数据安全治理:打好“技术+管理+监管”组合拳
——访北京亿赛通科技发展有限责任公司高级总监宋春岭

2023-12-28 09:40
信息安全与通信保密 2023年10期
关键词:数据安全智能管理

本刊记者 王 超

随着数字经济的蓬勃发展,数据已经成为新时代的重要生产要素,并成为国家基础性战略资源。一方面,构建不同行业、领域规范化数据开发利用场景,提升各行业数据资源的价值,促进数字经济产业集群发展成为大势所趋;另一方面,数据安全和隐私保护问题愈发突出,数据流转过程中暴露面风险急剧加大,面临严峻的数据安全风险防护和合规监管要求形势。

在安全风险与监管合规双重驱动下,如何促进数据发展与数据安全的平衡发展,企事业单位也在不断开展数据安全治理工作,防止数据面临的“走光风险”,由于数据频繁产生与流转带来的数据安全防护复杂性,如何在数据释放价值的同时,保障数据安全,推动平衡发展?企事业单位在数据安全治理实践过程中,面临着诸多的痛点和难题。

近日,记者与北京亿赛通科技发展有限责任公司高级总监宋春岭围绕数据安全治理现状、数据安全治理难点分析、数据安全治理体系建设及数据安全防护技术研究等内容进行了详细沟通和探讨。

记者:请您谈谈,现阶段数据安全治理状况。

宋春岭:在从业人员方面,中国的数据安全治理现状需要专业人才涵盖多个领域。首先是数据安全专家,他们负责制定数据安全策略、管理数据风险和实施数据安全控制措施。其次是网络安全专家,他们负责保护网络系统免受黑客攻击和恶意软件的侵害。另外,数据隐私专家、法律顾问和数据治理专家也扮演着重要的角色,他们确保数据处理符合法规和道德规范。数据安全治理还有近200 万人的缺口,为有志从事数据安全的人员提供了足够大的空间。

在理论方面,中国的数据安全治理借鉴了国际上的最佳实践和先进的理论模型。同时,中国也基于自身国情和发展需求,制定了适用于本国的数据安全理论和指导原则。其中包括:数据安全风险管理体系、数据分类和标记、隐私保护、风险评估和风险管理、最小权限原则、数据生命周期管理等。已经形成自己的理论体系和标准。

在技术方面,中国积极发展数据安全技术。这包括数据加密技术、密码技术、身份认证技术、安全存储和传输技术、数据脱敏和匿名化技术、数据分类分级、泄露防护技术等。同时,中国也在推动人工智能、区块链等前沿技术与数据安全的结合,以提升数据安全的能力和效果。

在产品方面,国家相关部门发布了一系列的数据安全法律法规,国家、地方、行业的多级标准和认证体系,促进了数据安全产品的开发和使用。这些产品涵盖了数据生命周期采集、存储、传输、处理、交换和销毁各个阶段,能够满足不同行业和组织的数据安全需求。

记者:请您谈谈,政企单位在数据安全治理方面存在的难点。

宋春岭:政企单位在数据安全治理方面存在以下4 个主要难点:第一,政企单位需要处理和存储大量的数据,增加了数据管理和安全保护的难度。第二,政企单位涉及多个利益相关方,需平衡各方的权益,并建立合理的数据安全管理机制。第三,缺乏专业数据安全人才,员工缺乏数据安全意识,影响数据安全的管理和保护。第四,数据安全技术和威胁不断演进,政企单位需要持续应对技术的发展带来的不断变化的安全威胁。

如果要解决这些难题,需要综合考虑技术、管理和意识等多个方面的因素,以确保数据的安全和合规,整个数据安全治理过程要从决策层到技术层,从管理制度到技术支撑,将现有的各个独立的数据安全技术和功能整合,构建自上而下、全流程、可闭环的完整链条。具体来讲,数据安全治理以“人”和“数据”为中心,从技术到产品、从策略到管理,提供完整的产品与服务支撑,实现业务与安全的深层融合。

在人为层面,从决策层制定经营策略、IT策略,帮助企业用户建立数据安全意识,区分职责权限。在数据层面,运用专业技术支撑,通过AI 算法、关联分析、密码技术、访问控制、数据标识等技术,采集分析各类安全设备结构化和非结构化日志,探测、预测、发现威胁事件和风险,利用技术服务于制度,进而形成技术、制度不断迭代的正循环,建立全面综合的数据安全治理能力。

记者:请您谈谈,对数据安全治理体系的建设和实践的建议。

宋春岭:数据安全治理体系不仅仅是一套用工具组合的产品级解决方案,它构建了从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,打造以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系,帮助企业形成扎实可靠的综合数据安全能力,为企业数据资产从产生价值到保值、增值建立重要保障。

图1 亿赛通数据安全治理体系框架

具体来讲,要制定明确的安全策略和流程。数据安全治理要制定清晰的数据安全策略和流程,包括数据分类、访问控制、数据处理和存储规范等方面,确保相关人员了解和遵守安全策略和流程,以保障数据的安全性。这方面也可以由第三方数据安全咨询公司来梳理和制定。再者,要采用综合技术保障措施,例如加密、防火墙、入侵检测、预防系统、数据泄露防护等。而且要定期进行安全漏洞扫描和渗透测试,及时发现和修复潜在的漏洞和风险。

此外,还要建立合理的访问控制和权限管理机制。根据数据的敏感程度和用户的角色,设置恰当的访问权限和控制措施,然后采用强密码策略、多因素身份验证等方式,确保只有授权的人员可以访问和处理数据。需要强调的是,数据安全治理中,加强数据监控和审计也十分必要。建立有效的数据监控机制,能够实现对数据访问和使用进行实时监控,及时发现异常行为,然后定期进行数据审计和日志分析,确保数据的合规性和安全性。

对于涉及第三方数据处理和存储的情况,更要进行严格的风险评估和选择,建立合适的合作和监管机制。确保第三方符合安全合规要求,并对其进行有效的监控和审计。另外,还要培养员工的安全意识和技能,加强员工数据安全能力培训,提高他们在日常工作中的安全意识和行为,并定期组织模拟演练和应急演练,增强员工应对安全事件的能力。

数据安全治理是一个持续的过程,需要根据实际情况和法规要求进行具体的定制化和调整,从而建设一种先进、自主、灵活、全面、智能的立体化数据安全防护体系,实现企业非结构化数据的有效管理和保护,有效保障数据资产的安全可控。

记者:请您谈谈,对用户在数据安全治理方面的产品选型和能力评估的建议。

宋春岭:首先,用户应确切地了解自己的数据安全需求和目标。这包括需要保护的数据类型、安全合规要求、预算限制等,明确需求和目标将有助于用户更好地匹配和评估相应的产品和解决方案。其次,用户还应综合考虑产品的安全功能和特性。这可能包括数据加密、终端管理、访问认证控制、文件管理、数据存储、泄露防护、流转安全、备份等功能。确保产品提供的安全功能能够满足用户的具体需求。

另外,还要考虑选用的产品在规模扩展和系统兼容性方面的能力。用户需要确保产品能够适应未来安全需求的增长和变化,并与现有系统和技术环境兼容。同时,用户应考虑产品供应商提供的服务和技术水平。可信赖的技术服务将有助于用户在使用产品时获得及时的支持和解决问题。

需要强调的是,用户在注重产品和服务的同时,也要更加注重关联性的数据安全工具的建设。具体来讲,需要基于数据安全合规要求、用户的业务发展需要和风险承受能力等多重因素,通过平衡业务需求与风险,制定数据安全策略,对数据分级分类,对数据的全生命周期进行管理,从技术到产品、从策略到管理,提供完整的产品与服务支撑,实现业务与安全的深层融合。

亿赛通数据安全运营管理平台遵循IPDRR(识别、防御、检测、响应、恢复)能力框架模型,可以为客户提供一个中心、多种安全管理和防护能力,帮助安全管理人员落地安全管理和技术体系的结合,达到数据安全运营管理工作闭环,最终实现数据安全可视、可管、可控、可溯的目标。

图2 亿赛通数据安全运营管理平台

记者:请您谈谈,亿赛通在数据安全管理方面的实践。

宋春岭:亿赛通在数据安全管理方面主要包括智能识别、智能防护、智能监测、智能运营。智能识别强调工具智能识别为主、人工配合为辅的理念。通过数据嗅探、网络解析、智能上报等方式梳理网络中的数据库、终端、文件服务、大数据及云数据,形成数据资产清单。

智能防护则依据分类分级结果对不同级别的数据配置不同的安全策略,兼顾成本与安全。基于智能识别结果构建安全智能防护,不同的主体(组织、角色、人员等)对不同级别的客体(终端数据、网络数据、云端数据以及数据库等)采取不同数据防护策略,对绝密数据、机密数据,采取文件加密、数据脱敏、数据水印等高强度管控技术措施,严格限制分享时间,建立数据接收方白名单;对内部不敏感数据只需要进行相关审计。

智能监测是对于不同的能力节点的数据进行综合审计分析,形成基于“人”和“事件”的风险画像,完成数据流转过程的高效审计,及时做好全局管理。智能监测通常包括:数据库监测、网络数据监测、终端数据监测、敏感数据分布监测、用户行为监测、API 接口监测、热点应用监测及异常账号监测。

智能运营强调数据各个环节的互联、互补、互通,通过对不同能力模块的关联分析来定位风险,通过事件编排处置风险,通过事件追溯完善策略。从而形成覆盖事前预警、事中处置、事后分析的闭环管理。

记者:未来数据安全防护技术将延伸出哪些新的发展特点?

宋春岭:总体来讲,未来数据安全防护技术将延伸至AI 和机器学习、区块链、边缘计算安全、数据隐私保护、多因素身份验证和融合安全解决方案等方面。这些新的发展特点将为数据安全提供更强大、智能、综合的保护。

具体来讲,AI 和机器学习技术在数据安全领域的应用将进一步扩展。这些技术可以帮助检测和分析大量的数据,识别出潜在的安全威胁和异常行为,并提供更快速、准确的安全响应和预测能力。区块链技术方面,区块链技术逐渐在数据安全领域发挥着重要作用。区块链可以提供去中心化的数据存储和交换,保障数据的不可篡改性和身份验证。未来,区块链技术还将广泛应用于数据保护、身份认证和智能合约等方面,提供更强大、更安全的防护。

数据隐私保护方面,数据隐私保护将成为数据安全的重要组成部分。随着隐私法规的加强和用户对个人数据保护需求的提升,数据安全技术将更注重个人隐私的管理和保护,包括匿名化技术、对抗数据分析和差分隐私等手段。多因素身份验证方面,为了增强身份认证的安全性,多因素身份验证将得到更广泛的应用。未来的数据安全技术将推动更多的身份验证方式,如指纹、虹膜扫描、声纹识别等,以提供更强大的身份验证保护。

另外,综合安全解决方案也将得到更多关注和应用,以应对不断变化和复杂化的安全威胁。未来的数据安全技术将集成多种安全措施和技术,例如威胁情报、行为分析、入侵检测和响应等,以提供更全面、协同的安全防护能力。

猜你喜欢
数据安全智能管理
枣前期管理再好,后期管不好,前功尽弃
云计算中基于用户隐私的数据安全保护方法
智能前沿
智能前沿
智能前沿
智能前沿
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
“这下管理创新了!等7则
大数据安全搜索与共享