當前數字經濟已成為構建新發展格局、推動經濟復蘇和科技創新的新動能。隨著數字經濟的加速發展,各行業數字化轉型步伐也開始提速,但數字經濟新動能迅猛發展的背后,數據安全也將面臨新的挑戰,急需多維化、體系化、實戰化的數據安全治理方案:
l 技術更新迭代快:人工智能安全AI Security、敏感數據的精準靶向監控、數據水印溯源技術、數據鑒權技術、UEBA用戶實體行為分析、隱私增強計算等安全技術更新迭代速度之快,企業一定要做到未雨綢繆。
l 熱點安全事件頻:近兩年來,勒索病毒等外部攻擊手段逐漸呈現出從普通用戶轉向大型企業用戶,勒索贖金定制化、勒索傳播場景多樣化,高頻次的整體特征,另一方面,由內部人員引發的數據泄露和丟失事件更加頻發,且逐步情緒化、多樣化。
l 標準制度規范多:當前我國高度重視數據安全和個人信息保護立法工作,一些列法律法規相繼出臺,數據安全頂層制度設計的加速推進促使數據安全合規性、規范性要求不斷提高。全球范圍內,國家性、區域性關于數據安全和隱私保護的法規各有側重,企業如何在參與全球經濟的合作與競爭中,滿足國內外合規要求是很大的挑戰。
l 合規處罰力度大:今年1月,中國銀保監會開出2021年第一張罰單,某大行因涉及發生數據安全管理粗放存在數據泄露風險等問題,被罰420萬人民幣。此外,《數據安全法》、《個人信息保護法》、《通用數據保護條例》(GDPR)等相關法律法規的處罰力度均十分嚴厲。
數據安全治理多維化、體系化、實戰化
數字化浪潮下,數據流轉環境發生了顛覆性轉變,數據不僅打破了原有安全域內流動的約束,且與數據相關的應用、人員等更為復雜且快速變化,這些原因都在導致傳統基于靜態邊界保護的網絡安全和數據安全保護措施不斷弱化,甚至失效。
在新的安全形勢下,零信任成為最佳實踐,美創科技基于零信任的數據安全防護思路,以數據為核心,從資產、入侵和風險三個視角出發,通過以人為中心的身份管理、動態訪問控制、持續的信任評估,實現讓數據時刻處于保護之中。
美創科技經過多年在數據安全領域的專注研究和不斷探索實踐,總結出要做好新形勢下的數據安全治理體系建設,離不開五大保障。
數據安全治理體系建設
數據安全治理體系建設“五大保障”
l 數據安全戰略保障:做好數據安全,離不開法律法規、人員管控以及行業標準的保障,只有頂層設計的密集布局和加碼,促使數據安全合規性、規范性要求不斷提高。
l 數據安全管理保障:對于數據安全,多數組織單位依然采用傳統的安全合規應對做法,建設方法并不體系。這種低效、粗放的建設存在諸多不足,并不能讓數據安全治理得到實質的提升,因此,需要建立完善的制度流程、組織架構,同時包保障合理的人員配備。
l 數據安全技術保障:從物聯感知層到智慧應用層,基于數據流動的特征,提供一些列技術支撐,完成數據安全防護。
l 數據安全建設運營保障:快速的檢測、評價數據安全治理成果。
l 數據安全基礎支撐保障:數據安全服務提供者,提供身份鑒別、入侵檢測、入侵防御、高危操作防護等一些列底層技術,為安全保障體系賦能。
實踐一:數據安全咨詢服務
數據安全建設不同于以往的網絡安全建設有章可循,因此,以從傳統網絡安全防護思路開始著手于數據安全體系建設時,經常會充滿疑問,不知道從何做起:數據安全風險在哪里?建設投入如何分配?因此,咨詢是發現問題、評估現狀相對較好的切入點。
美創科技數據安全咨詢采用敏捷咨詢規劃和方案設計,涵蓋現場調研、分類分級、差距分析、安全評估、加固建議等一整套“體檢”流程,最終形成基于數據流向的數據安全咨詢報告。同時基于現狀,有針對性、有側重點構建以數據為核心的風險安全建設體系規劃方案。并且會在過程中根據現狀,補充內控合規管理所需的材料,包括制度規范技術規范以及崗位培訓等。
實踐二:資產梳理形成數據流向圖
當前,各行業在進行數據安全建設時往往面臨數據資產分布情況不明朗,保護對象不清晰等一些列問題,且對自身的數據資產狀況知之甚少,因此,進行數據安全建設之前,應首先將自家的數據資產狀況梳理清楚,形成完整的數據資產流向圖,消除安全隱患。
數據流向圖
美創科技基于自研的暗數據發現與分類系統和人工方式對目標環境中數據資產分布情況進行梳理,形成數據資產清單,明確數據資產到底在哪里、數據資產權限管理狀況,得到基礎的數據資產清單和分布和管理現狀,以便更加體系化地分析和設計數據資產涉及的角色和訪問控制體系。
實踐三:數據分類分級
當前政企、醫療等機構數據分類分級主要面臨無標準難規范、有標準難落地、已落地難應用等現狀,整體難以實現分級管控和精細化的安全防護。
美創科技數據分類分級
針對以上現狀,美創暗數據發現和分級分類系統按照分類標準和對應業務模板以及重要敏感程度對數據進行分級(低敏感-中敏感-高敏感-極高敏感),并生成完整、可視化的分析報告,方便用戶篩選和查看不同敏感程度的數據分布和信息,對敏感數據采取相應的安全防護措施(包括敏感數據訪問審計、數據脫敏等),從而減少數據安全風險,對數據資產實現規范化管理。
實踐四:量化風險評估
數據安全風險評估是對數據資產面臨的威脅、存在的弱點、造成的影響以及三者綜合作用所帶來風險可能性的評估環節。美創科技基于數據安全能力成熟度模型,按照數據全生命周期分階段,采用不同的能力評估等級,從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量,并劃分等級。
數據安全能力評估
對于評估過程中所識別的風險,美創專家團隊將充分結合合規要求和風險現狀,為客戶設計一套數據安全保護對象框架,并提供帶有加固建議的專業報告。
實踐五:以問題為導向的數據安全規劃路徑
從安全咨詢到風險評估,均是數據安全建設的前提,最終落地并發揮作用的無疑還是經過實踐檢驗的技術和產品。美創科技圍繞數據安全全生命周期,基于新一代安全中臺,快速孵化數據安全能力,針對數據管理、應用能力,從運維端、到業務端,通過數據安全管控平臺實現六個統一(統一賬戶、統一監控、統一展示、統一分析、統一告警、統一配置),變被動防護為主動防護,變單點防護為整體防護,全局安全防護手段整體管理運營,精準掌控數據安全狀態,最終實現數據全域可管,風險全局可視。
美創科技安全態勢感知
它山之石可以攻玉——美創以十六年在數據安全領域沉淀的方法論、架構、產品及服務能力為底座,以數據安全治理體系建設的五大最佳實踐為藍本,為各行各業的數據安全建設提供向導,為即將到來的數據安全法的落地建立實踐路徑,為數字化轉型和數字化改革保駕護航!
以上內容來源于美創科技副總裁蔡毅在2021數據安全與數據治理高峰論壇期間的《以數據為中心的安全治理實踐》主題演講。
