Commvault前沿技術(shù)助力數(shù)據(jù)保護(hù)合規(guī)

2025年1月1日，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（以下簡稱《條例》）正式施行。《條例》是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》下首個國務(wù)院正式發(fā)布的管理?xiàng)l例，屬于效力僅次于法律的行政法規(guī)，其重要性不言而喻。

數(shù)據(jù)保護(hù)關(guān)鍵要求

《條例》細(xì)化了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》，對“行政法規(guī)”可以補(bǔ)充規(guī)定或另行規(guī)定的事項(xiàng)進(jìn)行補(bǔ)充性或創(chuàng)新性規(guī)定。在數(shù)據(jù)保護(hù)方面，《條例》強(qiáng)調(diào)了分類分級保護(hù)，要求企業(yè)采取必要的安全措施，制定應(yīng)急預(yù)案，監(jiān)測風(fēng)險并及時處置。

遵循行業(yè)標(biāo)準(zhǔn)，前沿技術(shù)助力數(shù)據(jù)保護(hù)合規(guī)

隨著數(shù)據(jù)在企業(yè)發(fā)展中發(fā)揮越來越重要的作用，許多企業(yè)已經(jīng)認(rèn)識到了這些數(shù)據(jù)保護(hù)工作的重要性，在企業(yè)采用的NIST等標(biāo)準(zhǔn)框架中，有許多方面和《條例》的要求相契合。Commvault連續(xù)13次被評為Gartner企業(yè)級備份和恢復(fù)軟件解決方案魔力象限領(lǐng)導(dǎo)者，Commvault平臺遵循NIST框架，實(shí)現(xiàn)了從識別到恢復(fù)的全流程數(shù)據(jù)保護(hù)，為企業(yè)提供全面的數(shù)據(jù)保護(hù)支持。

分類分級保護(hù)

《條例》第五條明確，國家根據(jù)網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度對網(wǎng)絡(luò)數(shù)據(jù)實(shí)行分類分級保護(hù)。第三十三條明確，重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年度對其網(wǎng)絡(luò)數(shù)據(jù)處理活動開展風(fēng)險評估，并向省級以上有關(guān)主管部門報送風(fēng)險評估報告。

對較易涉及重要數(shù)據(jù)的行業(yè)，例如金融、醫(yī)療等敏感行業(yè)，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)按照國家有關(guān)規(guī)定識別、申報重要數(shù)據(jù)，履行網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)責(zé)任，并注意網(wǎng)絡(luò)數(shù)據(jù)處理活動風(fēng)險評估的定期開展，以及風(fēng)險評估報告的報送。

即使對于極熟悉業(yè)務(wù)的員工來說，敏感和關(guān)鍵數(shù)據(jù)的分類及評估也是一個龐雜的工作。NIST框架識別部分提出，企業(yè)應(yīng)當(dāng)理解自己所面臨的數(shù)據(jù)保護(hù)風(fēng)險，讓企業(yè)得以確定自身風(fēng)險管理策略和任務(wù)的優(yōu)先級。Commvault推出Risk Analysis風(fēng)險分析功能，幫助客戶實(shí)現(xiàn)數(shù)據(jù)的自動識別和分類，大幅簡化分類分級保護(hù)的工作量，幫助企業(yè)及時發(fā)現(xiàn)和識別數(shù)據(jù)保護(hù)風(fēng)險。

加強(qiáng)保護(hù)措施

在數(shù)據(jù)保護(hù)措施方面，《條例》強(qiáng)調(diào)應(yīng)當(dāng)采取必要措施?！稐l例》第九條明確，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)，建立健全網(wǎng)絡(luò)數(shù)據(jù)安全管理制度，采取加密、備份、訪問控制、安全認(rèn)證等技術(shù)措施和其他必要措施，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)免遭篡改、破壞、泄露。

隨著數(shù)字化轉(zhuǎn)型的發(fā)展，數(shù)據(jù)保護(hù)的關(guān)鍵性已經(jīng)成為行業(yè)共識。例如，制造業(yè)企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，會采取數(shù)據(jù)保護(hù)措施確保自身的核心研發(fā)數(shù)據(jù)不丟失和泄露。《條例》將采取數(shù)據(jù)保護(hù)措施納入行政法規(guī)，要求企業(yè)進(jìn)一步重視數(shù)據(jù)保護(hù)措施的實(shí)施。NIST框架在保護(hù)部分提出，企業(yè)需要采取保護(hù)措施以防止意外事件的發(fā)生，包括身份管理、身份驗(yàn)證、訪問控制，人員培訓(xùn)，數(shù)據(jù)、平臺和技術(shù)基礎(chǔ)設(shè)施保護(hù)等等。Commvault采取CIS/STIG加固，幫助客戶加強(qiáng)了數(shù)據(jù)保護(hù)平臺及其訪問控制，并采用Air Gap數(shù)據(jù)隔離和存儲不可變等技術(shù)措施，有效實(shí)現(xiàn)數(shù)據(jù)防篡改。Commvault還不斷擁抱前沿技術(shù)，為客戶帶來簡單、高效、安心的數(shù)據(jù)保護(hù)體驗(yàn)。目前，Commvault擁有超過1400項(xiàng)專利。

制定應(yīng)急預(yù)案

在數(shù)據(jù)保護(hù)管理體系方面，《條例》強(qiáng)調(diào)了制定應(yīng)急預(yù)案等制度流程?！稐l例》第十一條明確，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案。第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)當(dāng)制定實(shí)施網(wǎng)絡(luò)數(shù)據(jù)安全管理制度、操作規(guī)程和網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案。

隨著數(shù)據(jù)保護(hù)挑戰(zhàn)的演變，意外事件不可避免，企業(yè)的考慮角度已經(jīng)從意外事件“是否會發(fā)生”、“何時會發(fā)生”轉(zhuǎn)向“有多嚴(yán)重”。NIST框架在響應(yīng)部分包括事件的管理、分析、報告以及溝通。Commvault為客戶提供與網(wǎng)絡(luò)安全管理平臺集成的安全事件自動告警和處理，幫助客戶及早發(fā)現(xiàn)異常，并實(shí)現(xiàn)IT運(yùn)維和安全運(yùn)維團(tuán)隊(duì)之間的良好協(xié)作。

風(fēng)險監(jiān)測和及時處置

《條例》第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)當(dāng)定期組織開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險監(jiān)測、風(fēng)險評估、應(yīng)急演練、宣傳教育培訓(xùn)等活動，及時處置網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險和事件。

企業(yè)如何確保自身能夠及時處置網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險和事件？應(yīng)急演練已經(jīng)成為常用方法。但對于采用混合基礎(chǔ)架構(gòu)的大型企業(yè)，全面的應(yīng)急演練涉及各種位置和工作負(fù)載，往往會受到環(huán)境和成本等多重限制。Commvault平臺支持跨本地和多云的數(shù)據(jù)恢復(fù)，并采用潔凈室恢復(fù)技術(shù)，幫助企業(yè)進(jìn)行定期恢復(fù)測試，確保恢復(fù)計(jì)劃的可用性，助力企業(yè)在混合環(huán)境中實(shí)現(xiàn)快速恢復(fù)。

此外，一家企業(yè)想要實(shí)現(xiàn)成功恢復(fù)，完善的備份數(shù)據(jù)必不可少。在日常的監(jiān)控和檢測方面，Commvault通過基于AI驅(qū)動的自動蜜罐部署和文件異常零日威脅監(jiān)測等技術(shù)實(shí)現(xiàn)統(tǒng)一的安全風(fēng)險監(jiān)控，其Threat Scan威脅掃描技術(shù)可以對備份數(shù)據(jù)進(jìn)行定期的威脅識別和及時告警，并與主流的SOAR安全事件處理平臺集成，及時發(fā)現(xiàn)、處理和定期更新。

數(shù)據(jù)保護(hù)合規(guī)落地五步走

隨著《條例》的施行，企業(yè)也迎來了提升自身數(shù)據(jù)保護(hù)能力的契機(jī)。企業(yè)應(yīng)當(dāng)推進(jìn)自身數(shù)據(jù)保護(hù)的分級優(yōu)化與落實(shí)，加快數(shù)據(jù)保護(hù)管理體系的總體建設(shè)。對此，Commvault參考NIST 和全球客戶最佳實(shí)踐，提出數(shù)據(jù)保護(hù)合規(guī)的分階段落地建議：

1.安全評估和咨詢

專業(yè)服務(wù)團(tuán)隊(duì)參考全球最佳實(shí)踐落地數(shù)據(jù)保護(hù)合規(guī)咨詢評估，協(xié)助客戶調(diào)研數(shù)據(jù)保護(hù)現(xiàn)狀和風(fēng)險評估，理解數(shù)據(jù)保護(hù)合規(guī)差距，進(jìn)行數(shù)據(jù)分級分類，并制定數(shù)據(jù)保護(hù)合規(guī)制度和規(guī)范。

2.方案設(shè)計(jì)

結(jié)合全球領(lǐng)先的數(shù)據(jù)保護(hù)技術(shù)，參考《條例》要求和NIST CSF 2.0框架設(shè)計(jì)分步驟落地計(jì)劃和方案。

3.基本數(shù)據(jù)保護(hù)方案落地

根據(jù)設(shè)計(jì)要求測試和選擇符合方案要求的產(chǎn)品和技術(shù)，覆蓋數(shù)據(jù)分級保護(hù)策略、數(shù)據(jù)防篡改、數(shù)據(jù)加密和數(shù)據(jù)保護(hù)監(jiān)控和告警。

4.高級數(shù)據(jù)安全方案落地

加強(qiáng)數(shù)據(jù)保護(hù)方案，如Air Gap數(shù)據(jù)隔離保護(hù)、備份數(shù)據(jù)的威脅掃描和隔離、基于潔凈室的恢復(fù)驗(yàn)證。

5.定期檢驗(yàn)和技術(shù)更新

定期的保護(hù)檢測、風(fēng)險評估、保護(hù)培訓(xùn)和保護(hù)技術(shù)更新。

如今，數(shù)據(jù)是企業(yè)運(yùn)營和社會發(fā)展的重要驅(qū)動力，數(shù)據(jù)保護(hù)也受到了越來越多的關(guān)注。隨著2025年1月《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》正式施行，網(wǎng)信部門會加強(qiáng)監(jiān)管力度，統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作，以確保企業(yè)滿足《條例》的監(jiān)管要求。增強(qiáng)數(shù)據(jù)保護(hù)和數(shù)據(jù)安全能力是企業(yè)在數(shù)字化時代保持競爭力的應(yīng)時之舉，企業(yè)應(yīng)當(dāng)不斷提升自身數(shù)據(jù)保護(hù)治理，答好這道數(shù)字化時代的“必答題”。