2023年4月11日,由数据安全推进计划联合中国通信标准化协会大数据技术标准推进委员会举办的《数据安全产品与服务观察报告》发布会在北京成功召开。
杭州安恒信息技术股份有限公司数据安全产品总监程文博在会上以“安恒数盾:筑牢可信可控的全链路数据安全屏障”为题发表演讲。
我国数字经济迅速发展,数据成为新型生产要素,未来各行业、组织将持续聚焦如何在数据价值化的过程中保障数据安全。
数据安全和网络安全的不同点在于,网络安全保护对象是“系统”,数据安全保护对象是“数据”;而数据是会流动了,流动到不同的环境区域,随之而来会面临不同的数据安全风险。环境复杂、框架大且全,数据安全合规治理该从何处入手呢?
安恒信息建议:从咨询规划、风险评估、管控加固、威胁检测、审计溯源、到安全运营,结合PDCA循环,持续优化组织的安全策略,延展业务场景,让安全持续赋能组织业务。
第一步,咨询规划。Gartner提出,数据安全治理首先要维持业务需求与风险/威胁/合规性之间的平衡关系。安恒信息认为这包括对经营策略、治理、合规、IT策略和风险容忍度的规划、论证、分析,需要通过专业咨询与规划,有针对性地开展数据安全治理工作,实现组织后续在数据安全合规治理过程中的效率、投入产出比“双提升”。
安恒信息提出,随着数据安全理念深入人心,实践逐渐发展,专业咨询需要从组织业务的重要性和数据的重要性出发,基于专业化的工具结合组织所处的行业、环境以及发展现状,提供贴合业务、切实可行、符合组织核心需求的建议。
第二步,风险评估。聚焦高风险领域,研判治理优先级,需要技术与管理措施的结合。安恒信息认为这一步可以依托自动化检测工具和调研访谈,全面检测、梳理组织各领域、主题的数据安全风险(如:弱口令、API未授权访问、数据库暴露在互联网等)。
第三步,管控加固。针对不同的风险场景,安恒信息认为需要有针对性地部署数据安全工具实现管控、加固。以数据分类分级保护为例,可以通过自动化的数据分类分级工具,基于行业级的数据分类分级模板,进行敏感数据识别和分类分级打标,进一步通过静态脱敏工具,在非生产环境对敏感数据进行脱敏。这在降低数据敏感程度的同时,最大程度上保留原始数据集所具备的数据内在关联性,保障了数据的可挖掘价值。
第四步,威胁检测。在上一步“管控加固”发挥价值的各类数据安全工具同时作为组织数据安全的原子能力,应既能解决具体场景下的风险,还能高效协同联动,为组织形成合力。安恒信息认为,应通过统一的安全管控平台,实现对各原子能力进行统一纳管、策略打通和态势感知,从云网数用端全链路的对当前环境进行实时威胁检测,第一时间洞察异常和风险。
第五步,审计溯源。这一步旨在将审计可见性从原先单片段扩大到全链路,覆盖数据全生命周期,提供更加智能、精准的审计溯源。安恒信息认为,可以将数据库审计和应用审计等日志结果进行关联组合与分析,让应用前端调用的API信息直接可以关联到具体的数据库实例敏感表和字段。
第六步,常态化数据安全运营。安恒信息认为,组织可以通过风险识别、安全防护、持续检测、响应处置,IPDR进行可持续改进、闭环管理的常态化安全运营,不断迭代优化数据安全整体防护能力和效果,形成一套数据安全能力框架。
以服务某大数据管理机构的实践为例,安恒信息建立了“可信、可用、可管”的数据安全管控体系,通过从云平台安全、云租户安全、到数据安全,实现了从外到内,层层防护,并通过获取云数据库访问日志、导出日志、审批日志等信息,发现数据库高危操作、共享安全、日志监控和账号安全风险,达到了“风险进不来、数据看不懂、取不走“的管理效果。
在服务某交通运输行业客户的案例中,安恒信息从最初的数据安全现状调研评估、数据安全合规性分析、数据安全分类分级、数据安全专项规划,进一步通过数据安全咨询服务、数据安全防护能力及数据安全运营服务,实现其一体化数字平台数据安全的全面保障。最终建立全链路全生命周期的数据安全防护体系,覆盖其一体化数字平台从数据的采集、治理、存储、交换、销毁等全生命周期阶段。
声明:本文仅代表企业及专家个人观点,不代表本公众号及其运营单位意见或立场。
关注数据安全推进计划公众号,并在首页输入关键词“观察报告”,即可下载《数据安全产品与服务观察报告》。
