美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

  • 人閱讀
  • 2021-05-07 17:18:13

  • 來源:西盟科技資訊

  • 相關關鍵詞

當前數(shù)字經(jīng)濟已成為構建新發(fā)展格局、推動經(jīng)濟復蘇和科技創(chuàng)新的新動能。隨著數(shù)字經(jīng)濟的加速發(fā)展,各行業(yè)數(shù)字化轉(zhuǎn)型步伐也開始提速,但數(shù)字經(jīng)濟新動能迅猛發(fā)展的背后,數(shù)據(jù)安全也將面臨新的挑戰(zhàn),急需多維化、體系化、實戰(zhàn)化的數(shù)據(jù)安全治理方案:

l術更新迭代快:人工智能安全AI Security、敏感數(shù)據(jù)的精準靶向監(jiān)控、數(shù)據(jù)水印溯源技術、數(shù)據(jù)鑒權技術、UEBA用戶實體行為分析、隱私增強計算等安全技術更新迭代速度之快,企業(yè)一定要做到未雨綢繆。

l熱點安全事件頻:近兩年來,勒索病毒等外部攻擊手段逐漸呈現(xiàn)出從普通用戶轉(zhuǎn)向大型企業(yè)用戶,勒索贖金定制化、勒索傳播場景多樣化,高頻次的整體特征,另一方面,由內(nèi)部人員引發(fā)的數(shù)據(jù)泄露和丟失事件更加頻發(fā),且逐步情緒化、多樣化。

l標準制度規(guī)范多:當前我國高度重視數(shù)據(jù)安全和個人信息保護立法工作,一些列法律法規(guī)相繼出臺,數(shù)據(jù)安全頂層制度設計的加速推進促使數(shù)據(jù)安全合規(guī)性、規(guī)范性要求不斷提高。全球范圍內(nèi),國家性、區(qū)域性關于數(shù)據(jù)安全和隱私保護的法規(guī)各有側(cè)重,企業(yè)如何在參與全球經(jīng)濟的合作與競爭中,滿足國內(nèi)外合規(guī)要求是很大的挑戰(zhàn)。

l合規(guī)處罰力度大:今年1月,中國銀保監(jiān)會開出2021年第一張罰單,某大行因涉及發(fā)生數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風險等問題,被罰420萬人民幣。此外,《數(shù)據(jù)安全法》、《個人信息保護法》、《通用數(shù)據(jù)保護條例》(GDPR)等相關法律法規(guī)的處罰力度均十分嚴厲。

數(shù)據(jù)安全治理多維化、體系化、實戰(zhàn)化

數(shù)字化浪潮下,數(shù)據(jù)流轉(zhuǎn)環(huán)境發(fā)生了顛覆性轉(zhuǎn)變,數(shù)據(jù)不僅打破了原有安全域內(nèi)流動的約束,且與數(shù)據(jù)相關的應用、人員等更為復雜且快速變化,這些原因都在導致傳統(tǒng)基于靜態(tài)邊界保護的網(wǎng)絡安全和數(shù)據(jù)安全保護措施不斷弱化,甚至失效。

在新的安全形勢下,零信任成為最佳實踐,美創(chuàng)科技基于零信任的數(shù)據(jù)安全防護思路,以數(shù)據(jù)為核心,從資產(chǎn)、入侵和風險三個視角出發(fā),通過以人為中心的身份管理、動態(tài)訪問控制、持續(xù)的信任評估,實現(xiàn)讓數(shù)據(jù)時刻處于保護之中。

美創(chuàng)科技經(jīng)過多年在數(shù)據(jù)安全領域的專注研究和不斷探索實踐,總結(jié)出要做好新形勢下的數(shù)據(jù)安全治理體系建設,離不開五大保障。

美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

數(shù)據(jù)安全治理體系建設

數(shù)據(jù)安全治理體系建設“五大保障”

l數(shù)據(jù)安全戰(zhàn)略保障:做好數(shù)據(jù)安全,離不開法律法規(guī)、人員管控以及行業(yè)標準的保障,只有頂層設計的密集布局和加碼,促使數(shù)據(jù)安全合規(guī)性、規(guī)范性要求不斷提高。

l數(shù)據(jù)安全管理保障:對于數(shù)據(jù)安全,多數(shù)組織單位依然采用傳統(tǒng)的安全合規(guī)應對做法,建設方法并不體系。這種低效、粗放的建設存在諸多不足,并不能讓數(shù)據(jù)安全治理得到實質(zhì)的提升,因此,需要建立完善的制度流程、組織架構,同時包保障合理的人員配備。

l數(shù)據(jù)安全技術保障:從物聯(lián)感知層到智慧應用層,基于數(shù)據(jù)流動的特征,提供一些列技術支撐,完成數(shù)據(jù)安全防護。

l數(shù)據(jù)安全建設運營保障:快速的檢測、評價數(shù)據(jù)安全治理成果。

l數(shù)據(jù)安全基礎支撐保障:數(shù)據(jù)安全服務提供者,提供身份鑒別、入侵檢測、入侵防御、高危操作防護等一些列底層技術,為安全保障體系賦能。

實踐一:數(shù)據(jù)安全咨詢服務

數(shù)據(jù)安全建設不同于以往的網(wǎng)絡安全建設有章可循,因此,以從傳統(tǒng)網(wǎng)絡安全防護思路開始著手于數(shù)據(jù)安全體系建設時,經(jīng)常會充滿疑問,不知道從何做起:數(shù)據(jù)安全風險在哪里?建設投入如何分配?因此,咨詢是發(fā)現(xiàn)問題、評估現(xiàn)狀相對較好的切入點。

美創(chuàng)科技數(shù)據(jù)安全咨詢采用敏捷咨詢規(guī)劃和方案設計,涵蓋現(xiàn)場調(diào)研、分類分級、差距分析、安全評估、加固建議等一整套“體檢”流程,最終形成基于數(shù)據(jù)流向的數(shù)據(jù)安全咨詢報告。同時基于現(xiàn)狀,有針對性、有側(cè)重點構建以數(shù)據(jù)為核心的風險安全建設體系規(guī)劃方案。并且會在過程中根據(jù)現(xiàn)狀,補充內(nèi)控合規(guī)管理所需的材料,包括制度規(guī)范技術規(guī)范以及崗位培訓等。

實踐二:資產(chǎn)梳理形成數(shù)據(jù)流向圖

當前,各行業(yè)在進行數(shù)據(jù)安全建設時往往面臨數(shù)據(jù)資產(chǎn)分布情況不明朗,保護對象不清晰等一些列問題,且對自身的數(shù)據(jù)資產(chǎn)狀況知之甚少,因此,進行數(shù)據(jù)安全建設之前,應首先將自家的數(shù)據(jù)資產(chǎn)狀況梳理清楚,形成完整的數(shù)據(jù)資產(chǎn)流向圖,消除安全隱患。

美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

數(shù)據(jù)流向圖

美創(chuàng)科技基于自研的暗數(shù)據(jù)發(fā)現(xiàn)與分類系統(tǒng)和人工方式對目標環(huán)境中數(shù)據(jù)資產(chǎn)分布情況進行梳理,形成數(shù)據(jù)資產(chǎn)清單,明確數(shù)據(jù)資產(chǎn)到底在哪里、數(shù)據(jù)資產(chǎn)權限管理狀況,得到基礎的數(shù)據(jù)資產(chǎn)清單和分布和管理現(xiàn)狀,以便更加體系化地分析和設計數(shù)據(jù)資產(chǎn)涉及的角色和訪問控制體系。

實踐三:數(shù)據(jù)分類分級

當前政企、醫(yī)療等機構數(shù)據(jù)分類分級主要面臨無標準難規(guī)范、有標準難落地、已落地難應用等現(xiàn)狀,整體難以實現(xiàn)分級管控和精細化的安全防護。

美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

美創(chuàng)科技數(shù)據(jù)分類分級

針對以上現(xiàn)狀,美創(chuàng)暗數(shù)據(jù)發(fā)現(xiàn)和分級分類系統(tǒng)按照分類標準和對應業(yè)務模板以及重要敏感程度對數(shù)據(jù)進行分級(低敏感-中敏感-高敏感-極高敏感),并生成完整、可視化的分析報告,方便用戶篩選和查看不同敏感程度的數(shù)據(jù)分布和信息,對敏感數(shù)據(jù)采取相應的安全防護措施(包括敏感數(shù)據(jù)訪問審計、數(shù)據(jù)脫敏等),從而減少數(shù)據(jù)安全風險,對數(shù)據(jù)資產(chǎn)實現(xiàn)規(guī)范化管理。

實踐四:量化風險評估

數(shù)據(jù)安全風險評估是對數(shù)據(jù)資產(chǎn)面臨的威脅、存在的弱點、造成的影響以及三者綜合作用所帶來風險可能性的評估環(huán)節(jié)。美創(chuàng)科技基于數(shù)據(jù)安全能力成熟度模型,按照數(shù)據(jù)全生命周期分階段,采用不同的能力評估等級,從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量,并劃分等級。

美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

數(shù)據(jù)安全能力評估

對于評估過程中所識別的風險,美創(chuàng)專家團隊將充分結(jié)合合規(guī)要求和風險現(xiàn)狀,為客戶設計一套數(shù)據(jù)安全保護對象框架,并提供帶有加固建議的專業(yè)報告。

實踐五:以問題為導向的數(shù)據(jù)安全規(guī)劃路徑

從安全咨詢到風險評估,均是數(shù)據(jù)安全建設的前提,最終落地并發(fā)揮作用的無疑還是經(jīng)過實踐檢驗的技術和產(chǎn)品。美創(chuàng)科技圍繞數(shù)據(jù)安全全生命周期,基于新一代安全中臺,快速孵化數(shù)據(jù)安全能力,針對數(shù)據(jù)管理、應用能力,從運維端、到業(yè)務端,通過數(shù)據(jù)安全管控平臺實現(xiàn)六個統(tǒng)一(統(tǒng)一賬戶、統(tǒng)一監(jiān)控、統(tǒng)一展示、統(tǒng)一分析、統(tǒng)一告警、統(tǒng)一配置),變被動防護為主動防護,變單點防護為整體防護,全局安全防護手段整體管理運營,精準掌控數(shù)據(jù)安全狀態(tài),最終實現(xiàn)數(shù)據(jù)全域可管,風險全局可視。

美創(chuàng)科技以數(shù)據(jù)為中心的安全治理實踐

美創(chuàng)科技安全態(tài)勢感知

它山之石可以攻玉——美創(chuàng)以十六年在數(shù)據(jù)安全領域沉淀的方法論、架構、產(chǎn)品及服務能力為底座,以數(shù)據(jù)安全治理體系建設的五大最佳實踐為藍本,為各行各業(yè)的數(shù)據(jù)安全建設提供向?qū)?,為即將到來的?shù)據(jù)安全法的落地建立實踐路徑,為數(shù)字化轉(zhuǎn)型和數(shù)字化改革保駕護航!

以上內(nèi)容來源于美創(chuàng)科技副總裁蔡毅在2021數(shù)據(jù)安全與數(shù)據(jù)治理高峰論壇期間的《以數(shù)據(jù)為中心的安全治理實踐》主題演講。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )