企业动态

    10月16日，国家安全部微信公众号发文称，近年来，随着国家安全机关加大对非法测绘活动的打击力度，部分境外组织逐步转向与国内企业开展所谓项目合作逃避监管，非法采集我国原始测绘数据，威胁我国家安全。国家安全机关工作发现，某境外企业A公司通过与我国具有测绘资质的B公司合作，以开展汽车智能驾驶研究为掩护，在我国内非法开展地理信息测绘活动。

    奇安信安全专家表示，本次数据跨境泄密事件非常隐蔽，如果不是国家安全机关部门的及时调查，极难发现。其核心原因是两个环节易存在安全监管“盲区”：一是在数据采集环节，测绘设备采集的数据格式特殊，常见软件无法读取分析，监管难度较大；二是数据的存储、处理和流转等环节，被A公司操控，忽视相关规定要求，导致原始测绘数据失控外传。

    奇安信安全专家建议，要避免类似事件发生，首先要重视数据采集环节，尤其在万物互联的物联网、车联网时代，须警惕各种新型设备在不经意间采集了关乎国家安全的重要数据；其次要重视数据的流通环节，严格遵守国家法律法规，加强对流转数据尤其是数据跨境传输的安全管理，谨防重要数据被境外组织或个人窃取。

    万物互联时代    一切设备皆可成“数据采集器”

    众所周知，数据全生命周期包括采集、存储、处理、传输、交换、销毁等六个阶段，而对于数据采集阶段，过去更多关注如手机、电脑、摄像头等数字设备的采集过程，而对万物互联时代层出不穷、无处不在的各种新型科技设备则重视程度不足。

    “国家安全部”公众号发文表示，随着测绘设备的迭代发展，部分测绘活动已可依托搭载有高新测绘设备的车辆开展，相关车辆行驶过目标地区后，测绘数据便可自动采集集成。高新技术的应用在提升测绘效率的同时，也使非法测绘活动变得愈加隐蔽。为快速大量采集我国测绘数据，A公司购入多辆汽车并加装高精度雷达、GPS及光学镜头等设备，企图提高测绘效率，降低被主管部门发现的风险。此外，A公司测绘设备采集的数据格式特殊，常见软件无法读取分析，给行业主管部门有效监管带来一定阻碍。

    除测绘设备之外，气象设备也成为重要数据的采集渠道。去年10月，国家安全机关会同气象、保密等部门调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对我国家安全造成风险隐患。这些气象探测设备体积小、便于安装、不易发现，能自动采集并实时网络传输，因此成为数据跨境泄密的“源头”。

    某境外企业安装的非法气象探测设备

    奇安信安全专家指出，随着“云、物、移、大、智”的推进，实现数据采集并完成实时网络传输的科技设备将无所不在。它们采集的原始数据，往往和与国土安全、军事安全、生态安全、数据安全等国家安全领域息息相关，容易在源头造成泄密风险。

    跨境泄密防不胜防    奇安信提供一站式出境合规能力

    除了数据采集阶段，数据在后续的存储、处理、传输、交换环节，其隐患更加复杂多样，数据跨境泄密更是防不胜防。

    “国家安全部”发文指出，为尽可能直接获取原始测绘数据，A公司越过项目转包的层层节点，全程主导测绘项目进展，直接指挥B公司人员在我国内多省份开展测绘，更是专门委派外籍技术专家对B公司的测绘人员开展实操指导，重点把控测绘数据的存储、处理和流转等环节。最后在A公司的操控指使下，B公司将测绘所得数据转移出境。

    奇安信安全专家表示，造成这种情况的原因，是数据跨境传输中安全监管和技术防护的缺失。

    要避免数据跨境泄密事件的发生，需要围绕以下几方面强化工作：

    01

    做好数据分类分级，识别出重要核心数据。

    对于所有掌握着与国家安全、重点科研、国计民生紧密相关重要和敏感数据的机构和企业而言，迫切需要从合规角度，建立数据分类分级管理制度，对数据进行分类分级，识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据，做好针对性的安全保护措施。

    02

    通过技术手段，实时监测数据出境活动的安全风险。

    政企机构需要依托技术手段，确保企业自身在数据出境活动中的安全性和合规性，并基于具体数据出境活动的变化及时调整合规措施，避免数据出境活动的事中事后监管风险。

    在数据出境合规和安全保障方面，奇安信走在了同行前列。早在2022年5月，奇安信就发布了数据跨境卫士，可以为企业开展跨境业务、管理境外分支机构、境外上市、跨境数据流动等场景，提供一整套数据跨境合规流程的技术手段和方法。它不仅能解决企业跨境传输的数据能满足《数据安全法》、《个人信息保护法》、数据跨境监管等合规要求，还能对敏感数据的跨境流动情况，进行全局、清晰和直观的掌控，帮助企业有效避免因数据处理不当导致的名誉受损、经济受损。

    以某大型跨国车企为例，该企业境外分支机构众多，跨国业务复杂，数据跨境合规自查需求及自身数据安全保证需求强烈，但面临着出境业务梳理不清、出境数据无感知、异常出境行为无感知等痛点，通过部署奇安信数据跨境卫士，采用流量采集与还原技术、内容识别技术、数据出境传输识别技术、敏感数据检测技术、大数据关联分析技术来帮助其解决出境业务梳理不清、出境数据无感知、数据异常出境无监控手段的问题，确保了合规、安全的业务经营。

    截止目前，奇安信数据跨境卫士已经在政府、监管单位、跨国集团、大型制造企业等领域得到更广泛应用，积累了多个标杆案例。

    03

    完善体系建设，强化常态化运营，确保持续合规。

    数据安全的建设只有起点没有终点，要实现数据出境持续合规，需结合管理体系、技术体系、运营体系全面开展，管理体系方面需建立组织架构和制定数据安全管理制度，从技术体系方面需要建设持续监测和应急响应的技术手段，从运营体系方面需要建立常态化的运营体系，提升企业的自身运营能力。奇安信依托数据跨境卫士和数据出境安全专家团队的组合，可以帮助客户一站式进行数据出境合规建设，帮助客户实现数据出境合规，在数字时代行稳致远。