亿赛通自主研发的安全管理平台继第一批通过“数据安全运营管理平台”能力测评后,再次通过“分类分级工具”能力测评。数据分类分级工具评测据《大数据 数据分类分级工具技术要求》,对数据分类分级在数据源管理、规则管理、数据分类分级、系统管理四方面的能力域及相关能力项,做了十分全面的评测。
近日,我们邀请到了亿赛通高级总监梁步庭,采用对话的形式,对亿赛通安全管理平台相关问题进行了探讨。
“可信数安”工作体系是国内首个关注数据安全行业供需发展,面向供需双侧能力要求建立的权威市场化数据安全评估体系。亿赛通能够有幸参与此次测评,是希望能够通过独立第三方机构获得公正、客观的评估结果,同时帮助我司提高产品的质量,从而打造更有实力的产品。
亿赛通的安全管理平台同时通过“数据安全运营管理平台”和“分类分级”测评,可以讲讲这款产品的特点吗?
亿赛通安全管理平台集分类分级和数据安全运营为一体,是安全策略统一管理及整体运营分析的综合性平台。通过数据嗅探、网络解析、自动上报等方式梳理网络中的数据库、终端、文件服务、大数据及云数据,形成数据资产清单。针对海量数据,运用关键字、正则、数据标识、数据聚类等多种技术,实现对结构化数据、半结构化数据和非结构化数据的敏感数据识别和分类分级标识。依据分类分级结果对不同级别的数据配置不同的安全策略,对数据的全生命周期进行监测和防护。能够同时对云、网、端、存储的数据进行集中解析和关联分析,以揭示事件背后隐藏的逻辑关系从而全面监控数据安全状况,指导安全管理,有效预防、阻断或减少安全威胁。
目前出台了关于分类分级的众多标准,您认为分类分级工作为什么这么重要?
《数据安全法》中明确规定了,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”各个地方及行业也纷纷就分类分级工作进行完善,相继出台了《证券期货行业数据分类分级指引》、《个人金融信息保护技术规范》、《基础电信企业数据分类分级方法》、《信息安全技术健康医疗数据安全指南》、《浙江省公共数据分类分级指南》、《工业数据分类分级指南(试行)》等,这使得分类分级成为当下建设的重点。
而数据分类分级之所以如此重要,不仅仅是出于政策法规的要求,同时也是企业自身建设的刚需。在进行安全建设时应树立“相对安全”而不是“全面安全”的观念,即安全建设需要综合考虑成本及公司战略,安全投入不应该高于数据泄露的机会成本。这一观念得到越来越多的人的认可,分类分级就是对这一观念的落实,在进行安全建设时应考虑数据的重要性和泄露的成本,进行差异化安全防护。数据分类分级不仅能够帮助企业厘清数据资产,进一步明确保护对象,而且能够使得企业合理分配数据保护资源,从而节约成本保证效率。
通过您的介绍,分类分级是安全建设的第一步,那在数据安全治理过程中的技术难点有什么呢?
在进行数据安全治理时,存在以下三个技术难点。一是:数据识别范围不全。目前的数据安全建设主要针对的是数据库的结构化数据,对于半结构化、非结构数据识别能力不足。二是,数据安全治理的效率和自动化水平偏低。数据安全治理过度依赖人工,虽然安装实施了众多产品,但是能够实际落地的项目少之又少。三是缺乏数据的统一运营管理能力。数据安全平台体系大多缺乏自上而下的顶层规划,数据接口标准、技术标准等缺乏统一规范,导致各平台多为封闭生态。“各自为战”的数据安全平台容易阻滞风险的关联分析,无法实现数据安全的长期稳定运营。
亿赛通提出了数据安全治理智能化体系,即从数据安全管理制度体系化建设出发,围绕数据安全识别、防护、监测和运营通过智能化及自动化手段构建可视、可控、可管、可溯的数据安全全生命周期管理。
智能化强调工具为主,人工配合为辅的理念。在进行数据治理过程中提高工具的使用效率,降低运营维护的成本,从而更好的实现项目落地。数据安全治理智能化技术框架强调采用智能识别引擎完成数据梳理,将策略进行自动导入,实现在识别、防护、监测、运营方面的综合管理,降低人工成本,提高数据安全治理效率。体现在识别的智能化、防护的智能化、监测的智能化和运营的智能化。对数据各个环节实现互联、互补、互通,通过对不同能力模块的关联分析来定位风险,通过自动化编排处置风险,通过事件追溯完善策略。
我们了解到贵公司的分类分级和数据安全运营管理平台在很多行业都有应用,可以举两个具体的例子吗?
目前亿赛通数据安全运营管理平台已经在电力、金融、医疗、政府、运营商等行业广泛应用。在项目实施的过程中对不同的行业也总结宝贵的经验。
国网某电力公司项目的数据安全运营管理平台建设是围绕结构化数据的识别和敏感数据防泄露开展的。在国网电力公司26个通用关键字基础上,结合岗位和业务流程,梳理245项关键字及其组合,制定智能的检测规则,准确识别文档类型和业务类别。采用分级部署分方式实现分级管理,对省、市、县共7500点终端(省级500、市级4500、县级2500)进行统一管理。系统管理能力涵盖公司23个业务部门、190个业务流程,形成了包含893个风险点的《公司失泄密风险库》。构建了“风险识别、风险预警、风险监控、风险应急、风险评估”的风险五步闭环管理模式,实现失泄密风险智能化管理。
另外在某部委数据共享交换平台项目中,面对海量的政务数据,亿赛通数据安全分类分级系统通过扫描发现数据库总量40余个,表单总量800余张,单个表单的数据字段在40余个,单表最大数据量约40G。结合客户的实际使用场景和公司业务,编制了分类分级标准,形成了4大类(个人信息、业务数据、运维数据、静默数据),15小类,定义了4级安全级别,使用数据安全分类分级系统对所有的数据进行了梳理,协助用户厘清了数据资产,为下一步安全建设打好了坚实基础。
邮箱:haozhijing@caict.ac.cn
