数据安全 | 谨防信息泄露，四格互联是如何保障数据安全和信息隐私的？

伴随着数字时代的快速发展，各行各业对大数据的关注和运用越来越多，信息安全也引起了个人、企业及相关部门的重点关注。《中华人民共和国个人信息保护法》将于 2021 年 11 月 1 日起正式施行，这标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台，为个人信息权益保护、信息处理者的义务以及主管机关的职权范围，提供了全面的、体系化的法律依据。个人信息权益得到切实有效的制度保障，也为信息产业明确了经营行为的合法性边界，与《国家安全法》、《网络安全法》、《民法典》和《数据安全法》等法律法规共同构建起个人信息保护的法治堤坝。

四格互联一直重视技术革新和信息安全投入，在行业深耕 8 年，专注不动产数字化综合服务平台设计、研发与运营，为客户提供不动产多业态、全生命周期管理、集团型一站式的解决方案。2020 年，四格互联自主研发的“不动产经营管理平台”已通过《信息安全等级保护管理办法》三级测评。那么，四格互联是如何保障客户数据安全和信息隐私的呢？

01

严格遵守法律法规，持续提升平台及产品安全性

四格互联一直遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络安全等级保护制度三级》等安全相关法律法规和制度，并根据相关规定，持续完善产品应用安全、网络安全、系统安全建设。

与此同时，公司内部制定信息安全管理、网络安全应急制度、办公网环境安全、软件安全开发等安全制度，并要求内部严格执行，确保产品在设计、研发、测试、部署、运营的生命周期中，均符合安全生产的要求。此外，四格设有专项部门，实时跟进最新的安全政策及相关规定，根据最新要求不断提升平台及产品的安全性。

02

定期开展等保评测，组织安全演练和安全培训

四格互联每年会邀请第三方安全机构，对公司平台及产品定期开展网络安全等级保护制度三级评测，对云控制台、堡垒机、安全管理、服务器、数据库、终端、应用等进行安全合规性检查，并对产品的运营环境进行渗透测试和系统扫描测试。

评测后，四格会根据评测报告，对平台及产品进行全方位的安全加固。同时，公司内部安全部门通过统一评估，还会增加如代码扫描测试等安全服务，内部进行评测补充。除定期评测外，四格每年还会在网络安全等级保护制度三级相关内容的指引下，组织安全演练活动。活动按方案要求严格执行，涵盖了演练形式、演练目的、演练场景、演练流程、保障对象、保障范围、保障需求、保障目的等内容。

演练过程中，公司详细记录演练信息，对平台监控告警、故障定位、指挥、处置能力进行评估。根据评估结果，公司不断优化安全应急制度和执行要求，提升团队的安全应急能力。同时，公司每年会配合客户的相关安全检查活动（如：护网活动），对公司平台及产品进行安全防护检查，对发现的问题进行相应整改。基于定期开展的评测活动和安全演练活动，四格每季度会进行安全总结，结合最新的国家安全标准文档，对员工进行相关安全培训，不断提升团队的网络安全意识和网络安全防护能力。

03

完善的数据安全和隐私保护机制

目前，大家对数据安全和隐私保护已有明确的诉求，业界也引以重视并采取相应措施。一是确定采集的个人数据范围是符合隐私政策要求；二是明确个人数据的用途、目的、处理情况、流转情况、共享情况；三是要求 APP 的 SDK 和权限申请有对应的功能,不申请 APP 未使用到的权限和 SDK ；四是建立个人数据权利申请渠道以及企业内部响应流程机制；最后是制定数据删除流程方案。

基于相关法律法规要求，以及不动产数字化建设的多年经验积累，四格在平台数据安全和隐私保护方面，已有完善的运行机制，具体内容如下：

(1) 识别资产的隐私信息：通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续识别，例如：通过 CMDB 平台进行资产管理记录，包括产品的硬件资源和软件资源。

(2) 明确管理规范：明确定义组织数据隐私职责，通过高层给予隐私承诺，以数据与隐私接口人机制落实相关制度流程，保持组织内部流畅的沟通渠道；融合数据安全与隐私保护法规，搭建管理体系的四层制度文件体系，为管理合规留存执行记录证据；通过风险评估，及时识别风险，并定义组织风险承受能力和风险偏好，同时与企业的风险管理框架进行合理衔接；落实数据安全的运营管理职责，执行数据安全策略运营、监控预警、应急处置和账密管控；通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据，对异常数据接收、数据主体权利响应和环境因素变化等主要环节进行持续监视。

(3) 网络安全保护：融合传统网络安全和信息安全的身份管理和访问控制、通用安全控制；在数据安全方面，则从企业的生产环境和办公环境分别搭建安全控制措施，生产环境依据 DSMM 的数据安全生命周期建设控制点，办公环境则根据实际情况落实从对应的安全管控措施；在隐私保护方面，最重要是将基于默认和设计的隐私嵌入到企业的产品研发流程中。例如 APP，严格限制研发在申请权限和 SDK 需要有对应功能，并且配合时下最新的隐私政策要求设计，以达到隐私保护的目的。

(4) 对外沟通：监管机构方面，应保持双向的顺畅沟通，跨境传输做好相应的审批，数据泄露做到通知义务，定期向监管披露隐私情况报告，增强企业责任感；客户方面，按照时下最新的隐私政策要求完善隐私的通知、告知、投诉与沟通渠道，做好客户同意管理和主体权利响应管理，提升客户体验；供应商方面，则应该落实尽职调查、界定双方责任义务、做到定期审计稽核，保持数据事件应急响应联动机制的有效性，做好 SDK 和 API 的相关资产管理，并保持良好的沟通；员工方面，应明确职责，做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。

(5) 内部管控：对管理体系运行效果进行评估、检查、验证、审计，获取外部机构认可和专业资质认证，通过持续的预防措施和整改纠正行动来持续改进；内控模块应与网络安全或信息安全管理体系进行有效融合和衔接，例如进行网络安全等级保护制度三级评测等外部机构认可和专业资质认证；

技术方面保障数据安全，四格互联采取了以下措施：

(1) 对敏感信息进行传输加密，确保敏感信息在传输过程中不被流量监听，导致敏感信息明文内容泄露。

使用非对称加密对敏感的数据进行加密传输，确保了保密性；

传输过程中，使用哈希算法不可逆的加密方式进行二次加密，确保数据的完整性；

(2) 对敏感信息进行存储加密，确保敏感信息不会以明文信息存储在设备中

使用至少了 2 种加密方式，对密码这类敏感信息进行加密存储，确保密码的保密性；

随着密码学加密技术的发展，及时将新的加密技术更新到生产环境中；

(3) 提供敏感信息脱敏展示功能：脱敏展示客户指定相关的敏感信息，该展示由后台进行处理展示到前端。

(4) 按照安全要求对防暴力破解等攻击手段进行防御：提供账号锁定测试功能，对暴力破解密码的行为进行账号锁定；提供图形验证码的二次认证功能，减缓枚举账号的能力，同时业务把控返回信息，减少逻辑漏洞；提供密码复杂度等安全配置，确保整个密码体系拥有强有力的安全保障；

(5) 杜绝敏感数据非法使用：通过加密方式与平台通讯，确保保密性；确保没有多余的敏感信息推送传输；严格杜绝信息用于非授权的其他用途；