坚如磐石+内外兼修，浅谈如何加强企业数据流动安全-爱加密移动应用安全保护平台|app防反编译|app加壳|app防破解

坚如磐石+内外兼修，浅谈如何加强企业数据流动安全

发布时间：2023-09-07

随着数据要素化进程的高速发展，数据泄露、篡改、滥用等数据安全事件频发，对个人、组织、社会公共利益甚至国家安全造成严重威胁和损害，如何加强数据安全治理，成为数字经济时代最紧迫、最基础的问题。

某公司为某政府部门开发运维信息管理系统的过程中，未经建设单位同意的情况将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施。

最终建设单位负责人、部门负责人等4人被追责，某公司被罚款。此事件在数据流动未能摸清外部合作的网络和数据安全风险，且没有对敏感信息分类分级，最终导致数据泄露发生。

云南市西双版纳州部分房地产企业内部员工在利益驱使下，利用职务之便，将业主个人信息售卖给多个装修公司。装修公司非法购买到业主个人信息后，便安排员工有针对性地向业主推广公司业务。此外，还会将业主信息免费分享或出售给建材家居、广告公司等行业的“朋友”，致使业主遭受源源不断的骚扰。

内部员工出于个人利益而窃取内部数据的事件频频发生，给企业及用户都造成严重安全隐患和损失。

与此同时，来自企业内外部的数据泄露风险也受到监管机构的重视，内部风险方面今年多家银行已因数据泄露类问题被监管部门处罚，某行曾在2022年被罚款1674万元高额罚款。

外部风险方面，金融监管总局向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》），要求银行保险机构全面开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展排査整改。由于金融行业属于数据密集型，对网络和数据依赖性极强。如何更好地保障网络和数据安全，保护个人信息、引导数据向善，是金融业须面对的重要课题。

《通知》要求，银行保险机构在合同协议中要强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。还要求加强科技风险统筹管理，要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理，科技和数据管理部门应加强外包合作的网络和数据安全管理，加强风险评估和事件处置。

数据泄露基本分为来自内部和外部两大类，数据泄露可能会导致企业信誉受损、客户流失、法律公诉、经济损失等，继而影响企业的整体发展。目前，面对日益严峻的数据安全形势，国家陆续出台《数据安全法》《个人信息保护法》《数据出境安全评估办法》等一系列法规，分别从国家重要数据保护、个人隐私和权益保护、数据主权维护角度给出了行为指引。《数据安全法》明确提出了“维护数据安全应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”，并把分类分级作为推进数据安全的基础工作，提出“国家建立数据分类分级保护制度”、“对数据实行分类分级保护”。

数据分类分级与敏感个人信息识别可明确数据保护对象，是开展差异化、动态化数据安全治理的前提。数据分类分级是数据安全治理体系的基石，面向组织数据和个人信息，首先需开展数据资产的发现与梳理，然后基于识别备案的数据资产，落实从业务角度出发的数据分类标识以及从安全角度出发的数据定级标识，形成数据分类分级目录，最后对数据目录进行审核、发布，基于数据伴随业务处理活动的持续新增与变化，分类分级也需随之动态变更。

爱加密基于多年服务企业数据合规治理的经验，沉淀出一整套数据安全流动解决方案。其中，爱加密数据安全分类分级资产地图系统是一款面向企业数据发掘并进行自动化数据分级分类分析的产品。系统致力于梳理并标识数据，实现在复杂环境下自动化扫描并识别其中的敏感数据信息，通过数据的分类分级梳理过程中搭建数据标准，实现数据口径的统一。

在数据外部流动过程中，API接口的运用十分广泛，API 是一些功能、定义或者协议的集合，它既可以连接服务，也可以传输数据，尤其作为企业业务承载的载体，对其进行安全防御对保障客户的业务安全十分关键。很多企业甚至自己的不知道有多少API 被开放，是否受控使用和有效使用，有怎样的安全风险和隐患，就更不得而知。API安全造成的影响越来越大，而传统API 安全网关的部署与维护成本高，无法有效防护新兴安全威胁。

爱加密API安全监测系统是一款以数据为中心，实现对Web 、APP 、小程序、IoT等应用系统API数据暴露面的治理和对数据攻击行为持续发现的流量分析系统。部署在企业互联网出口，实时监控企业API的数据暴露面以及被攻击情况。通过可视化API接口报告，及时掌握企业存在的API风险隐患。

企业数据安全面临着诸如数据跨边界流动，资产暴露面扩大、数据结构多样化，识别管理有难度、日志记录不规范，数据追溯无结果等挑战。为解决企业安全建设中所产生的问题，形成数据安全防护能力持续改进与安全策略持续优化能力，提高数据监测及风险预警能力，爱加密应用数据风险监测系统，是一款针对web应用系统的数据安全产品，采用网络流量分析技术，在对现有业务系统无侵入的情况下，帮助企业全面盘点线上业务系统接口，及时发现大规模数据流动风险，快速对数据泄露事件进行溯源分析，宏观掌控业务系统数据流动态势。