美亚柏科:数据安全解决方案来了 聚焦实用价值
- 来源:美亚柏科
- 2021/7/30 10:08:1132110
【安防展览网 视点跟踪】随着互联网时代信息技术的不断更新迭代,在数字化转型中的日常生活、企业发展、国家建设以及社会治理中大数据技术发挥着深刻作用。
由于互联网无国界性,在我们享受互联网带来的服务与便利时,裂变式增长的用户数据及信息也在世界的各个角落不断积累、沉淀。然而数据天然所附的信息属性与价值属性,一旦被不当利用,将会给个人、企业甚至国家带来不可逆转甚至无法估量的损失。
目前,大数据已被视为国家基础性战略资源,各行各业的大数据应用正迅猛发展,但随之而来的数据安全问题也日益加剧,有时甚至限制了大数据应用的发展。基于此,无论是国家机关还是企事业单位,都在加紧数据安全体系的建设,甚至项目立项时就需要完成数据安全的设计。
专家说
美亚柏科全资子公司北京美亚网安公司总经理金辉博士表示,建议从“人、数据、场景”三个维度,建立健全公共数据分类分级、权限管理、技术防控、异常风险识别等制度体系,切实做好数据防泄漏、防滥用、防篡改;同时着力构建数据安全管理、技术和运营三大体系,形成数据安全闭环管理机制,筑牢数据安全防线,全力保障公共数据安全。再从实际出发设计应对因黑客攻击、内鬼泄密、操作失误、违规使用等导致的数据安全事件及各类隐患、风险、问题。
综合上述各个方面进行体系化设计,不仅需要提供单一化的功能解决客户在某个方面的问题和需求,而且需要对数据的价值利用与安全防护可持续运营方面进行功能设计,让客户在日常工作中能更加便捷、可靠的使用数据。
下面,我们进一步梳理了当前解决数据安全问题的一些工作思路,供大家参考:
聚焦实用价值建设数据安全工作的思路
解决数据安全问题,从六个方面入手:数据资产台账→数据管理责任→数据管理制度→数据交换管理→安全技术措施→数据审计能力;
首先我们先分析一下问题在哪里,针对问题进行解决方案的建立:
1.数据资产台账问题主要体现在如下三个方面:
1)资产状况不清
2)访问状况不清
3)权限状况不清
数据资产梳理是一个持续的过程,数据和业务是不断发生变化的,因此需要借助自动化工具来开展数据资产管理工作。准确掌握数据资产状况,是开展数据安全体系建设的基础条件。在此基础上可以开展数据资产与零信任体系环境感知相融合。
2.数据管理责任问题主要体现在如下两个方面:
1)数据资产未认责
2)管理角色的职责边界模糊
数据安全管理角色一般情况会由研发、运维、安全、运营人员来兼任,没有独立的团队或虚拟团队,导致权责不清,不利于整体提升数据安全防护能力。建立数据安全管理角色至关重要:数据资产管理员、数据库管理员、安全审计员、安全检测工程师、数据运维工程师、权限管理员等。在此基础上可以开展数据资产与零信任体系身份认证中心相融合。
3.数据制度不完善问题主要体现在如下两个方面:
1)制度规范未落实或难落实
2)缺少稽核手段
数据管理制度通过数据安全咨询规划建立一套切实可行的制度规范,同时制定出数据安全管控措施与SLA评价指标,避免由于缺少稽核手段,导致数据安全管理部门无法及时掌握执行情况。在此基础上可以开展数据资产与零信任体系权限中心相融合。
4.数据交换管理混乱问题主要体现在如下两个方面:
1)交换共享的方式和接口不标准
2)运维人员和应用系统负责人的数据管控压力大
数据会向外部、内部和合作伙伴进行交换共享,随着开放的接口越来越多,交换关系越来越复杂,将交换共享的方式和接口标准化,将会避免出现功能重复、调用复杂、多点登录等现象,且不会影响数据应用的发展。在此基础上可以开展数据资产与零信任体系审批中心相融合。
5.安全技术措施零散问题主要体现在如下两个方面:
1)数据安全产品功能分散
2)安全能力孤岛
数据安全能力的建设也会以组织为单位开展,避免各组织分散建设,从数据生命周期的统一建立防御体系。在此基础上开展数据资产与零信任体系策略中心相融合。
6.数据审计能力不足问题主要体现在如下两个方面:
1)安全规则有效的差异
2)非法的事情、合规的操作无审计
通过建立审计对攻击的操作轨迹和规律从而发现安全隐患,在此基础上开展数据资产与零信任体系审计中心相融合。只靠数据资产与零信任的结合还是不够的,还需要建立数据安全管理体系和对应的关键数据安全技术。
数据安全管理体系应具备数据资产管控能力、数据安全运营能力、数据业务安全管控能力、数据支撑环境安全管控能力、数据运维安全管控能力和数据安全感知能力六大能力,结合关键数据安全技术体系所具备的敏感数据识别和脱敏技术、数据泄露防护技术、结构化数据库安全技术,覆盖数据全生命周期及重要的数据场景。
数据安全是生命线、对安全事件零容忍、让敏感数据不出门将是大数据安全建设与运营过中需要坚持的三大安全原则。构建大数据全生命周期安全体系,能够对数字经济、电子政务等领域的持续高速发展提供有效助力。美亚网安愿与您共同挖掘数据价值,发挥数据作用,守护数据安全,为保障国家安全奉献力量。