喜报! 炼石入选中国网安行业《数据安全产品及服务购买决策参考》
2024年6月17日,专业网络安全调研机构GoUpSec发布了2024年中国网络安全行业《数据安全产品及服务购买决策参考》。GoUpSec深入调研了国内数据安全“酷厂商”(包括专业厂商和综合安全厂商),从产品功能、应用行业、成功案例、安全策略等维度对各厂商数据安全产品及服务进行调研了解。本次发布的报告共收录37家国内网络安全厂商,共计93个安全产品及服务,以及87个典型实施案例,适用于政府、医疗、金融、互联网、国央企、能源、制造业、交通、教育等重点行业。
炼石凭借精研技术、竞争力产品以及良好市场表现成功入选本次报告并被评为数据安全“酷厂商”。炼石免改造密码与数据安全产品,已交付超两百家行业头部客户,已生产级部署在政府、金融、交通、电信、医疗、教育、工业、能源、商业等行业用户广泛的关键应用系统,当前实时保护着超千套应用、十多亿人口信息、数千亿条敏感数据,保障数据监管合规,促进数据有序流通。公司自研的数据安全主平台、数据加密系统、数据资产管理系统、数据脱敏系统和跨域数据安全管控平台等产品在报告中着重展出,为广大用户提供购买决策参考。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全119”,即可下载《数据安全产品及服务购买决策参考》报告。
2024年中国网络安全行业《数据安全产品及服务购买决策参考》报告指出,数据安全不仅是国家安全的关键保障,同时也是企业的核心竞争力,是技术创新(例如人工智能)、业务创新和经济增长的重要驱动力。越来越多的国内企业开始加大在数据安全领域的投入,以确保业务的稳定发展和数据的完整性、机密性、可用性。根据IDC预测,到2027年,中国数据安全软件市场规模将达到22.2亿美元,年复合增长率20.7%。在“新全球化”大背景下,企业数据安全战略正在经历“以创新为主要驱动力”和“以业务需求为中心”的重大范型转移,核心目标和关键业绩指标是“运营弹性”,最终目标是将数据安全能力打造成企业的核心竞争力。这与炼石的产品创新方向不谋而合,在国家战略支持下,数据安全赛道具有长期性,“以高质量发展促进高水平安全、以高水平安全保障高质量发展”成为发展新的遵循。在实际应用中,数据安全始于业务终于业务,落地数据安全必须将数据安全的能力融入复杂的业务流程中。
数据安全建设最大痛点在于,安全机制和业务处理纽结缠绕、难以改造,改造成本抵消安全增益陷入两难。例如,个人信息与重要数据保护主要是面向应用的功能型安全需求,容易遇到业务与安全研发排期不吻合,业务团队技术与响应跟不上;功能型安全需求要在应用中融合实现,但改造应用成本高、风险大、周期长;数据保护不落实,则合规风险越来越大、因泄露导致的业务风险会快速累积等问题。放眼数字化转型及数字经济产业发展,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如制造业的PLM/MES/ERP软件、医疗行业HIS软件、金融行业应用软件、能源行业应用软件、交通行业应用软件等等。这些巨大存量的应用软件普遍缺失内建安全机制,缺乏有效手段增强数据安全能力,因为无法破解开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战。这也意味着,应用改造带来的高难度、高风险、长周期,再叠加复杂的数据安全能力,使得企业投入成本在一定程度上抵消了安全带来的增益,企业数据安全建设面临“不改有风险、强改会要命”的两难困境。
行业头部用户往往拥有领先的复杂IT系统,在选型数据安全产品时,主要的考量因素是业务风险小、上线周期快、防护效果好、总体拥有成本低。作为一家“免改造”为创新特色的数据安全产品厂商,炼石创新免改造数据安全产品体系,灵活交付多重安全能力。公司自研免改造的全面数据保护产品,形成包含“一平台:数据安全主平台,多模块:识别、防护、检测响应、审计追溯以及安全合规等安全能力模块”的数据安全产品矩阵,具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势,覆盖事前事中事后的安全防控,为用户数据安全体系建设提供技术支撑,防范化解重大安全风险,增强数据安全保障能力。此次入选的五个平台,是炼石打造的数据安全产品矩阵中的实力代表。
数据资产管理系统:炼石数据资产管理系统是一款数据资产自动识别发现、敏感数据自动分类分级管理、自动化打标签的安全产品,具有支持数据结构类型多、识别速度快、易用性高、通用性强等特点。产品适用于工业企业、电信企业、互联网企业、党政机关等客户,开展内部数据资产识别梳理、定位数据资产分布、辅助数据分类分级建设、满足监管检测等场景,有效地解决了企业对数据资产摸底及管理的工作需求。产品系统采用多层架构设计,具备样本数据抽取、敏感数据存储识别与定位、分类分级处理及可视化展现等功能,实现了统一的、全量的敏感数据存储分布可视化管理,用户可以在同一平台系统下实现多个业务系统的敏感数据存储识别与安全检测。
数据加密系统:炼石数据加密系统是针对应用系统做保护的、可敏捷实施的数据安全产品。只需配置级部署,应用无需再进行任何源代码修改,即可实现任意指定字段的数据库存储加密(防范内部IT人员、外部黑客等),同时实现结合登录用户身份的数据动态脱敏和审计(防范内部业务人员越权),产品适用典型场景包括政企客户的个人信息保护、企业商业秘密保护,政府、央企、金融等行业数据安全合规改造等。
数据脱敏系统:炼石数据脱敏系统将数据抽取进行脱敏处理后,下发至测试库。开发、测试、培训、分析人员可以随意取用测试数据,并进行读写操作,脱敏后的数据与生产环境隔离,满足业务需要的同时保障生产数据库的安全,静态脱敏可以概括为数据的“搬移并仿真替换”。炼石数据脱敏系统通过屏蔽、变形、替换、随机、格式保留加密(FPE)等多种算法,针对不同数据类型进行数据掩码扰乱,并可将脱敏后的数据按用户需求,装载至不同环境中。
数据检测响应系统:炼石数据检测响应系统可结合切面数据捕获后,分析业务上下文访问数据;引入GA算法优化检测模块,提升安全规则精确性,降低误报率;根据置信分析策略,进行阻断、审计、执行模块数据安全检测。产品引入GA算法,改变了传统网络安全中针对海量安全日志“不作为,难作为”的情境,利用智能算法,提高了工作效率,保证数据资产不被泄露、被窃取,实现统一的、全量的攻击数据分析、审计、阻断的可视化管理,用户可以在炼石数据安全主平台下,简单扩展外挂分析引擎,实现多个业务系统的数据安全攻击全检测和审计。
数据审计追溯系统:炼石数据审计追溯系统是一款在对结构化数据和非结构化数据进行数据资产管理、数据接口管理的基础上针对企事业单位数据共享和使用场景,利用安全插件模块或安全代理模块,实现对明暗数字水印嵌入和提取验证功能的安全产品,具有支持数据结构类型多、嵌入速度快、易用性高、通用性强等特点。产品利用高性能加密算法对目标数据接收者特征分发唯一密钥和随机数,保证水印提取时,水印的唯一性和可区别性。同时,高性能算法保证水印嵌入过程最小化感知,结合数据接口、文件共享接口,不改变原有业务工作模式,提高工作效率,保证数据资产权益和可追溯性,避免简单无限制数据分发利用可能造成的数据产权流失、安全责任混乱等场景,有效地解决了企业对数据资产保值增值的同时,满足数据确权和数据安全保护的需求。
数据安全合规系统:炼石数据安全合规系统是一款协助DPO、安全部门、中小规模组织开展数据安全合规治理,落实加密、去标识化技术,维护用户数据安全权益,满足法律法规以及上级监管考核检查的安全产品,具有支持多样化的作业矩阵、低代码的工作流程设计、可视化的全景管理等特点。产品适用于中小规模企业事业单位,比如市区(县)级党政机关、中小规模互联网公司、集团子(分)公司、派出机构等客户,开展数据安全合规性管理或治理等场景,有效地解决了企业对数据保护的工作需求。
同时,炼石作为专业的“一站式密改敏捷交付厂商”,结合最新密评政策标准文件,针对国密合规场景,推出一站式密改“70+分”、“90+分”套餐,应用系统免改造接入即可实现合规升级。炼石密改方案广泛适用于政务、金融、交通、运营商、医疗、能源、水利、工业等多行业客户,支撑保障关基、等保三级、政务等重要网络与信息系统“三同步、一评估”建设。
炼石服务能力助力数据安全体系建设。炼石持续组建专业高效的技术和服务队伍,打造4项通用服务和2项专项咨询服务,让数据安全防护成效实现“1+1>2”,可支撑开展分类分级、合规检查、风险评估、安全审计、个人信息安全影响评估、商用密码应用咨询等专项工作,满足数据安全领域技术咨询、合规建设及决策建议等诉求,提高国家基础信息网络和重要信息系统的数据安全保障能力。
分类分级服务:通过调研和梳理业务系统主要数据流转和核心业务应用功能,逐步建立数据流向清单和数据应用清单,配合炼石自研数据资产扫描工具,为政企客户数据资产管理提供全景化、动态化数据分类分级服务。
合规检查服务:围绕数据全生命周期管理,根据业务系统数据资产重要程度、安全需求以及法律法规、监管要求,细化规则、落地支撑评估检查,对数据安全管理现状、技术管控能力进行全面评估和提升。评估内容包括机构人员建设情况、基本制度完善情况、技术能力保障情况、数据全生命周期管控情况等方面。
风险评估服务:对标行业主管、上级单位数据安全保护要求,通过收集数据、过程文档等材料,分析数据活动存在的安全风险,并结合数据安全管理制度、数据保护技术和产品、数据常态运营等方面存在的脆弱性、威胁、资产重要性等,开展定性/定量风险评估,确定风险优先级,形成数据安全风险评估报告。
安全审计服务:针对敏感数据安全,建立审计实施体系,完善审计流程,开展定期审计工作。针对操作审计,通过对关键数据操作审计,重点检查数据操作过程的合规情况,并借助分级审计机制提高审计效率;针对合规审计,由专业审计团队执行,重点检查数据安全流程和工作的执行情况。
个人信息安全影响评估服务:主要参考国家标准《信息安全技术 个人信息安全规范》中的相关要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁和丢失。
商用密码应用咨询服务:包含密码技术咨询、密码合规整改和密码测评协同等服务,适用于政府、金融、交通、电信、医疗、教育、工业、能源、商业等多行业客户开展商用密码合规性评估工作,支持企事业单位信息系统“三同步”管理。
此次入选2024年中国网络安全行业《数据安全产品及服务购买决策参考》,是业界专业机构对炼石在数据安全赛道综合实力的认可。未来,炼石将继续寻求技术创新突破、产品服务升级,建立更具整体性、系统性和针对性的数据安全保障体系,护航企业数字化建设,为数据安全产业高质量发展贡献力量。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全119”,即可下载《数据安全产品及服务购买决策参考》报告。