01 关于安全管理平台
通付盾安全管理平台通过整合能源行业数据安全风险、业务安全风险、审计安全风险、终端安全风险,借助决策引擎、规则引擎、态势感知,形成安全管理平台统筹业务管控,强化安全管控能力和扩展能力,提升业务安全监测能力,助力能源革命和数字革命。
满足数字化系统的“可管可控、精准防护、可视可信、智能防御”的安全策略要求,满足“管业务,就要安全”的安全管控工作要求,满足“事前安全测试、事中安全监测、事后安全审计”的全环节监管要求。
实现“安全状态可视化、可感知,安全问题可发现、可跟踪、可管理,安全策略与任务线上化管理”的目标,最终实现数据安全、业务安全的全流程管理。
图1-通付盾安全管理体系图
02 数据安全
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》,自2021年9月1日起施行。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,自2021年11月1日起施行。在数据安全的保障下,企业才能更好地发掘数据的商业价值,数据安全是国家发展数字经济、维护自身安全的坚实保障。从工业时代跨越信息时代迈入数字化时代,数据已经成为比黄金、石油还要重要的数字资产,保护数据这一新型生产要素,对于国家经济发展来说至关重要。
通付盾安全管理平台通过数据的采集、分析、处理,对数据风险进行防护。
1、数据脱敏:针对敏感数据泄露风险,对名称类、地址类、联系类、证件类、资产类、金融类敏感数据进行脱敏,通过脱敏白名单实现差异化脱敏。
2、数据水印:采用明水印针对敏感信息在页面显示、导出等情况下因拍照等原因泄露的风险进行防范;使用暗水印对数据来源进行标识,可以有效追踪信息的泄露途径,实现风险的追踪溯源。
3、数据共享管理:针对数据共享风险,对数据共享申请、审核审批以及归档进行统一管理,包括对内数据共享和对外数据共享,设计工单流转路径。
4、数据审计:针对重要业务数据删改风险,对敏感库表和字段的操作记录审计日志,对重要数据库表和字段进行实时监测,对触发策略的异常操作进行短信、邮件等告警。
03 业务安全
业务运营过程中应始终贯彻“安全第一、预防为主、综合治理”方针,加强业务安全风险防范与管理,防止业务安全和经济事故的发生。
通付盾安全管理平台融合金融、能源、运营商等具有行业代表性的风险防控案例经验,基于业务场景多维度实时识别业务风险。通过对终端环境、交易特征、关联信息、用户实体行为等数据进行实时采集、解析、存储、统计和分析,实现监督各项被监测业务处理的正确性、合规性、真实性和完整性,及时发现各种业务操作中的安全风险和各种违规行为,并进行实时风险识别、预警和处置。
通付盾安全管理平台针对业务运营风险、用户操作风险、接口访问风险、流程管控风险、事务管理风险、身份认证风险等方面对业务安全进行防护。
1、安全事务管理:对涉及业务安全的各项事务和工作流程进行统一管理,有效开展安全服务管理,规范安全管理人员的操作行为。
2、应用安全审计:对用户操作行为和接口访问行为审计,记录审计日志;对日志容量上限异常、用户非工作时间操作、接口调用频次异常等审计异常情况进行监测;对审计人员和安全审计员权限进行统一管理。
3、业务安全监测:基于策略引擎、流计算引擎、决策引擎等多项核心技术,依据安全监测策略对业务数据进行风险计算、识别、处置,输出风险决策建议,为业务系统提供全方位的安全保障和支撑。
4、通付盾身份安全网关(U-IAM):提供应用系统集中统一管理,包含统一用户管理、账号管理、权限管理、访问控制、应用管理和审计管理等,实现各业务应用身份认证的横向集成、纵向贯通、信息共享服务,提升企业系统安全性、可管理能力、服务质量和用户体验。
图2-通付盾安全管理平台架构图
04 客户案例
案例企业:某世界500强能源企业,通付盾从数据和业务安全咨询规划、业务梳理和数据安全防护到系统平台搭建,全面构建了高效的安全管理平台,保障其业务经营中的数据及业务全生命周期安全,该平台主要效益价值:
1、规范安全化审批流以达到对脱敏白名单、内外部数据的共享和业务监测场景申报等流程化功能的控制。多节点联合审批的业务自主流转,也可进行指派,各节点衔接流畅,信息反馈及时,保证每一笔审批业务成功办结的同时确保了数据信息之间的安全性。
2、态势感知:风险大屏及统计报表协助了解当前安全风险态势,针对主要监测类型调整监测策略,提高监测策略时效性,有效进行安全风险监测。
3、实体画像:分析实体行为数据,发现其行为轨迹及系统使用情况(例:活跃趋势、访问趋势、产品使用情况、安全工作情况等),并对其进行指定维度(例:用户、产品、系统、安全信息工作等)的关联分析,深入挖掘系统平台监测情况,为决策分析提供参考依据。
4、实时记录多渠道场景下的用户操作行为,实时发现违反安全策略事件并实时告警,支持安全事件定位分析,事后追溯,丰富可定制的报表系统,为业务安全提供权威可靠支持。
5、采集终端基本、性能、网络、应用、运行状态等信息,全面掌握终端信息,实现终端信息安全可视可控,保证全面规范的终端使用。
6、基于能源、金融等业务场景,利用决策引擎、规则引擎、指标引擎等能力,有效实现对各业务风险的可控、在控,达到业务风险可识别、可评估、可处置、可分析的闭环管控目标。
8、通过分析数据的多重状态和通信内容,实时监测全链路数据风险,达到实时预警,日志记录提供事后追查和链路回放。
关于我们
About us
通付盾是一家以数字身份识别为核心的新一代数字化技术服务商,为政府、军工、 能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业用户,提供 “云、端、信”一体化数字信任软件产品与服务。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。