绿盟科技集团股份有限公司简介
绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫、企业等各大行业用户与各类型企业用户提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。
绿盟科技郑州代表处成立于2007年,现有在职员工60余人,其中技术人员占比70%,能够为客户提供及时、有效的本地化服务,“专攻术业,成就所托”。为河南省相关政府部门、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
2022年5月13日,绿盟科技集团全资子公司“河南绿盟网络安全技术有限公司”落地郑州金水科教园区,打造一个面向中原的安全运营中心,构筑安全盾牌、打造产业高地;同时承担起河南省网络安全科普教育基地的日常运营工作。
基于多年的安全研究,秉持智慧安全3.0理念,绿盟科技为政企用户提供安全检查与评估类、安全检测与防护类、认证与访问控制类、安全审计类、安全运营及管理类等70余款高品质安全产品。其中,抗拒绝服务攻击系统(ADS)、安全分析、情报、响应和编排(AIRO)、网络入侵防护系统(IDPS)、Web应用防火墙(WAF)等多款产品获国际权威咨询机构推崇。
绿盟科技是国家重点发展的信息安全企业,拥有包括产品与服务资质在内的多项权威认证。同时,绿盟科技发起成立中国网络安全产业联盟,并作为首届理事长单位,致力于推动中国网络安全产业健康良性的发展。绿盟科技是工业信息安全产业发展联盟第一届“工业信息安全应急服务支撑单位”、首届CNCERT“工业控制领域网络安全应急服务支撑单位”、被授予“国家重大活动网络安全保卫技术支持单位”称号,多年来为历年全国两会、进博会、2010年世博会、2016年G20会议、2017年金砖会议、2018年上合峰会等重大活动提供了网络安全保障。
目前绿盟科技拥有员工总数5000余人,其中研发技术人员超过2600人,拥有各项专利358项、软件著作权403项。2022年公司年营业收入26.29亿元,年研发投入6.79亿元,是中国网络安全行业的头部企业。
绿盟科技数据安全解决方案介绍
数据安全现状
随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展,网络边界被不断打破,数字双生、敏捷创新、安全合规驱动快速转型,社会和企业都在面临数字化的转型带来的数据安全风险。数据安全已经与关键信息基础设施一并成为影响国家稳定、民生安全及社会安全的关键因素。
我国于2017年6月1日正式施行《中华人民共和国网络安全法》,以《中华人民共和国网络安全法》为核心,我国就数据安全依法出台多项新政策,就包括《数据安全法》、《个人信息保护法》、《网络安全等级保护制度》,所有新政的数据保护核心对象依然都是“个人信息”和“重要数据”,从上述内容可以看出国家在数据安全保护层面的力度,以及对数据安全保护的重视。
数据安全风险分析
依据国标《数据安全能力成熟度模型》中定义的数据生存周期来看,数据的生命存期周期为采集、存储、传输、处理、交换、销毁,对数据生存周期风险有了全面的了解,有利于构建数据安全方案体系,基于数据的全生命周期各个环节的风险及管理办法如下所示,为了解决数据安全的风险,就应该有管理上的制度和原则来约束和处置,也需要有技术手段来监督与保护。
▶ 数据采集风险
非法获取、数据伪造:利用爬虫类工具对数据进行非法获取,为了获取利润,甚至对数据进行伪造,直接发送数据到各种平台中,用来对受害人进行诱骗,对社会和国家造成不良影响。应对此风险应对明确数据采集责任人,加强数据外送管理,开展常态化审计工作,禁止直接发送采集数据。
▶ 数据存储风险
非法访问、非法窃取:外部黑客会利用漏洞攻击、木马注入、弱配置、APT等攻击行为对系统进行入侵,从而盗取数据,甚至对数据进行伪造,更有严重的会对数据造成不可修复的破坏。应对此风险应加强访问控制、记录和审计,建立容灾备份与恢复机制,关键级数据要加密存储,重要级数据按需模糊化脱敏处理。
▶ 数据传输风险
网络监听、数据窃取:恶意人员利用工具对网络中的数据流进行窃听,从而窃取保密数据,从而利用窃取到的数据,不正当获利。应对此风险应对重要数据需加密传输,限制违规设备接入,保留日志记录以备审计,禁止采用移动介质传输数据。
▶ 数据处理风险
数据滥用:在数据处理的阶段会产生数据滥用的问题,数据没有进行分级管控,人员也没有做好权限的规范。应对此风险应遵循“谁使用,谁负责”原则,建立数据使用审核机制,测试环境与运营环境隔离,尽量使用线上方式操作数据。
▶ 数据交换风险
明文交互、隐私侵犯:在数据交换的环节上,随着数据被共享交换的次数越来越多,让数据价值也变得越来越高,个人信息与重要数据也包含在交换的数据中,为个人、企业,甚至国家都带来了极大的风险,因此要做好防范,杜绝明文数据交换,防止隐私被侵犯。应对此风险应对外提供数据需严格审核,内部传输数据需评估风险,数据共享遵循最小化原则。
▶ 数据销毁风险
违规恢复、伪删除:数据的生命周期最后一个环节是数据销毁,在此环节会存在已删除数据被非法违规恢复的现象,在业务系统中销毁数据时也存在页面上看到是数据已删除状态,但在存储中原始数据依然存在的现象,及伪删除。应对此风险应对销毁数据确保彻底清除,离线数据副本确保无法还原,杜绝数据伪删除现象。
数据安全解决方案建设思路
在数据安全建设体系上我们提出“一个中心,四个领域,五个阶段“的顶层设计。一个中心是指以数据安全防护为中心。四个领域是指的数据安全建设的四个领域:组织建设、制度流程,技术工具和人员能力。五个阶段是指的数据安全建设的五个阶段:业务梳理,分级分类,策略制定,技术管控,优化改进。
在数据安全建设体系中,组织建设、制度流程,技术工具,人员能力,四个领域都需要同步开展建设工作,组织层面,决策层、管理层、执行层必须在数据安全建设领域达成一致,数据安全建设工作必须得到组织高层的支持。组织高层在数据安全领域的战略目标应该能够被管理层和执行层实现。
我们日常所说的“三分技术七分管理”也好“七分技术三分管理”也罢,都是在表明,管理是技术的运营依据、技术是管理的落地保障。所以两者要相辅相成,缺一不可。
数据安全建设体系
在这里,我们借鉴了Gartner的数据安全治理框架,定义了数据安全建设的五个阶段。形成了绿盟的数据安全方法论。总结起来就是五个字“知”、“识”、“控”、“察”、“行”。
知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据;
识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级。
控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具对数据进行细粒度的权限管控。
察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息。
行:对不断变化的数据做持续性的跟踪,提供策略优化与持续运营的服务。
数据安全解决方案建设流程
▶ 业务数据梳理
在组织与制度设计方面,传统网络安全均由IT部门负责,随着数据治理工作的深入开展,业务部门要深入参与数据资产梳理以及分级分类工作之中,因为只有业务部门是最了解数据价值与重要性的。因此需要自上而下形成高层牵头,横跨业务部门与安全部门的组织架构。由信息安全管理团队和数据业务管理团队共同商讨建立数据安全制度流程体系。制定好制度体系应该以文档化的方式进行落地管理。从最高级的方针战略,到最细节的表格日志,都应该由不同层级的团队负责进行文档化的落地,并严格执行。在相应的业务组织与管理制度指导下,企业才能更好的开展后续建设工作。
▶ 定义与识别敏感数据
开展数据安全治理的第一步就是:定义什么是敏感数据,基于业务特点进行数据的识别、数据分类、数据分级。数据分类分级的准确清晰,是后续数据保护的基础。由于数据类型不同,对企业影响不同,我们建议根据《中华人民共和国网络安全法》要求对个人信息和重要数据分开进行评估与定级,再按照就高不就低的原则对数据条目进行整体定级。
▶ 数据全生存周期安全风险评估
完成敏感数据分类分级后,就要到风险识别的步骤:发现哪里有敏感数据,并对敏感数据进行梳理与风险评估。敏感数据发现与数据风险评估的工作要结合人工服务和专业工具共同完成。
数据安全风险评估可以从数据的生存周期角度逐个考虑,这里引用国标GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》DSMM架构图中的数据生存周期安全的步骤:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全。
数据生存周期安全风险评估
绿盟科技研发了敏感数据发现与风险评估系统,可以实现智能数据分类分级、全网数据资产测绘、实时数据流转测绘、大数据平台风险扫描的能力。结合上绿盟的数据安全评估服务,从数据生存周期各个阶段评估数据安全风险,应该可以帮助您解决很大部分的敏感数据发现与风险评估问题。
▶ 数据安全纵深防护
针对数据安全的风险,应以数据为中心,向外对业务、网络、设备、用户采取“零信任”的态度,既然每个环节都不可信,那么管控手段就要覆盖全部环节,任意环节失信后都能实现熔断保护。
用户侧、终端侧、网络侧、业务侧,以及数据中心,都要做好安全防护措施,外向内防攻击防入侵防篡改,内向外防滥用防伪造防泄露。最关键的是,要对全部纵深防护环节进行整体控制,实现环境感知,可信控制和全面审计。整合多层次的纵深防御,及时发现问题,及时阻止安全问题。总之我们的防护宗旨是认证好人并允许其通过,识别坏人并阻断其访问。
▶ 敏感数据监察分析
敏感数据监察分析、发现安全问题与异常事件。可以考虑从用户、资产和数据的行为模式出发,利用5W1H分析模型来进行敏感数据行为分析,基于行为模式发现数据异常事件。也就是我们常说的UEBA。
基于历史的可信访问行为提取访问规则,利用各类算法进行行为聚类,形成可划分的访问行为簇并可视化呈现。通过这种图谱分析与可视化展示让管理者对于敏感数据访问情况,由一无所知转变为可视可管。
▶ 优化改进与持续运营
当我们具备“知识控察”的能力后,不代表我们的数据是安全的。业务是在变的,数据也是在变的。因此我们的安全也是要不断变化的。为了应对变化,我们在“知识控察”的基础上提出了“行”,这是一个动词,代表着对数据安全的优化改进与持续运营。
在大的层面,合规要求指导安全策略的设置,安全策略支撑合规治理要求的落地,二者相辅相成,配合上持续优化改进运营的“知识控察行”体系,实现持续自适应的数据安全防护能力。
数据安全解决方案建设价值
▶ 满足合规要求
现如今,国家对数据安全已经出台了多项法规,通过本方案的实施,可以对法规中提到的鉴别信息数据、重要个人信息、重要业务数据做到针对性的监控与保护,使企业在发现数据风险前及时做出响应,避免因数据丢失造成的危害与损失。
▶ 权限划定清晰
责权不清一直都是最根本的问题,通过本方案的实施,将数据合理的进行级别划分,再结合管理与业务的需要对数据的访问、使用,进行清晰的权限管控,做到权责分离,事后还可以通过审计结果明确事故责任方,避免了责任不清出现的推诿扯皮。
▶ 数据生命周期全面掌控
掌握数据的全生命周期是对数据风险的提前预知,利用本方案对数据的生命周期中各个环节做监控,掌握数据的动态,了解数据的流向,提前对可能发生的数据泄露风险进行预警,保障数据在安全的可控范围内流转、使用与存储。
▶ 降低数据泄露风险
通过对数据的扫描与跟踪,利用内容识别、UEBA、机器学习等技术,及时发现数据所承载的系统、业务、网络、终端中的安全威胁,提前做好防范措施,让泄密风险看得见、使数据泄漏防得住。
▶ 提高数据使用者的安全意识
绿盟数据安全解决方案的应用,让数据使用者了解数据的重要程度,规范数据使用者的操作行为,从潜意识里指导与帮助人们正确使用资源,合理利用资源,保护数据的安全。