背景介绍
数据安全面临的风险和压力
企业内部监管:
目前企业缺少数据安全方面的技术手段和有效的管理制度,增加数据泄漏风险。
另一个就是由于内部员工安全意识不足造成数据信息泄漏。
外部法律和合规要求:
随着国内外政府和行业对信息安全的重视,提出相关法律规定和管理制度,不断要求增强数据安全性且安全要求趋细化。例如我国在2017年6月正式生效的《中华人民共和国网络安全法》、欧盟2018年5月生效的《GeneralData Protection Regulation》(简称GDPR)、中国2018年5月生效的GB/T 35273《信息安全技术个人信息安全规范》等等
数据泄漏风险:
随着IT技术不断迭代,造成数据泄漏懂的风险途径不断增加,增加数据泄漏风险。
恶意攻击风险不断增加也是一个方面。
数据安全现状和问题
分析各行业和自身企业在数据安全方面面临的一些安全问题:
1.数据资产管理问题,主要体现在如下三个方面:
1)资产状况不清
2)访问状况不清
3)权限状况不清
数据资产梳理是一个持续的过程,数据和业务是不断发生变化的,因此需要借助自动化工具来开展数据资产管理工作。准确掌握数据资产安全状况,是开展数据安全体系建设的基础条件。如:存储位置,管理人,部门,分级,分类等
2.数据管理责任问题,主要体现在如下两个方面:
1)数据资产未认责
2)管理角色的职责边界模糊
数据安全管理角色一般情况会由研发、运维、安全、运营人员来兼任,没有独立的团队或虚拟团队,导致权责不清,不利于整体提升数据安全防护能力。建立数据安全管理角色至关重要:数据资产管理员、数据库管理员、安全审计员、安全检测工程师、数据运维工程师、权限管理员等。
3.数据制度不完善问题,主要体现在如下两个方面:
1)制度规范未落实或难落实
2)缺少稽核手段
数据管理制度通过数据安全咨询规划建立一套切实可行的制度规范,同时制定出数据安全管控措施与SLA评价指标,避免由于缺少稽核手段,导致数据安全管理部门无法及时掌握执行情况。
4.数据交换管理混乱问题,主要体现在如下两个方面:
1)交换共享的方式和接口不标准
2)运维人员和应用系统负责人的数据管控压力大
数据会向外部、内部和合作伙伴进行交换共享,随着开放的接口越来越多,交换关系越来越复杂,将交换共享的方式和接口标准化,将会避免出现功能重复、调用复杂、多点登录等现象,且不会影响数据应用的发展。
5.安全技术措施零散问题,主要体现在如下两个方面:
1)数据安全产品功能分散
2)安全能力孤岛
数据安全能力的建设也会以组织为单位开展,避免各组织分散建设,从数据生命周期的统一建立防御体系。
6.数据审计能力不足问题,主要体现在如下两个方面:
1)安全规则有效的差异
2)非法的事情、合规的操作无审计
可通过审计对攻击的操作轨迹和规律从而发现安全隐患,建立相关动态信任机制。
风险点
简单罗列一些数据安全方面的风险点,如下:
早期自建的治理方式:
目的
类比DSMM,从多维度的方向去治理数据安全,如:
组织管理建设:
结合自身企业的组织架构从上而下,定义管理层、业务部门、实施部门、合规监控和审计部门、运营部门等的相关职责。
标准制度和规范建设:
建设或完善数据放泄漏的总体策略、管理办法、应急方法以及具体操作流程。从制度体系上支撑数据放泄漏工作。
技术工具建设:
采用专业、成熟的技术,落地管理层认可的细化策略,通过平台实现数据外泄行为,并记录、告警以及阻断。从技术上实现放泄漏目标。
整体实现核心技术
数据资产管理,分类分级,数据权限管理和审计,KMS+CA,零信任,数据安全网关,数据画像,DLP,区块链隐私,水印,TEE,联邦学习,同态加密
641
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
