BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會 | 美創(chuàng)CTO周杰分享數(shù)據(jù)安全風(fēng)險(xiǎn)治理實(shí)踐

  • 人閱讀
  • 2022-08-22 16:34:19

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

8月17-8月18日,BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會在深圳成功舉辦。會上,多位嘉賓圍繞數(shù)字時(shí)代網(wǎng)絡(luò)安全建設(shè),網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等議題,共謀發(fā)展思路、建設(shè)新規(guī)劃。

美創(chuàng)科技CTO周杰應(yīng)邀出席,并在零信任安全論壇發(fā)表《基于零信任的數(shù)據(jù)安全風(fēng)險(xiǎn)治理》主題演講。

數(shù)字經(jīng)濟(jì)的時(shí)代,數(shù)據(jù)要素正在發(fā)揮越來越大的作用,數(shù)據(jù)的作用和價(jià)值越來越高,但也帶來了不勝枚舉的安全風(fēng)險(xiǎn)和挑戰(zhàn)。《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法規(guī)條例的陸續(xù)出臺實(shí)施,標(biāo)志著數(shù)據(jù)安全建設(shè)必要性提至新的高度。

周杰表示,組織機(jī)構(gòu)做好數(shù)據(jù)安全,首先需要充分認(rèn)知數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。一方面移動(dòng)辦公、業(yè)務(wù)上云等新的環(huán)境安全風(fēng)險(xiǎn)、一方面數(shù)據(jù)需要跨業(yè)務(wù)、跨系統(tǒng)、跨部門,多跨場景下的數(shù)據(jù)風(fēng)險(xiǎn)。如何開展面對數(shù)據(jù)風(fēng)險(xiǎn)的感知、理解、計(jì)算、預(yù)測、防護(hù)全過程變得更為迫切。

以某政數(shù)局?jǐn)?shù)據(jù)匯聚、共享、交換為例:省、市、縣三級,需要逐層數(shù)據(jù)匯聚,當(dāng)省級單位把數(shù)據(jù)匯總之后處理之后還要分流給市單位、縣單位。在此過程中,數(shù)據(jù)打破原有安全域內(nèi)流動(dòng)的約束,接觸面迅速擴(kuò)大,與數(shù)據(jù)相關(guān)的應(yīng)用、人員等更為復(fù)雜且快速變化,這些原因都在導(dǎo)致傳統(tǒng)基于靜態(tài)邊界保護(hù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)措施不斷弱化,甚至失效。

美創(chuàng)認(rèn)為數(shù)據(jù)安全風(fēng)險(xiǎn)治理首先需要在零信任理念和思想的指導(dǎo)下,建立合規(guī)認(rèn)知、數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全風(fēng)險(xiǎn)管控、持續(xù)監(jiān)管運(yùn)營的數(shù)據(jù)安全理念,在數(shù)據(jù)安全建設(shè)過程中把握從身份、資產(chǎn)、行為三個(gè)層面,結(jié)合風(fēng)險(xiǎn)治理六大維度實(shí)現(xiàn)切實(shí)有效的數(shù)據(jù)安全防護(hù)。

2020年美創(chuàng)發(fā)布新一代數(shù)據(jù)安全架構(gòu),提出了零信任2.0架構(gòu),通過以人為中心的身份管理、訪問控制、動(dòng)態(tài)防護(hù)及持續(xù)的信任評估,在數(shù)據(jù)安全建設(shè)中以資產(chǎn)構(gòu)建防護(hù)邊界,建立從內(nèi)到外的防護(hù)鏈,讓數(shù)據(jù)時(shí)刻處于保護(hù)之中。

周杰介紹,美創(chuàng)基于十余年數(shù)據(jù)安全建設(shè)經(jīng)驗(yàn),主張從六大維度來進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)治理和評估,并且按照嚴(yán)重程度、發(fā)生概率構(gòu)建風(fēng)險(xiǎn)評分系統(tǒng),這六大維度分別是:資產(chǎn)、身份、合規(guī)、行為、訪問上下文、入侵生命周期。

第一,資產(chǎn)維度是風(fēng)險(xiǎn)治理最好的出發(fā)點(diǎn)

第二,身份維度,身份維度定義了信任度和作用域

第三,合規(guī)維度,任何違規(guī)行為都是風(fēng)險(xiǎn)

第四,行為維度,行為固有模式

第五,訪問上下文,環(huán)境上下文和操作上下文

第六,入侵生命周期,特征就是風(fēng)險(xiǎn)治理素材

并通過風(fēng)險(xiǎn)賦能動(dòng)態(tài)身份調(diào)整、資產(chǎn)重要度、敏感度識別、訪問控制系統(tǒng)管理及充分可視化讓用戶直觀感受安全問題。

風(fēng)險(xiǎn)作為人和技術(shù)的界面,讓人可以從風(fēng)險(xiǎn)的可視化感知安全問題。風(fēng)險(xiǎn)治理、身份治理以及資產(chǎn)治理是安全體系中的三大支柱。通過風(fēng)險(xiǎn)評估暴露組織的安全問題,通過風(fēng)險(xiǎn)治理降低組織面臨的安全問題。讓數(shù)據(jù)在安全可控的前提下進(jìn)一步釋放價(jià)值。

最終以DSMM數(shù)據(jù)安全能力成熟度模型、以及零信任2.0數(shù)據(jù)安全架構(gòu)等為參考模型,通過脫敏、加密、水印、審計(jì)、訪問控制等數(shù)據(jù)安全技術(shù)能力,構(gòu)建體系化數(shù)據(jù)安全建設(shè),落實(shí)數(shù)據(jù)安全相關(guān)制度,數(shù)據(jù)全生命周期各階段的安全運(yùn)營常態(tài)化,建立良好的數(shù)據(jù)安全運(yùn)營機(jī)制和動(dòng)態(tài)協(xié)同能力,將數(shù)據(jù)安全風(fēng)險(xiǎn)控制在可接受范圍,實(shí)現(xiàn)數(shù)據(jù)在哪里安全就在哪里。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )