8月17-8月18日，BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會(huì)在深圳成功舉辦。會(huì)上，多位嘉賓圍繞數(shù)字時(shí)代網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等議題，共謀發(fā)展思路、建設(shè)新規(guī)劃。

美創(chuàng)科技CTO周杰應(yīng)邀出席，并在零信任安全論壇發(fā)表《基于零信任的數(shù)據(jù)安全風(fēng)險(xiǎn)治理》主題演講。

數(shù)字經(jīng)濟(jì)的時(shí)代，數(shù)據(jù)要素正在發(fā)揮越來(lái)越大的作用，數(shù)據(jù)的作用和價(jià)值越來(lái)越高，但也帶來(lái)了不勝枚舉的安全風(fēng)險(xiǎn)和挑戰(zhàn)?！稊?shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法規(guī)條例的陸續(xù)出臺(tái)實(shí)施，標(biāo)志著數(shù)據(jù)安全建設(shè)必要性提至新的高度。

周杰表示，組織機(jī)構(gòu)做好數(shù)據(jù)安全，首先需要充分認(rèn)知數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。一方面移動(dòng)辦公、業(yè)務(wù)上云等新的環(huán)境安全風(fēng)險(xiǎn)、一方面數(shù)據(jù)需要跨業(yè)務(wù)、跨系統(tǒng)、跨部門(mén)，多跨場(chǎng)景下的數(shù)據(jù)風(fēng)險(xiǎn)。如何開(kāi)展面對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的感知、理解、計(jì)算、預(yù)測(cè)、防護(hù)全過(guò)程變得更為迫切。

以某政數(shù)局?jǐn)?shù)據(jù)匯聚、共享、交換為例：省、市、縣三級(jí)，需要逐層數(shù)據(jù)匯聚，當(dāng)省級(jí)單位把數(shù)據(jù)匯總之后處理之后還要分流給市單位、縣單位。在此過(guò)程中，數(shù)據(jù)打破原有安全域內(nèi)流動(dòng)的約束，接觸面迅速擴(kuò)大，與數(shù)據(jù)相關(guān)的應(yīng)用、人員等更為復(fù)雜且快速變化，這些原因都在導(dǎo)致傳統(tǒng)基于靜態(tài)邊界保護(hù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)措施不斷弱化，甚至失效。

美創(chuàng)認(rèn)為數(shù)據(jù)安全風(fēng)險(xiǎn)治理首先需要在零信任理念和思想的指導(dǎo)下，建立合規(guī)認(rèn)知、數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全風(fēng)險(xiǎn)管控、持續(xù)監(jiān)管運(yùn)營(yíng)的數(shù)據(jù)安全理念，在數(shù)據(jù)安全建設(shè)過(guò)程中把握從身份、資產(chǎn)、行為三個(gè)層面，結(jié)合風(fēng)險(xiǎn)治理六大維度實(shí)現(xiàn)切實(shí)有效的數(shù)據(jù)安全防護(hù)。

2020年美創(chuàng)發(fā)布新一代數(shù)據(jù)安全架構(gòu)，提出了零信任2.0架構(gòu)，通過(guò)以人為中心的身份管理、訪(fǎng)問(wèn)控制、動(dòng)態(tài)防護(hù)及持續(xù)的信任評(píng)估，在數(shù)據(jù)安全建設(shè)中以資產(chǎn)構(gòu)建防護(hù)邊界，建立從內(nèi)到外的防護(hù)鏈，讓數(shù)據(jù)時(shí)刻處于保護(hù)之中。

周杰介紹，美創(chuàng)基于十余年數(shù)據(jù)安全建設(shè)經(jīng)驗(yàn)，主張從六大維度來(lái)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)治理和評(píng)估，并且按照嚴(yán)重程度、發(fā)生概率構(gòu)建風(fēng)險(xiǎn)評(píng)分系統(tǒng)，這六大維度分別是：資產(chǎn)、身份、合規(guī)、行為、訪(fǎng)問(wèn)上下文、入侵生命周期。

第一，資產(chǎn)維度是風(fēng)險(xiǎn)治理最好的出發(fā)點(diǎn)

第二，身份維度，身份維度定義了信任度和作用域

第三，合規(guī)維度，任何違規(guī)行為都是風(fēng)險(xiǎn)

第四，行為維度，行為固有模式

第五，訪(fǎng)問(wèn)上下文，環(huán)境上下文和操作上下文

第六，入侵生命周期，特征就是風(fēng)險(xiǎn)治理素材

并通過(guò)風(fēng)險(xiǎn)賦能動(dòng)態(tài)身份調(diào)整、資產(chǎn)重要度、敏感度識(shí)別、訪(fǎng)問(wèn)控制系統(tǒng)管理及充分可視化讓用戶(hù)直觀(guān)感受安全問(wèn)題。

風(fēng)險(xiǎn)作為人和技術(shù)的界面，讓人可以從風(fēng)險(xiǎn)的可視化感知安全問(wèn)題。風(fēng)險(xiǎn)治理、身份治理以及資產(chǎn)治理是安全體系中的三大支柱。通過(guò)風(fēng)險(xiǎn)評(píng)估暴露組織的安全問(wèn)題，通過(guò)風(fēng)險(xiǎn)治理降低組織面臨的安全問(wèn)題。讓數(shù)據(jù)在安全可控的前提下進(jìn)一步釋放價(jià)值。

最終以DSMM數(shù)據(jù)安全能力成熟度模型、以及零信任2.0數(shù)據(jù)安全架構(gòu)等為參考模型，通過(guò)脫敏、加密、水印、審計(jì)、訪(fǎng)問(wèn)控制等數(shù)據(jù)安全技術(shù)能力，構(gòu)建體系化數(shù)據(jù)安全建設(shè)，落實(shí)數(shù)據(jù)安全相關(guān)制度，數(shù)據(jù)全生命周期各階段的安全運(yùn)營(yíng)常態(tài)化，建立良好的數(shù)據(jù)安全運(yùn)營(yíng)機(jī)制和動(dòng)態(tài)協(xié)同能力，將數(shù)據(jù)安全風(fēng)險(xiǎn)控制在可接受范圍，實(shí)現(xiàn)數(shù)據(jù)在哪里安全就在哪里。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）