作者:爱奇艺信息安全总监王超
在信息安全体系建设中,数据安全上承合规监管、隐私保护,下接网络安全、攻防对抗,发挥承上启下的重要作用。面对数据安全治理这一关键环节,爱奇艺在合规及数据安全治理实践中取得了六大重要进展:
一、网络安全
网络安全是数据安全的基础。爱奇艺的业务线有几十个不同类别,所有这些App服务和应用系统都部署在混合云上,最终服务上亿爱奇艺会员。利用云态势安全中心,DDoS检测清洗,黑白盒扫描集群,主机检测,蜜网,情报,混合云策略管理中心等多种自研系统及平台,实现立体多维安全防护。
二、监管合规
作为一家企业,必须监管合规才能正常开展业务。爱奇艺一方面积极配合监管,另一方面也深度贴合国家监管及专项的要求。2020年,爱奇艺安全和法务团队针对专项要求的六大违规方面做了全面解读,并映射成“APP隐私红线基线”,通过GRC平台分发给App业务负责人及接口人,以统一的标准进行评估,快速识别聚合主要风险,跟进响应相关工作,并针对红线基线生成跨业务线横向比较评分表,在不同业务之间展开横向评比。
另外,检测工作除了流程还需结合技术平台的精准检测,爱奇艺为内部的移动安全平台MSEC升级了静态及动态检测点。特别是把确认隐私政策前是否收集个人及设备信息,是否超频次收集信息等问题,都加入到自动化检测逻辑中,极大提高业务整改复核的效率和质量。
三、个人信息安全
数据安全中最核心的是个人信息安全。爱奇艺在人员、制度、流程、平台等多个方面有保障机制。从组织架构角度,隐私及信息安全管理工作组,对上向隐私及信息安全委员会汇报工作,向下通过“隐私红线”对接各业务线,各业务只需要关心隐私红线基线检查是否符合达标。如不符合“隐私红线”,APP发布上线都会受到限制,安全有权一票否决。
四、数据生命周期管理
数据安全离不开整个数据生命周期管理,爱奇艺依照标准的数据安全成熟度模型进行管理。例如敏感信息的收集环节,通过不断迭代的规则和算法对数据库和大数据,进行分级分类及数据资产的定位。爱奇艺对媒资相关系统进行定级评估和全链路收敛,包括媒资文件定级,分级分类,流转监控,平台管控,日志审计等,保证了关键数据不泄漏。
五、安全意识培训和应急演练
安全包括保密性,完整性和可用性。可用性涉及到灾备及安全应急演练,爱奇艺在几十个APP和业务系统中,挑选出最核心的业务,随机将一些服务器关闭宕机,检测是否有可用性故障。此外,还有和安全相关的红蓝演练,DDoS攻防,主机攻防等。数据安全也引入了红蓝对抗思路,对当前策略泄露与否的判定、对可能存在的泄露渠道进行预防等问题,在红蓝对抗或应急演练里不断去积累、验证、发现弱点,再不断提升。
数据安全和人员的安全意识息息相关。任何一个员工包括实习生刚入职必须经过隐私和安全培训,保证整体的安全意识考试全部达标。
六、安全框架
数据安全实践离不开安全框架的支撑,依据法律法规,爱奇艺积极落实公安部、工信部的定级备案,等保测评,同时获得国际权威体系认证。2019年通过了ISO/IEC 27001和29151认证,2020年底通过ISO/IEC 27701认证,不断建设信息安全体系及个人隐私信息管理体系。2020年金融支付业务也获得了支付行业国际标准PCI DSS的认证。通过国际权威认证规范安全合规体系,保障用户支付与信息安全,是爱奇艺保障用户权益,持续赋能业务的重要手段。
数据安全治理是一个需要多维度、多领域共同打造的生态环境。爱奇艺将紧跟国家和行业要求,与全行业共同探索数据安全治理发展。
关于作者
爱奇艺信息安全总监王超
声明:本文来自大数据技术标准推进委员会,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/112.html