6月14日,昂楷科技成功举办云端直播第三期“抢新机 共发展,洞见2022数据安全治理与运营实践”。DAMA中国、国家互联网应急中心等数据安全领域的知名专家从“数据安全管理”、“数据安全评估”、“数据安全运营”等多个角度展开深度探索,一起洞见2022数据安全的发展新机。

1 DAMA China 副主席 黄万忠

数据安全事件层出不穷,警钟长鸣。DAMA China副主席黄万忠表示,数据安全管理从来都不是孤立的,并从组织与职责、制度与方法、审计与评价和贯穿全程的技术平台支撑分析了数据资产管理框架的各个组织如何互相协调管理数据安全。通过数据安全政策解读、数据安全中的组织与制度、战略与方针、数据分类分级,动态脱敏的等分析数据安全管理实践,对数字化转型过程中的数据安全实战进行总结。

2 国家互联网应急中心 高级工程师 林星辰

国家互联网应急中心高级工程师林星辰从日常细微场景上升到个人隐私安全、行业数据安全、数据交易、国家安全等说明数据安全评估的重要性。在数据安全评估的任务中,不仅是要保障数据机密性、完整性、可用性,还提出了合理正当性。并且从数据收集环节、数据流出环节、数据使用环节分析了数据安全区别于传统网络安全的突出风险点。在如何开展数据安全评估方面,首先从单位性质、所属行业、归属地、数据业务模式了解被评估单位情况进而明确评估对象的数据及数据处理活动,最后基于两种情况评估数据安全风险。

3 昂楷科技解决方案总监-张东升

面对数据安全威胁日益严峻的态势,着力解决数据安全领域的突出问题,有效提升数据安全治理能力迫在眉睫。然而,现实中由于很多政企单位数据安全治理能力欠缺,无法通过对管理、防护产品,进行数据安全治理制度、技术的持续性完善,也无法实现安全、业务与数据有效融合,达到数据安全治理的预期效果,数据安全治理能力“短板”严重。针对数据安全治理,尤其是反馈链较长,与业务流程及数据全生命周期流转难以耦合的突出问题,需要从海量数据面临的安全风险出发,实现技术与管理融合,满足业务、安全、网络等多部门多角色的诉求,实现实时动态防御,通过可持续的安全运营不断提高数据安全治理能力。

“运营”出来的数据安全何为数据安全运营?

可以说,一切围绕着提升数据安全能力开展的工作都属于安全运营的范畴。由此可以看出,数据安全运营是一个“动态”过程,需要结合业务需求和技术发展持续进行风险监测与运营改进,通过不断发现、分析、研判可疑的数据安全事件,并积极响应、快速处置,推动数据安全的保护工作不断进行改进。数据安全运营视角为解决数据安全问题提供了一个新的解题思路。数据安全运营需要通过持续优化数据安全策略,推动数据安全规范要求与业务相结合,对于通用性数据安全风险,要有统一的成熟技术方案、覆盖率、风险收敛作为核心指标等措施,并针对已发生数据安全事件的处理方式及后续风险提出整改措施等,在持续化的运营投入中,做到与业务自适应匹配,从而实现“从制度指导与策略制定,到事件识别与风险处置,再回归到优化改进制度及策略”的运营闭环。

以数据为中心的安全运营体系

在数据时代,数据就是业务的核心驱动力以及业务本身,因此我们需要跳出以往着眼于系统、网络的安全思维,重新以数据为中心来进行安全体系化运营,达到精细化和贴身式的防守。数据安全运营体系构建了数据资产运营、数据用户、行为模型运营、安全风险运营和统一安全策略四维形成运营度量的“五位一体”运营体系,为客户提供以数据安全风险管理体系落地的数据安全综合解决方案。

  • 数据资产运营

理清全域范围的数据资产、流动等信息,绘制资产地图,快速看到数据的变化、数据分类分级情况、资产敏感等级分布、脆弱性情况等,对新增的资产快速配套相关安全措施。

  • 数据用户运营

理清全域范围的数据账号、权限等信息,数据用户、权限变更,全生命周期的维护等。

  • 行为模型运营

理清数据使用的情况,通过模型运营,识别潜在的行为风险,如数据薅羊毛、越权使用数据等异常。通过构建的行为模型算法进行内外部用户行为画像分析,识别隐藏的、深层次的数据安全风险行为。

  • 安全风险运营

清晰看到风险分布情况、风险级别并进行快速联动处置。当前风险的收敛情况。

  • 统一安全策略运营

权限策略优化,数据处置(水印、脱敏、加密)策略优化,形成安全元数据的统一管理、分布执行机制。

基于DSP的数据安全运营数据安全运营需要体系化建设,以实现“可持续化的数据安全运营能力”为目标,要把数据安全管理体系建设与数据安全技术体系建设实现有效融合,并持续推进。Gartner在《2021数据安全技术成熟度曲线》首次提及DSP(数据安全平台),将其定义为以数据安全为中心的产品和服务,涵盖了各种场景下的数据安全保护需求。DSP将管理体系以及运营体系提升到了与技术能力建设同等的高度。未来的数据安全建设必然是从孤立的数据安全产品过渡到数据安全平台,促进数据的业务利用率和价值,从而实现端到端的数据安全,让用户以更简单的方式实现数据的自动化管理和安全使用。

事实上,安全的过程也是一个对抗的过程,需要DSP作为数据安全的强大抓手。昂楷科技早在2019年就投入研发打造基于大数据+AI打造的DSP数据安全综合治理平台产品。通过DSP打通各个孤立的数据安全产品采集,其他安全能力单元的数据、日志,并通过内置大数据AI分析引擎进行进一步数据梳理、风险挖掘,形成综合态势、数据资产地图、数据流动态势,通过安全元数据继续统一权限管理、数据流动处置策略。当然,数据安全治理也绝不是靠一家之力,DSP同时开放接口,对接其他安全能力单元。最后,通过DSP的数据安全运营,让CDO一眼掌握资产动态与数据安全保护措施及效果;数据Owner自己的数据自己掌握,权责相符;安全管理员,低成本、高效率、实时合规管理,风险事件快速处置;数据消费者,敏捷获取数据,支撑业务发展。数据安全对保障国家安全、经济社会稳定运行起到重要的支撑作用。

本次直播活动,基于丰富数据安全实践经验,专家从数据安全管理、数据安全评估及数据安全运营输出了多角度的价值观点,带来一场数据安全盛宴。昂楷科技将持续聚焦数据安全建设,携手数据安全专家展开深度的交流合作,推动数字化转型,以保障政企数据资产安全、业务稳定运行为目标,立足于构建数据安全运营平台,提供精细化和贴身式的数据安全防守,助推政府、企业“数智化”转型和数字经济产业发展。

作者 昂楷科技

昂楷科技 ----专注数据库安全http://www.ankki.com 深圳昂楷科技有限公司专注于数据库安全技术研究和产品研发,已成功研制出数据库审计系统、医疗防统方系统、云数据库审计系统、集中监控管理平台等一系列数据安全产品。