當(dāng)前數(shù)字經(jīng)濟(jì)已成為構(gòu)建新發(fā)展格局、推動(dòng)經(jīng)濟(jì)復(fù)蘇和科技創(chuàng)新的新動(dòng)能。隨著數(shù)字經(jīng)濟(jì)的加速發(fā)展,各行業(yè)數(shù)字化轉(zhuǎn)型步伐也開始提速,但數(shù)字經(jīng)濟(jì)新動(dòng)能迅猛發(fā)展的背后,數(shù)據(jù)安全也將面臨新的挑戰(zhàn),急需多維化、體系化、實(shí)戰(zhàn)化的數(shù)據(jù)安全治理方案:
l技術(shù)更新迭代快:人工智能安全AI Security、敏感數(shù)據(jù)的精準(zhǔn)靶向監(jiān)控、數(shù)據(jù)水印溯源技術(shù)、數(shù)據(jù)鑒權(quán)技術(shù)、UEBA用戶實(shí)體行為分析、隱私增強(qiáng)計(jì)算等安全技術(shù)更新迭代速度之快,企業(yè)一定要做到未雨綢繆。
l熱點(diǎn)安全事件頻:近兩年來,勒索病毒等外部攻擊手段逐漸呈現(xiàn)出從普通用戶轉(zhuǎn)向大型企業(yè)用戶,勒索贖金定制化、勒索傳播場(chǎng)景多樣化,高頻次的整體特征,另一方面,由內(nèi)部人員引發(fā)的數(shù)據(jù)泄露和丟失事件更加頻發(fā),且逐步情緒化、多樣化。
l標(biāo)準(zhǔn)制度規(guī)范多:當(dāng)前我國高度重視數(shù)據(jù)安全和個(gè)人信息保護(hù)立法工作,一些列法律法規(guī)相繼出臺(tái),數(shù)據(jù)安全頂層制度設(shè)計(jì)的加速推進(jìn)促使數(shù)據(jù)安全合規(guī)性、規(guī)范性要求不斷提高。全球范圍內(nèi),國家性、區(qū)域性關(guān)于數(shù)據(jù)安全和隱私保護(hù)的法規(guī)各有側(cè)重,企業(yè)如何在參與全球經(jīng)濟(jì)的合作與競爭中,滿足國內(nèi)外合規(guī)要求是很大的挑戰(zhàn)。
l合規(guī)處罰力度大:今年1月,中國銀保監(jiān)會(huì)開出2021年第一張罰單,某大行因涉及發(fā)生數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風(fēng)險(xiǎn)等問題,被罰420萬人民幣。此外,《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《通用數(shù)據(jù)保護(hù)條例》(GDPR)等相關(guān)法律法規(guī)的處罰力度均十分嚴(yán)厲。
數(shù)據(jù)安全治理多維化、體系化、實(shí)戰(zhàn)化
數(shù)字化浪潮下,數(shù)據(jù)流轉(zhuǎn)環(huán)境發(fā)生了顛覆性轉(zhuǎn)變,數(shù)據(jù)不僅打破了原有安全域內(nèi)流動(dòng)的約束,且與數(shù)據(jù)相關(guān)的應(yīng)用、人員等更為復(fù)雜且快速變化,這些原因都在導(dǎo)致傳統(tǒng)基于靜態(tài)邊界保護(hù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)措施不斷弱化,甚至失效。
在新的安全形勢(shì)下,零信任成為最佳實(shí)踐,美創(chuàng)科技基于零信任的數(shù)據(jù)安全防護(hù)思路,以數(shù)據(jù)為核心,從資產(chǎn)、入侵和風(fēng)險(xiǎn)三個(gè)視角出發(fā),通過以人為中心的身份管理、動(dòng)態(tài)訪問控制、持續(xù)的信任評(píng)估,實(shí)現(xiàn)讓數(shù)據(jù)時(shí)刻處于保護(hù)之中。
美創(chuàng)科技經(jīng)過多年在數(shù)據(jù)安全領(lǐng)域的專注研究和不斷探索實(shí)踐,總結(jié)出要做好新形勢(shì)下的數(shù)據(jù)安全治理體系建設(shè),離不開五大保障。
數(shù)據(jù)安全治理體系建設(shè)
數(shù)據(jù)安全治理體系建設(shè)“五大保障”
l數(shù)據(jù)安全戰(zhàn)略保障:做好數(shù)據(jù)安全,離不開法律法規(guī)、人員管控以及行業(yè)標(biāo)準(zhǔn)的保障,只有頂層設(shè)計(jì)的密集布局和加碼,促使數(shù)據(jù)安全合規(guī)性、規(guī)范性要求不斷提高。
l數(shù)據(jù)安全管理保障:對(duì)于數(shù)據(jù)安全,多數(shù)組織單位依然采用傳統(tǒng)的安全合規(guī)應(yīng)對(duì)做法,建設(shè)方法并不體系。這種低效、粗放的建設(shè)存在諸多不足,并不能讓數(shù)據(jù)安全治理得到實(shí)質(zhì)的提升,因此,需要建立完善的制度流程、組織架構(gòu),同時(shí)包保障合理的人員配備。
l數(shù)據(jù)安全技術(shù)保障:從物聯(lián)感知層到智慧應(yīng)用層,基于數(shù)據(jù)流動(dòng)的特征,提供一些列技術(shù)支撐,完成數(shù)據(jù)安全防護(hù)。
l數(shù)據(jù)安全建設(shè)運(yùn)營保障:快速的檢測(cè)、評(píng)價(jià)數(shù)據(jù)安全治理成果。
l數(shù)據(jù)安全基礎(chǔ)支撐保障:數(shù)據(jù)安全服務(wù)提供者,提供身份鑒別、入侵檢測(cè)、入侵防御、高危操作防護(hù)等一些列底層技術(shù),為安全保障體系賦能。
實(shí)踐一:數(shù)據(jù)安全咨詢服務(wù)
數(shù)據(jù)安全建設(shè)不同于以往的網(wǎng)絡(luò)安全建設(shè)有章可循,因此,以從傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)思路開始著手于數(shù)據(jù)安全體系建設(shè)時(shí),經(jīng)常會(huì)充滿疑問,不知道從何做起:數(shù)據(jù)安全風(fēng)險(xiǎn)在哪里?建設(shè)投入如何分配?因此,咨詢是發(fā)現(xiàn)問題、評(píng)估現(xiàn)狀相對(duì)較好的切入點(diǎn)。
美創(chuàng)科技數(shù)據(jù)安全咨詢采用敏捷咨詢規(guī)劃和方案設(shè)計(jì),涵蓋現(xiàn)場(chǎng)調(diào)研、分類分級(jí)、差距分析、安全評(píng)估、加固建議等一整套“體檢”流程,最終形成基于數(shù)據(jù)流向的數(shù)據(jù)安全咨詢報(bào)告。同時(shí)基于現(xiàn)狀,有針對(duì)性、有側(cè)重點(diǎn)構(gòu)建以數(shù)據(jù)為核心的風(fēng)險(xiǎn)安全建設(shè)體系規(guī)劃方案。并且會(huì)在過程中根據(jù)現(xiàn)狀,補(bǔ)充內(nèi)控合規(guī)管理所需的材料,包括制度規(guī)范技術(shù)規(guī)范以及崗位培訓(xùn)等。
實(shí)踐二:資產(chǎn)梳理形成數(shù)據(jù)流向圖
當(dāng)前,各行業(yè)在進(jìn)行數(shù)據(jù)安全建設(shè)時(shí)往往面臨數(shù)據(jù)資產(chǎn)分布情況不明朗,保護(hù)對(duì)象不清晰等一些列問題,且對(duì)自身的數(shù)據(jù)資產(chǎn)狀況知之甚少,因此,進(jìn)行數(shù)據(jù)安全建設(shè)之前,應(yīng)首先將自家的數(shù)據(jù)資產(chǎn)狀況梳理清楚,形成完整的數(shù)據(jù)資產(chǎn)流向圖,消除安全隱患。
數(shù)據(jù)流向圖
美創(chuàng)科技基于自研的暗數(shù)據(jù)發(fā)現(xiàn)與分類系統(tǒng)和人工方式對(duì)目標(biāo)環(huán)境中數(shù)據(jù)資產(chǎn)分布情況進(jìn)行梳理,形成數(shù)據(jù)資產(chǎn)清單,明確數(shù)據(jù)資產(chǎn)到底在哪里、數(shù)據(jù)資產(chǎn)權(quán)限管理狀況,得到基礎(chǔ)的數(shù)據(jù)資產(chǎn)清單和分布和管理現(xiàn)狀,以便更加體系化地分析和設(shè)計(jì)數(shù)據(jù)資產(chǎn)涉及的角色和訪問控制體系。
實(shí)踐三:數(shù)據(jù)分類分級(jí)
當(dāng)前政企、醫(yī)療等機(jī)構(gòu)數(shù)據(jù)分類分級(jí)主要面臨無標(biāo)準(zhǔn)難規(guī)范、有標(biāo)準(zhǔn)難落地、已落地難應(yīng)用等現(xiàn)狀,整體難以實(shí)現(xiàn)分級(jí)管控和精細(xì)化的安全防護(hù)。
美創(chuàng)科技數(shù)據(jù)分類分級(jí)
針對(duì)以上現(xiàn)狀,美創(chuàng)暗數(shù)據(jù)發(fā)現(xiàn)和分級(jí)分類系統(tǒng)按照分類標(biāo)準(zhǔn)和對(duì)應(yīng)業(yè)務(wù)模板以及重要敏感程度對(duì)數(shù)據(jù)進(jìn)行分級(jí)(低敏感-中敏感-高敏感-極高敏感),并生成完整、可視化的分析報(bào)告,方便用戶篩選和查看不同敏感程度的數(shù)據(jù)分布和信息,對(duì)敏感數(shù)據(jù)采取相應(yīng)的安全防護(hù)措施(包括敏感數(shù)據(jù)訪問審計(jì)、數(shù)據(jù)脫敏等),從而減少數(shù)據(jù)安全風(fēng)險(xiǎn),對(duì)數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)規(guī)范化管理。
實(shí)踐四:量化風(fēng)險(xiǎn)評(píng)估
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是對(duì)數(shù)據(jù)資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響以及三者綜合作用所帶來風(fēng)險(xiǎn)可能性的評(píng)估環(huán)節(jié)。美創(chuàng)科技基于數(shù)據(jù)安全能力成熟度模型,按照數(shù)據(jù)全生命周期分階段,采用不同的能力評(píng)估等級(jí),從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)安全能力維度的建設(shè)進(jìn)行綜合考量,并劃分等級(jí)。
數(shù)據(jù)安全能力評(píng)估
對(duì)于評(píng)估過程中所識(shí)別的風(fēng)險(xiǎn),美創(chuàng)專家團(tuán)隊(duì)將充分結(jié)合合規(guī)要求和風(fēng)險(xiǎn)現(xiàn)狀,為客戶設(shè)計(jì)一套數(shù)據(jù)安全保護(hù)對(duì)象框架,并提供帶有加固建議的專業(yè)報(bào)告。
實(shí)踐五:以問題為導(dǎo)向的數(shù)據(jù)安全規(guī)劃路徑
從安全咨詢到風(fēng)險(xiǎn)評(píng)估,均是數(shù)據(jù)安全建設(shè)的前提,最終落地并發(fā)揮作用的無疑還是經(jīng)過實(shí)踐檢驗(yàn)的技術(shù)和產(chǎn)品。美創(chuàng)科技圍繞數(shù)據(jù)安全全生命周期,基于新一代安全中臺(tái),快速孵化數(shù)據(jù)安全能力,針對(duì)數(shù)據(jù)管理、應(yīng)用能力,從運(yùn)維端、到業(yè)務(wù)端,通過數(shù)據(jù)安全管控平臺(tái)實(shí)現(xiàn)六個(gè)統(tǒng)一(統(tǒng)一賬戶、統(tǒng)一監(jiān)控、統(tǒng)一展示、統(tǒng)一分析、統(tǒng)一告警、統(tǒng)一配置),變被動(dòng)防護(hù)為主動(dòng)防護(hù),變單點(diǎn)防護(hù)為整體防護(hù),全局安全防護(hù)手段整體管理運(yùn)營,精準(zhǔn)掌控?cái)?shù)據(jù)安全狀態(tài),最終實(shí)現(xiàn)數(shù)據(jù)全域可管,風(fēng)險(xiǎn)全局可視。
美創(chuàng)科技安全態(tài)勢(shì)感知
它山之石可以攻玉——美創(chuàng)以十六年在數(shù)據(jù)安全領(lǐng)域沉淀的方法論、架構(gòu)、產(chǎn)品及服務(wù)能力為底座,以數(shù)據(jù)安全治理體系建設(shè)的五大最佳實(shí)踐為藍(lán)本,為各行各業(yè)的數(shù)據(jù)安全建設(shè)提供向?qū)В瑸榧磳⒌絹淼臄?shù)據(jù)安全法的落地建立實(shí)踐路徑,為數(shù)字化轉(zhuǎn)型和數(shù)字化改革保駕護(hù)航!
以上內(nèi)容來源于美創(chuàng)科技副總裁蔡毅在2021數(shù)據(jù)安全與數(shù)據(jù)治理高峰論壇期間的《以數(shù)據(jù)為中心的安全治理實(shí)踐》主題演講。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )