 则数据控制方必需为其延迟提交合理说明.
目前面临的最大挑战是, 由于安全团队要处理大量的事件预警情报, 导致真实报警事件容易被忽略. 针对这种情况, 我们的产品利用其先进的机器学习与行为模型分析, 优先处理数据访问事件, 无需对数据环境进行深入了解就能使安全团队及时发现预警.
更多安全场景
来源: https://yq.aliyun.com/articles/606957