2021年12月22日,由中國軟件評測中心、國家信息中心《信息安全研究》、螞蟻集團聯(lián)合編寫的《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》正式發(fā)布。
白皮書在對現(xiàn)階段全球數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展格局及治理態(tài)勢進行充分調(diào)研與深度剖析的基礎(chǔ)上,從引導(dǎo)企業(yè)建設(shè)與升級數(shù)據(jù)安全治理體系的視角出發(fā),以“戰(zhàn)略要位、實戰(zhàn)牽引、全員參與、技術(shù)破局”為核心指導(dǎo)思想,強調(diào)數(shù)據(jù)安全的“復(fù)合”治理,即:對治理框架搭建中戰(zhàn)略、管理和技術(shù)進行統(tǒng)籌規(guī)劃與設(shè)計,形成基線設(shè)定、心智運營、原生設(shè)計、安全度量、可證溯源、紅藍對抗、測評認證等豐富的治理環(huán)節(jié),強化治理過程的聯(lián)動,將安全與業(yè)務(wù)復(fù)合、管理與技術(shù)復(fù)合,形成有機整體,充分發(fā)揮復(fù)合協(xié)同效能,構(gòu)建體系化、準確量化、持續(xù)優(yōu)化的數(shù)據(jù)安全復(fù)合治理模式。
此次螞蟻集團與國家權(quán)威單位聯(lián)合,結(jié)合自身豐富的業(yè)務(wù)應(yīng)用場景與實踐經(jīng)驗,深度參與白皮書的調(diào)研與編寫工作。面對我國數(shù)據(jù)安全法制元年的政策背景,針對數(shù)據(jù)安全產(chǎn)業(yè)規(guī)??焖偌ぴ?,應(yīng)對敏感數(shù)據(jù)泄露、數(shù)據(jù)非法販賣、數(shù)據(jù)濫用等安全風(fēng)險,總結(jié)性提出“數(shù)據(jù)安全復(fù)合治理模式”,旨在為企業(yè)開展數(shù)據(jù)安全治理工作提供更加有價值的參考與建議,并為數(shù)據(jù)安全治理體系與科技能力的建設(shè)、優(yōu)化與升級提供實踐路徑。
【圖一 《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》復(fù)合治理模式】
企業(yè)在開展數(shù)據(jù)安全治理工作時,如何評估安全治理效果是一個比較普遍的痛點、難點問題。白皮書創(chuàng)新性地提出了多視角安全度量體系,由于安全治理是個體系化的風(fēng)險管理工程,安全度量需要從多個評價視角入手才能全面衡量治理效果。一方面要對員工安全意識教育、防護建設(shè)覆蓋等治理過程進行準確度量以體現(xiàn)安全工作進展與成果,另一方面從風(fēng)險主體視角,以安全規(guī)范、安全基線等合規(guī)要求為輸入,來衡量各類風(fēng)險主體的風(fēng)險程度與嚴重性,并圍繞風(fēng)險分數(shù)開展場景化應(yīng)用和通曬排名等運營模式,以提高主體的風(fēng)險重視度。最終,還需要用攻防視角的紅藍演練等實戰(zhàn)手段,對于治理體系的薄弱環(huán)節(jié)進行驗證、對風(fēng)險盲區(qū)進行發(fā)現(xiàn),以真實客觀評價安全治理體系的實戰(zhàn)有效性??傮w上,在多視角安全度量體系的驅(qū)動下,企業(yè)得以看清當(dāng)前安全水位,落實安全風(fēng)險的精細化管理,持續(xù)提升安全水位,并保證自身體系的健壯性。
【圖二 《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》多視角安全度量】
數(shù)據(jù)安全治理科技從系統(tǒng)能力、算法能力、數(shù)據(jù)能力和產(chǎn)品能力四大維度闡述了如何建設(shè)與完善數(shù)據(jù)安全治理的技術(shù)體系。系統(tǒng)能力包括安全平行切面、密碼基礎(chǔ)設(shè)施、安全可信環(huán)境、終端安全等,旨在構(gòu)建安全可信的系統(tǒng)和環(huán)境支持,為數(shù)據(jù)安全治理提供底層環(huán)境支撐。算法能力重點關(guān)注數(shù)據(jù)資產(chǎn)識別、數(shù)據(jù)血緣圖譜、異常訪問檢測等智能算法建設(shè),應(yīng)對數(shù)據(jù)安全治理中的“看見數(shù)據(jù)”、“看清數(shù)據(jù)”和“理清風(fēng)險”三大難題。數(shù)據(jù)能力主要提供準實時精準檢索、壓縮索引、異構(gòu)數(shù)據(jù)提取等數(shù)據(jù)加工能力,實現(xiàn)大規(guī)模數(shù)據(jù)的準實時快速定位。產(chǎn)品能力旨在從全息資產(chǎn)畫像、深度安全防護、智能安全運營、隱私保護與隱私計算等領(lǐng)域出發(fā),構(gòu)建從數(shù)據(jù)資產(chǎn)識別到動態(tài)安全管控到智慧安全運營到數(shù)據(jù)價值利用的全方位、體系化的產(chǎn)品能力,滿足不同數(shù)據(jù)安全治理場景下的技術(shù)需求。
【圖三 《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》數(shù)據(jù)安全治理科技】
復(fù)合治理模式強調(diào)全員參與、原生式安全以及智能化安全運營機制。
全員參與。數(shù)據(jù)與業(yè)務(wù)緊密交織,正是基于這一特點,螞蟻集團在數(shù)據(jù)安全的風(fēng)險管理上一直秉承一個理念:“數(shù)據(jù)安全不僅是安全團隊的事情,而是每個公司員工都需要高度重視的事情”。因此,如何構(gòu)建一個全員參與的風(fēng)險治理體系就顯得格外重要。螞蟻集團通過“啄木鳥”行動等豐富、活潑的心智運營活動設(shè)計,充分調(diào)動全員主動參與積極性,有效實現(xiàn)不同特點人群的精確觸達。
原生式安全。將數(shù)據(jù)安全的理念和要求融入到研發(fā)的過程中,保證產(chǎn)品在發(fā)布前已具備充分必要的數(shù)據(jù)保護措施,而不是出現(xiàn)數(shù)據(jù)安全問題以后,被動地修復(fù)和治理。同時可針對數(shù)據(jù)處理產(chǎn)品組件開展內(nèi)部認證,推薦、保障研發(fā)團隊使用安全、可靠的組件,對使用不符合內(nèi)部認證標準的組件的產(chǎn)品和系統(tǒng),督促其及時進行整改,以增強產(chǎn)品和系統(tǒng)的“天然免疫力”。
建設(shè)智能化的安全運營機制,以進一步提升數(shù)據(jù)安全治理的自動化水平和效率。以紅藍演練為例,通過沉淀自動化、模塊化、組件化的紅藍演練能力,制定演練科學(xué)投放的策略,并建設(shè)全鏈路風(fēng)險跟蹤能力,形成常態(tài)化的紅藍演練機制,從攻防視角更加高效、及時地識別和修復(fù)安全風(fēng)險,實現(xiàn)“以攻促防、攻防相長”的目標。
【圖四 《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》自動化紅藍演練平臺】
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )