数据安全评估系统产品

数据安全评估系统 产品介绍宣讲稿 魏东 2022年12⽉2⽇ 第⼀页 ⼤家上午好，我是中邦⽹安的售前⼯程师XXX 很荣幸在今天能有这样⼀个机会向在座各位领导汇报下我们公司的数据安全产品。 下⾯正式开始产品⽅案的介绍，⼤概会占⽤⼤家⼆⼗分钟时间。 第⼆页1.中邦⽹安公司是2014年成⽴的，在这近⼗年的发展历程中，始终深耕于数据安全领域，去提供专业的数据安全产品及服务。2.服务的客户群体包括政府、公安、⾦融等⾏业，主要聚焦于数据安全合规符合性评估、以及企事业单位风险评估等业务场景应⽤。3.我们也⾮常注重产研合作，同国内⾼校、科研院所去做数据安全相关课题的研究，以及共同去培养专业性⼈才。4.上⾯还可以看到我们⽬前取到的相关认证资质的情况，基于⾃主研发的产品能⼒，已累计获取了7项专利和⼗余个软著证书，还有⼀些其他管理体系与技术能⼒认证说明。 第三页 整个⽅案会从4个章节来展开， 先来了解下我们公司的⼀些概况、简介 第⼆部分介绍下数据安全⾏业当前背景和需求分析 第三、四章节重点来看下数据安全评估系统产品的⼀些亮点功能和价值体现 最后分享⼀下这款产品⼏个代表性的客户案例。 第四页 下⾯来看⼀下关于数据安全⾏业的背景和需求情况 第五页 先来看⼀下国家政策环境背景， 从2021年，中央政治局就已经明确了数据安全同⽹络安全的同等战略地位，相关会议和重要讲话上也都多次强调了数据安全合规建设的重要性。 在其他⼀些报告中，也都能近些年看到关于数据安全⾏业的需求⼀直在持续⾛⾼，还有⼀些数据安全事件的发⽣也推动了法律法规的出台，包括国内去年开始推出了数据安全法、个⼈信息保护法等，这些都可以看出数据安全合规利⽤仍是当前信息化背景下的核⼼关注点。 第六页 从这⼀页中我们就可以看到国内政策对数据安全的具体重视，我们粗略计算了下，从2017年《⽹络安全法》⽣效以来，相关信息安全的法律法规及⼀些指引⽂件就有近150部左右。 第七页 看完了上⾯的⼀些政策背景，下⾯我们回顾下近些年发⽣典型的数据安全事件 包括⼤家所熟知的滴滴数据泄露事件，前不久国家⽹信部门对滴滴开出 ⾼达80多亿的巨额，还有⾦融⾏业某银⾏因为泄露敏感信息，也被处罚了400多万元。这些事件的公布给我们众多企业经营敲响了警钟，相关违规⾏为带来的后果，轻则罚款、名誉受损，重则甚⾄还会给社会、国家安全造成极⼤威胁。 从中也暴露出了⼀些问题，就是部分企事业单位还是存在着，防护能⼒ 不⾜、安全意识淡薄、安全监管不⾜等这些问题。 第⼋页 从以上的背景和现状情况来看，我们总结了数据安全治理的需求主要有4个⽅⾯： 1）⾯对现有的庞⼤法律法规体系，很多企事业单位是不清楚⾃⼰要怎么做去落实具体条款要求，怎么去符合国家监管标准。 2）原有的单点防护措施难以解决现有像是下新型数据安全攻击，亟需全⾯的数据安全评估去解决单点防护薄弱问题。 3）如何兼容协调传统的⽹络安全与现有的数据安全体系，挖掘联动防护的价值。 4）如何解决动态防御和动态运营问题，保护数据全⽣命周期的安全。这些需求都有待于通过科学、有效的⼿段去实现。 我们公司正是在这样的⼀个政策和市场驱动下设计了体系，推出了“数据安全评估系统”，解决客户的难题。 第九页 下⾯着重介绍下我们的数据安全评估系统产品。 第⼗页 在正式讲产品之前，我想先介绍下数据安全评估这个概念，⼤家可能刚听到这个产品还挺好奇，到底什么是”数据安全评估“，我们这个产品与其他数据安全产品是有什么不同吗？ 简单理解，这个数据安全评估就类似⼤家都做过的医院体检报告，医院给我们的体检报告可以看出体检者⾝上存在的病患问题，数据安全评估报告也是⼀样能够给我们检测单位清晰的指出存在的⼀些数据安全的薄弱环节，最终再根据这些结论去制定下⼀步的数据安全整体解决⽅案。这个也是我们区别于其他数据安全⼚商的特别之处，像其他⼚商的数据安全产品线很多，他们倾向于像客户推荐各类数据安全产品，但实际上 ⽤户拿到⼿后发现很难⽤起来。因为每⼀款数据安全产品都需要特定的应⽤场景，就像每类药物是针对的不同的病症，那如果⼀上来就把所有的药品都开上来，实际上是⼀种不负责任的表现，⽽我们的⽅式是先体检再对症下药。 第⼗⼀页 通过上述的解释，⼤家都对我们做的数据安全评估有清楚的理解了吧。下⾯我们系统介绍下我们数据安全评估做什么。 先来看下我们数据安全评估体系全景图，中邦是在沿⽤了ISO27000的信息安全体系和⽹络安全等级保护体系基础上，结合现有数据安全法、⽹络安全法、个⼈信息保护法要求，还有相关国标⾏标，在实践中打造出这套体系。整个评估体系主要有三部分构成，数据安全管理体系、技术体系和运营体系建设 下⾯会⼀⼀展开来具体介绍： 1.管理体系建设，从相关办法、标准规范的合规响应，协助⽤户加强数据安全制度建设。 2.技术体系建设，覆盖⽬标中的存储、⽹络、终端等层⾯，通过技术⼿段全⾯评估数据安全。 3.除了管理和技术层⾯的防护可能还是不⾜以保障数据安全，考虑到数据的动态变化性，还需要构建这样⼀套常态化的数据安全评估运营体系，通过⼀些服务和运维⽀撑持续保障数据安全。 第⼗⼆页 这个是中邦⽹安DSA产品的整体架构， 1.检测对象的范围是⾮常全⾯的，系统检测覆盖业务数据全⽣命周期所涉及的⽂件系统、数据库、办公电脑、核⼼交换机等各个节点，2.及时帮助企事业单位发现数据在⽇常运营过程中存在的不合规隐患，建议整改内容以满⾜国家和⾏业监管⽅的数据安全合规要求。3.应⽤场景主要有3个，⼀是帮助监管单位执⾏数据安全检查⼯作，像 是公安执法检查、⽹信监管检查；⼆是实现⾏业监管⽅对所辖企业进⾏数据安全合规的⼀些监管落实；三是帮助企事业单位对⾃⾝数据安全合规进⾏⾃查⾃检测。 第⼗三页 这是我们的评估流程，启动项⽬后我们就会有⼈员提供现场⽀持，协助 监督检查单位，参与现场调研，之后结合系统合规问询要求对检测⽅进 ⾏项⽬复核，确保检查结果的准确、真实性。 再依据调研报告明确检测对象制定详细的评估⽅案，进⾏技术检测措施。 通过这些⼿段可以精准判断存在的数据安全风险事件，最后由系统输出 整体评估报告，内置有整改建议等。 第⼗四页 下⾯来看下产品亮点功能。 这个是DSA产品符合性评估功能，从监管⽅合规符合性评估的需要出发，系统内置有结构化分解的法律法规条款，细化对标了《数据安全法》《⽹络安全法》以及《个⼈信息保护法》等法律条款要求，可以对评估对象的制度、⼈员、机制等多⾓度做符合性评估问询⼯作。在DSA上可以直接关联配置上条款依据，⾃动⽣出问询调研报告，向导式指引 ⽤户去评估合规建设的落实情况。 第⼗五页 除了问询外我们还有技术检测加强评估结果可靠性和准确性。在对检测 ⽬标的评估范围上，我们具备有全⾯兼容、多维度覆盖的优势。整个评估⽬标覆盖了包括终端、数据库以及⽹络流量等。 其次适配环境这块DSA产品基本覆盖了现有市场主流系统类型，关系型、⾮关系型数据库34种，覆盖市⾯上所有的数据库类型，国产操作系统（华为、麒麟、统信）。 第⼗六页 提取、识别能⼒和分类分级管理功能。适配范围⼴：结构化数据、图⽚ ⽂字识别准确率90%以上，据我们了解⽬前这个技术还是国内领先。 第⼗七页 最后这个⼤家看到的就是DSA产品出具的评估报告，帮助检测单位清楚了解到⾃⾝数据安全的⼀些薄弱环节，根据这个评估报告的⼀些整改建议等去制定下⼀步的数据安全整体解决⽅案。 第⼗⼋页 （读本页内容） 第⼗九页 DSA产品的部署⽅式为核⼼交换机旁挂部署，⽀持识别存储数据，检查镜像流量，扫描指定终端。 考虑客户场景需求，我们提供了两种产品交付⽅式： ⼀种是⼯控笔记本⼀体机，便于携带和执法检查； ⼆是机架式⼀体机，性能会更⾼些。 第⼆⼗页 在⾏业⾥沉淀了很多年，现研发的这款也是历经多年推出，数据安全评估也是新的领域，需要相关认证，我们找了CCRC发现他们还没有这个评估体系，我们和CCRC⼀同编写规范，最后通过中邦使⽤的产品在CCRC和公安部研究所检测后，取得了全国⾸张数据安全评估系统产品认证资质证书。 中间是全国⾸家数据安全产品认证证书，左边是CCRC颁发的检测报 告，右边是公安部研究颁发的软件测试报告。⽬前还未有第⼆家，技术上领先，能持续保持这个领先优势。 第⼆⼗⼀页 中邦数据安全评估系统到底能给我们⽤户带来什么价值呢，也是⼤家最 为关注的，我们⼀起来看下 第⼆⼗⼆页 我们产品的客户⽬标主要有这4类： 1.各级⽹信、公安⽹安部门等监管单位； 2.各地等保测评机构； 3.各企事业单位：⾦融、能源、运营商、教育、科研机构、互联内企业等； 4.各⾏业监管⽅：卫健委、银保监、通管局等。 第⼆⼗三页 产品的应⽤给客户带来了不少成效和价值，主要有这5个⽅⾯，包括降低数据违规风险、识别数据安全的薄弱环节、覆盖数据全⽣命周期、全 ⽅位数据资产识别、提⾼⽤户安全意识。（从中挑⼀两个重要分析下） 第⼆⼗四页 下⾯介绍中邦已落地的3个成功客户案例。 第⼆⼗五页 第⼀个案例是某运营商的数据安全评估项⽬，在经过我们的初次评估整改指导后，客户参与⼆次评估时，得到的反馈是完全满⾜国家和⾏业主管部门关于数据安全监管安全的控制点和考核点要求，达到了数据安全评估和风险防护的双重⽬标。 评估⼯作过程中客户也对⾃⼰的业务数据更清晰，之后还和中邦达成整体体系动态运营和持续改进合作。 左边是客户的数据资产，右边是定制化的可视化⼤屏。 第⼆⼗六页 第⼆个是某⾦融企业数据分类分级项⽬案例，最后输出数据分级台账， 并以可视化的⽅式呈现除了⾦融业务内部数据分类明细。 左边是中邦依据《⾦融数据安全分级指南》为客户的数据进⾏数据分 级，右边是数据分类⽰意图。 中邦的DSA产品能够对识别到的敏感数据进⾏⼿动修正，⽀持对相似数据⾃动按数据标签分类。 第⼆⼗七页 最后⼀个案例是某市⽹信办联合公安⽹警借助中邦⽹安便携式数据安全评估系统⼯控⼀体机，展开全市范围内的数据安全专项检查⾏动。 ⾏动开始前中邦团队以“符合监管要求”为⽬的协助辖区各企事业单位进 ⾏⾃查⾃纠。 ⾏动开始后配合执法部门对⽬标单位进⾏执法检查、锁定证据等。 第⼆⼗⼋页 以上就是关于本次中邦⽹安数据安全评估产品的介绍。未来，中邦⽹安将继续以“护航数据资产安全，助⼒数字经济发展”为使命，致⼒于打造有竞争⼒的、⾼品质的数据安全产品和服务。 谢谢⼤家聆听，看看⼤家有什么问题可以再深⼊交流。