以数据为中心的安全治理实践

当前数字经济已成为构建新发展格局、推动经济复苏和科技创新的新动能。随着数字经济的加速发展，各行业数字化转型步伐也开始提速，但数字经济新动能迅猛发展的背后，数据安全也将面临新的挑战，急需多维化、体系化、实战化的数据安全治理方案：

​l  技术更新迭代快：人工智能安全AI Security、敏感数据的精准靶向监控、数据水印溯源技术、数据鉴权技术、UEBA用户实体行为分析、隐私增强计算等安全技术更新迭代速度之快，企业一定要做到未雨绸缪。

l  热点安全事件频：近两年来，勒索病毒等外部攻击手段逐渐呈现出从普通用户转向大型企业用户，勒索赎金定制化、勒索传播场景多样化，高频次的整体特征，另一方面，由内部人员引发的数据泄露和丢失事件更加频发，且逐步情绪化、多样化。

l  标准制度规范多：当前我国高度重视数据安全和个人信息保护立法工作，一些列法律法规相继出台，数据安全顶层制度设计的加速推进促使数据安全合规性、规范性要求不断提高。全球范围内，国家性、区域性关于数据安全和隐私保护的法规各有侧重，企业如何在参与全球经济的合作与竞争中，满足国内外合规要求是很大的挑战。 

l  合规处罚力度大：今年1月，中国银保监会开出2021年第一张罚单，某大行因涉及发生数据安全管理粗放存在数据泄露风险等问题，被罚420万人民币。此外，《数据安全法》、《个人信息保护法》、《通用数据保护条例》（GDPR）等相关法律法规的处罚力度均十分严厉。

 

数据安全治理多维化、体系化、实战化

数字化浪潮下，数据流转环境发生了颠覆性转变，数据不仅打破了原有安全域内流动的约束，且与数据相关的应用、人员等更为复杂且快速变化，这些原因都在导致传统基于静态边界保护的网络安全和数据安全保护措施不断弱化，甚至失效。

在新的安全形势下，零信任成为最佳实践，美创科技基于零信任的数据安全防护思路，以数据为核心，从资产、入侵和风险三个视角出发，通过以人为中心的身份管理、动态访问控制、持续的信任评估，实现让数据时刻处于保护之中。

美创科技经过多年在数据安全领域的专注研究和不断探索实践，总结出要做好新形势下的数据安全治理体系建设，离不开五大保障。

 

数据安全治理体系建设“五大保障”

l  数据安全战略保障：做好数据安全，离不开法律法规、人员管控以及行业标准的保障，只有顶层设计的密集布局和加码，促使数据安全合规性、规范性要求不断提高。

l  数据安全管理保障：对于数据安全，多数组织单位依然采用传统的安全合规应对做法，建设方法并不体系。这种低效、粗放的建设存在诸多不足，并不能让数据安全治理得到实质的提升，因此，需要建立完善的制度流程、组织架构，同时包保障合理的人员配备。

l  数据安全技术保障：从物联感知层到智慧应用层，基于数据流动的特征，提供一些列技术支撑，完成数据安全防护。

l  数据安全建设运营保障：快速的检测、评价数据安全治理成果。

l  数据安全基础支撑保障：数据安全服务提供者，提供身份鉴别、入侵检测、入侵防御、高危操作防护等一些列底层技术，为安全保障体系赋能。

 

实践一：数据安全咨询服务

数据安全建设不同于以往的网络安全建设有章可循，因此，以从传统网络安全防护思路开始着手于数据安全体系建设时，经常会充满疑问，不知道从何做起：数据安全风险在哪里？建设投入如何分配？因此，咨询是发现问题、评估现状相对较好的切入点。

美创科技数据安全咨询采用敏捷咨询规划和方案设计，涵盖现场调研、分类分级、差距分析、安全评估、加固建议等一整套“体检”流程，最终形成基于数据流向的数据安全咨询报告。同时基于现状，有针对性、有侧重点构建以数据为核心的风险安全建设体系规划方案。并且会在过程中根据现状，补充内控合规管理所需的材料，包括制度规范技术规范以及岗位培训等。

 

实践二：资产梳理形成数据流向图

当前，各行业在进行数据安全建设时往往面临数据资产分布情况不明朗，保护对象不清晰等一些列问题，且对自身的数据资产状况知之甚少，因此，进行数据安全建设之前，应首先将自家的数据资产状况梳理清楚，形成完整的数据资产流向图，消除安全隐患。

 

 

数据流向图

 

 

美创科技基于自研的暗数据发现与分类系统和人工方式对目标环境中数据资产分布情况进行梳理，形成数据资产清单，明确数据资产到底在哪里、数据资产权限管理状况，得到基础的数据资产清单和分布和管理现状，以便更加体系化地分析和设计数据资产涉及的角色和访问控制体系。
 

实践三：数据分类分级

当前政企、医疗等机构数据分类分级主要面临无标准难规范、有标准难落地、已落地难应用等现状，整体难以实现分级管控和精细化的安全防护。

针对以上现状，美创暗数据发现和分级分类系统按照分类标准和对应业务模板以及重要敏感程度对数据进行分级（低敏感-中敏感-高敏感-极高敏感），并生成完整、可视化的分析报告，方便用户筛选和查看不同敏感程度的数据分布和信息，对敏感数据采取相应的安全防护措施（包括敏感数据访问审计、数据脱敏等），从而减少数据安全风险，对数据资产实现规范化管理。

 

实践四：量化风险评估

数据安全风险评估是对数据资产面临的威胁、存在的弱点、造成的影响以及三者综合作用所带来风险可能性的评估环节。美创科技基于数据安全能力成熟度模型，按照数据全生命周期分阶段，采用不同的能力评估等级，从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量，并划分等级。

 

数据安全能力评估

 

 

 

 

对于评估过程中所识别的风险，美创专家团队将充分结合合规要求和风险现状，为客户设计一套数据安全保护对象框架，并提供带有加固建议的专业报告。

 

实践五：以问题为导向的数据安全规划路径

从安全咨询到风险评估，均是数据安全建设的前提，最终落地并发挥作用的无疑还是经过实践检验的技术和产品。美创科技围绕数据安全全生命周期，基于新一代安全中台，快速孵化数据安全能力，针对数据管理、应用能力，从运维端、到业务端，通过数据安全管控平台实现六个统一（统一账户、统一监控、统一展示、统一分析、统一告警、统一配置），变被动防护为主动防护，变单点防护为整体防护，全局安全防护手段整体管理运营，精准掌控数据安全状态，最终实现数据全域可管，风险全局可视。

 

美创科技安全态势感知

 

 

它山之石可以攻玉——美创以十六年在数据安全领域沉淀的方法论、架构、产品及服务能力为底座，以数据安全治理体系建设的五大最佳实践为蓝本，为各行各业的数据安全建设提供向导，为即将到来的数据安全法的落地建立实践路径，为数字化转型和数字化改革保驾护航!
 

以上内容来源于美创科技副总裁蔡毅在2021数据安全与数据治理高峰论坛期间的《以数据为中心的安全治理实践》主题演讲。