企业关键信息保护白皮书网络安全法正式在2017年6月出台,对于加强互联网和网络安全方面的法律约束具有重要意义,对金融机构提出新的网络安全工作思路和要求,起到推进作用。在全球一体化、数字化飞速发展的前提下,欧盟几乎与中国同一时间也通过立法对个人信息的保护问题提出了更加具体的要求,通用数据保护条例(以下简称“GDPR”)。这两个法案都强调了个人信息保护的重要性,并对关键信息的保护提出了各种要求。国内的网安法更多的是纲领性的指导,没有GDPR提出了具体的操作要求。这里我们可以参考GDPR的一些操作要求,来考虑如何对关键信息进行保护。关键信息的保护我们把关键信息的保护分为三个阶段: 发现和分类定位各种数据的分布情况、确定哪些是关键信息、对存储关键信息的服务器自身的漏洞应该进行重点检查 监控和分析要对关键信息的访问的行为进行全面审计、通过用户行为分析自动发现异常 修复、保护和报告对于发现的异常进行告警和报告,甚至可以进行拦截;对于必须要导出的关键数据进行脱敏;针对前期发现的关键信息服务器漏洞进行漏洞管理发现和分类曲控和分析服务器和数据的分布救
