大數(shù)據(jù)時代,隨著數(shù)據(jù)被正式納入生產(chǎn)要素行列,數(shù)據(jù)資產(chǎn)高速發(fā)展的同時,也面臨前所未有的安全挑戰(zhàn),甚至直接關(guān)聯(lián)到國家安全與社會穩(wěn)定的大局。尤其是重保期間,數(shù)據(jù)安全防護(hù)成為所有機(jī)構(gòu)組織不得不嚴(yán)陣以待的一場安全“終極大考”。
一方面,數(shù)據(jù)治理領(lǐng)域尚未形成一個全面成熟的理論體系。面對重保階段數(shù)字化資產(chǎn)保護(hù)的復(fù)雜挑戰(zhàn)與潛在薄弱點(diǎn),防守方首先需要深入了解相關(guān)的安全規(guī)則和標(biāo)準(zhǔn),制定出切實(shí)可行的安全策略和措施,確保數(shù)據(jù)安全得到有效保障。
另一方面,許多企業(yè)在構(gòu)建數(shù)據(jù)安全體系方面的能力尚顯不足,對于數(shù)據(jù)泄露事件的感知和反應(yīng)也相對遲緩。根據(jù)騰訊安全與安在聯(lián)合調(diào)研形成的《2023企業(yè)安全建設(shè)水平抽樣調(diào)研報(bào)告》(該調(diào)研覆蓋了1500位企業(yè)CSO),目前企業(yè)在安全建設(shè)方面的工作主要集中在網(wǎng)絡(luò)安全上,以安全事件的應(yīng)急響應(yīng)為主導(dǎo),而針對數(shù)據(jù)安全的投入和關(guān)注僅占8.4%。
如何省心又高效地收斂風(fēng)險(xiǎn),已經(jīng)成為眾多企業(yè)的共同訴求。騰訊數(shù)據(jù)安全治理方案從數(shù)據(jù)安全治理四大關(guān)鍵步驟出發(fā),提供了全方位的安全布防服務(wù),助力企業(yè)在重保期間實(shí)現(xiàn)數(shù)據(jù)安全“最優(yōu)解”。
定位風(fēng)險(xiǎn)列出數(shù)據(jù)安全威脅清單
定位數(shù)據(jù)安全風(fēng)險(xiǎn),是數(shù)據(jù)安全建設(shè)的首要條件。重保期間,企業(yè)在數(shù)據(jù)安全面臨著數(shù)據(jù)未加密、明文傳輸、敏感信息未脫敏、密鑰數(shù)據(jù)明文存儲、API接口風(fēng)險(xiǎn)等風(fēng)險(xiǎn)點(diǎn)。具體來看,主要集中在以下四大方面:
1、內(nèi)網(wǎng)ACL管控不嚴(yán),導(dǎo)致批量入侵風(fēng)險(xiǎn):
一旦外部攻擊者通過應(yīng)用漏洞入侵或社交工程獲得初步訪問權(quán),寬松的內(nèi)網(wǎng)訪問控制列表(ACL)和不足的內(nèi)網(wǎng)防護(hù)措施會讓他們輕易橫向移動,進(jìn)一步滲透至服務(wù)器、數(shù)據(jù)庫乃至整個應(yīng)用系統(tǒng),引發(fā)連鎖反應(yīng)式的安全危機(jī)。
2、數(shù)據(jù)保護(hù)措施不足,形成易受攻擊體質(zhì):
包括數(shù)據(jù)未加密、明文傳輸敏感信息、未對敏感數(shù)據(jù)進(jìn)行脫敏處理,以及密鑰數(shù)據(jù)以明文形式存儲,這些都大大增加了數(shù)據(jù)被非法獲取的風(fēng)險(xiǎn)。
3、數(shù)據(jù)資產(chǎn)管理混亂,暗生安全死角問題:
隨著數(shù)據(jù)形態(tài)的多樣化發(fā)展,企業(yè)往往難以清晰梳理所有數(shù)據(jù)資產(chǎn),導(dǎo)致分級分類不準(zhǔn)確,留下安全盲區(qū)。部分?jǐn)?shù)據(jù)因此可能未得到應(yīng)有的加密保護(hù)或使用的加密強(qiáng)度不足,易于遭受攻擊。
4、敏感密鑰泄露,帶來外部入侵風(fēng)險(xiǎn):
敏感密鑰的不當(dāng)管理成為重大安全隱患,常因硬編碼存儲、代碼倉庫意外泄露、員工流動造成的泄露、應(yīng)用程序漏洞(如SQL注入)、瀏覽器緩存泄露及內(nèi)部知識管理系統(tǒng)被侵入等原因,導(dǎo)致密鑰落入不法之手。特別是云訪問密鑰的頻繁泄露,更顯現(xiàn)強(qiáng)化密鑰管理的緊迫性。
針對上述風(fēng)險(xiǎn)點(diǎn),重保期間的企業(yè)除了需要格外警惕,還需要騰訊數(shù)據(jù)安全方案的助力,確保特殊時期數(shù)據(jù)安全的平穩(wěn)運(yùn)行。
神器上線四大關(guān)鍵步驟促進(jìn)數(shù)據(jù)安全治理閉環(huán)
第一、數(shù)據(jù)默認(rèn)安全,與業(yè)務(wù)共生
數(shù)據(jù)安全深入融合業(yè)務(wù),需要構(gòu)建數(shù)據(jù)默認(rèn)安全體系,融入企業(yè)安全體系設(shè)計(jì),其中包括數(shù)據(jù)傳輸加密、存儲加密等,將數(shù)據(jù)安全嵌入業(yè)務(wù)體系可以使組織在一定程度上具備先天的數(shù)據(jù)安全免疫能力。
第二、透明的數(shù)據(jù)流轉(zhuǎn),全程可追溯
針對企業(yè)數(shù)據(jù)、個人數(shù)據(jù)、行業(yè)監(jiān)管高敏數(shù)據(jù)等構(gòu)建看得見的能力,誰訪問、什么是否訪問、進(jìn)行了什么操作,持續(xù)跟蹤數(shù)據(jù)在企業(yè)內(nèi)外部的流傳。數(shù)據(jù)處于不同業(yè)務(wù)場景下,對應(yīng)的安全需求也將產(chǎn)生變化,這就需要對非中心化、非結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行分類分級管理。
第三、強(qiáng)化防御,打造數(shù)據(jù)安全免疫系統(tǒng)
數(shù)據(jù)安全可被管控,出現(xiàn)風(fēng)險(xiǎn)可被快速處置,在技術(shù)能力層面,提供平臺和工具為數(shù)據(jù)安全兜底。
第四、智能化運(yùn)營,實(shí)現(xiàn)風(fēng)險(xiǎn)閉環(huán)管理
通過DataSecOps智能化運(yùn)營,促進(jìn)數(shù)據(jù)風(fēng)險(xiǎn)閉環(huán)并持續(xù)迭代改進(jìn)。數(shù)字化數(shù)據(jù)安全的核心目標(biāo),是“零”起企業(yè)級底線保護(hù)數(shù)據(jù)泄露。
騰訊安全數(shù)據(jù)建設(shè)方案五大場景能力切入各個擊破
場景一:運(yùn)維加固,SaaS堡壘機(jī)讓安全再加碼
通過“SaaS堡壘機(jī)”,騰訊數(shù)據(jù)安全提供IT資產(chǎn)訪問代理以及智能操作審計(jì)服務(wù),為用戶構(gòu)建一套完善的事前預(yù)防、事中監(jiān)控、事后審計(jì)安全管理體系,實(shí)現(xiàn)異常行為告警,防止內(nèi)部數(shù)據(jù)泄密。騰訊SaaS堡壘機(jī)有以下三大上分技能:
● SaaS堡壘機(jī)有效收斂資產(chǎn)風(fēng)險(xiǎn)暴露面,免部署、自動同步資產(chǎn)、免VPN且資產(chǎn)對外不可見,更安全更方便。
● SaaS堡壘機(jī)支持雙因子認(rèn)證,一鍵開啟身份認(rèn)證,徹底解決內(nèi)網(wǎng)橫移問題。
● SaaS堡壘機(jī)0安全漏洞,相比傳統(tǒng)軟件堡壘機(jī)的潛在風(fēng)險(xiǎn)(即具有大量開放安全漏洞可復(fù)現(xiàn)),SaaS化堡壘機(jī)無可利用漏洞,在重保時期形成堅(jiān)實(shí)安全壁壘保護(hù)企業(yè)安全。
場景二:全方位安全審計(jì),數(shù)據(jù)溯源有依據(jù)
騰訊安全“數(shù)據(jù)安全審計(jì)”能夠充分利用云原生優(yōu)勢,如云數(shù)據(jù)庫自動同步、免部署、規(guī)則庫實(shí)時推送、功能實(shí)時更新等,在源頭對數(shù)據(jù)庫進(jìn)行全方位審計(jì)和監(jiān)測。通過數(shù)據(jù)安全審計(jì)提供的詳細(xì)日志,找到攻擊方的操作痕跡,為提交溯源報(bào)告提供依據(jù)。同時可根據(jù)日常操作行為分析UEBA及威脅規(guī)則庫,對操作行為進(jìn)行分析,實(shí)時準(zhǔn)確發(fā)現(xiàn)風(fēng)險(xiǎn)及時告警。
場景三:密鑰無憂,強(qiáng)化密鑰安全管理
騰訊安全推出“密鑰管理系統(tǒng)”,簡化密鑰生命周期管理,確保密鑰的安全存儲與使用,符合合規(guī)標(biāo)準(zhǔn)。
值得一提的是,KMS 白盒密鑰用于保護(hù)端上的敏感根密鑰信息,例如 API SecretKey、用戶內(nèi)部系統(tǒng)使用的鑒權(quán)密鑰或 token、其他本地敏感根密鑰信息等,實(shí)現(xiàn)全鏈路無敏感密鑰信息明文。騰訊數(shù)據(jù)安全將算法與密鑰進(jìn)行混淆融合,以查找表的形式有效保護(hù)密鑰信息,在不暴露任何密鑰的情況下實(shí)現(xiàn)加密與解密,并通過設(shè)備綁定的方式進(jìn)一步確保密鑰的安全。
場景四:數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),分類分級精準(zhǔn)管控
聚焦數(shù)據(jù)安全治理與合規(guī),騰訊安全數(shù)據(jù)安全治理中心實(shí)現(xiàn)敏感數(shù)據(jù)資產(chǎn)的智能發(fā)現(xiàn)、精細(xì)分類與分級管理,提供有效的風(fēng)險(xiǎn)評估建議。它助力企業(yè)高效應(yīng)對合規(guī)挑戰(zhàn),精準(zhǔn)識別敏感數(shù)據(jù),全面檢測風(fēng)險(xiǎn),降低治理成本,加固數(shù)據(jù)安全防線。
場景五:加密脫敏免改造,降本增效提安全
相比傳統(tǒng)加密方案解決方案建設(shè)周期長、需要入侵業(yè)務(wù)、方案繁重、建設(shè)成本高等典型問題,騰訊安全引入“數(shù)據(jù)安全網(wǎng)關(guān)”,通過對數(shù)據(jù)庫訪問請求的代理,實(shí)現(xiàn)SQL協(xié)議解析和識別用戶身份,對入庫數(shù)據(jù)加密,對出庫數(shù)據(jù)解密、動態(tài)脫敏,為數(shù)據(jù)訪問層增強(qiáng)安全模塊,實(shí)現(xiàn)免開發(fā)改造應(yīng)用的數(shù)據(jù)加密策略敏捷實(shí)施,有效保護(hù)重要數(shù)據(jù)資產(chǎn)安全。
數(shù)據(jù)安全在當(dāng)今時代已成為一個熱門議題,它也是所有企業(yè)安全參與者密切關(guān)注的核心要素。目前,騰訊安全已經(jīng)累計(jì)為包括數(shù)字政務(wù)、零售、汽車、金融等行業(yè)企業(yè)客戶提供穩(wěn)定可靠的數(shù)據(jù)安全產(chǎn)品和服務(wù)。
面對重保期間的這場大考,建議重保客戶使用騰訊一站式數(shù)據(jù)安全解決方案,體驗(yàn)高效持續(xù)的數(shù)據(jù)安全治理服務(wù)。重保期間,騰訊數(shù)據(jù)安全產(chǎn)品推出限時特惠試用服務(wù),助力企業(yè)建立更加實(shí)用的數(shù)據(jù)安全治理框架,實(shí)現(xiàn)全方位布防。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )