摘要: 2019年6月19日,由湖南省公安厅指导、湖南省网络空间安全协会主办的“网络安全等级保护制度2.0国家标准宣贯会”于长沙圆满召开。会议现场 湖南省公安厅、公安部网络安全保卫局、公安部第三研究所主管领导及等保工作相关负责人到场参会。安华金和作为国内领先的数据...
2019年6月19日,由湖南省公安厅指导、湖南省网络空间安全协会主办的“网络安全等级保护制度2.0国家标准宣贯会”于长沙圆满召开。
会议现场
湖南省公安厅、公安部网络安全保卫局、公安部第三研究所主管领导及等保工作相关负责人到场参会。安华金和作为国内领先的数据库安全产品、服务与解决方案提供商,“数据安全治理”理念的倡导者与实践者,受邀出席大会并做相关经验内容分享。
湖南省公安厅党委副书记、副厅长杨琪君、公安部网络安全保卫局等保处副处长夏雨、公安部第三研究所专家黎水林、北京安华金和科技有限公司方案总监宣淦淼、深信服科技股份有限公司安全业务CTO郝轶、湖南省自然资源厅事务中心黄弘博士、中南大学信息与网络中心袁新辉副主任、金盾测评中心总经理罗晓燕等出席大会并做精彩演讲。
▲湖南省公安厅党委副书记、副厅长杨琪君
▲公安部网络安全保卫局等保处副处长夏雨
▲公安部第三研究所专家黎水林
会上,安华金和方案总监宣淦淼做题为《等保2.0下数据安全治理体系与实践》的分享:
据介绍,等保2.0分别对通用安全、云计算、移动互联、物联网、工业控制等领域提出了更为深入的数据安全要求。安华金和作为国内最早提出数据安全治理理念的安全厂商,一直专注于数据的使用安全、数据的场景化安全和数据的分级分类保护。
数据安全治理理念倡导将数据安全不止看作一项技术和产品,而是看作一项涉及组织、法规和技术支持平台的体系化安全工程和综合性应对方法。安华金和基于此理念提出的行业解决方案将重点关注数据的权限和数据应用的场景,让数据安全治理真正为用户带来价值。
除介绍数据安全治理在政务云等项目中的实际应用外,宣淦淼着重绕围绕数据安全状况摸底、数据使用管控、数据治理稽核的“三步走”原则对数据安全治理进行了解读:
第一步:基于数据资产梳理的安全状况摸底
想知道敏感数据在哪里?要基于对数据整体状况的了解,掌握数据来源、内容和分类,并根据数据价值、内容敏感程度、影响和分发范围的不同进行敏感级别划分,实现对数据资产安全的状况摸底;同时,跟踪数据的使用过程,按照使用热度、访问总量、流转过程以及数据关联关系等方面对数据资产进行梳理。
第二步:确保安全的数据使用管控
数据在使用过程中会面临不同对象和不同场景,例如外部黑客、内部运维人员、业务人员、第三方外包人员等,因而对数据的使用权限和管控力度应有所侧重——针对外部黑客的入侵防护,针对内部运维人员的审批细粒度管控,针对业务人员的数据使用权限控制,针对开发、测试、培训使用的数据脱敏,以及针对数据存储安全的加密管控。
第三步:基于数据行为分析的数据治理稽核
通过对数据访问账号及权限的监管,对业务单位和运维部门数据访问过程的合法性进行稽核,定义数据异常访问行为特征并对其进行追踪、审计、分析,全方位感知数据安全风险。如对日志进行大数据分析以发现潜在的异常行为,继而根据分析结果建立安全基线策略等。
数据安全治理是一个体系化的工程,需要国家、行业和企业三者共同协作来完成。进入等保2.0新阶段,对数据的价值挖掘将会持续深入,对数据的安全使用也势必受到政府、企业及社会大众的进一步重视和关注。
安华金和将继续深入实践数据安全治理在各行业的方案落地,积极响应国家政策法规与相关标准要求,与监管机构、友商及广大用户协作共赢,全力保障我国网络信息安全,让数据使用更安全。