【安防展覽網(wǎng) 視點跟蹤】隨著互聯(lián)網(wǎng)時代信息技術(shù)的不斷更新迭代�����,在數(shù)字化轉(zhuǎn)型中的日常生活��、企業(yè)發(fā)展��、國家建設(shè)以及社會治理中大數(shù)據(jù)技術(shù)發(fā)揮著深刻作用���。
由于互聯(lián)網(wǎng)無國界性���,在我們享受互聯(lián)網(wǎng)帶來的服務(wù)與便利時,裂變式增長的用戶數(shù)據(jù)及信息也在世界的各個角落不斷積累�、沉淀。然而數(shù)據(jù)天然所附的信息屬性與價值屬性���,一旦被不當(dāng)利用��,將會給個人��、企業(yè)甚至國家?guī)聿豢赡孓D(zhuǎn)甚至無法估量的損失��。
目前�����,大數(shù)據(jù)已被視為國家基礎(chǔ)性戰(zhàn)略資源�,各行各業(yè)的大數(shù)據(jù)應(yīng)用正迅猛發(fā)展��,但隨之而來的數(shù)據(jù)安全問題也日益加劇�����,有時甚至限制了大數(shù)據(jù)應(yīng)用的發(fā)展���?��;诖耍瑹o論是國家機關(guān)還是企事業(yè)單位�,都在加緊數(shù)據(jù)安全體系的建設(shè),甚至項目立項時就需要完成數(shù)據(jù)安全的設(shè)計�。
專家說
美亞柏科全資子公司北京美亞網(wǎng)安公司總經(jīng)理金輝博士表示����,建議從“人�����、數(shù)據(jù)���、場景”三個維度�,建立健全公共數(shù)據(jù)分類分級�、權(quán)限管理、技術(shù)防控�����、異常風(fēng)險識別等制度體系�����,切實做好數(shù)據(jù)防泄漏����、防濫用、防篡改;同時著力構(gòu)建數(shù)據(jù)安全管理���、技術(shù)和運營三大體系����,形成數(shù)據(jù)安全閉環(huán)管理機制��,筑牢數(shù)據(jù)安全防線�����,全力保障公共數(shù)據(jù)安全���。再從實際出發(fā)設(shè)計應(yīng)對因黑客攻擊、內(nèi)鬼泄密��、操作失誤�����、違規(guī)使用等導(dǎo)致的數(shù)據(jù)安全事件及各類隱患����、風(fēng)險、問題。
綜合上述各個方面進行體系化設(shè)計���,不僅需要提供單一化的功能解決客戶在某個方面的問題和需求��,而且需要對數(shù)據(jù)的價值利用與安全防護可持續(xù)運營方面進行功能設(shè)計���,讓客戶在日常工作中能更加便捷、可靠的使用數(shù)據(jù)�����。
下面����,我們進一步梳理了當(dāng)前解決數(shù)據(jù)安全問題的一些工作思路,供大家參考:
聚焦實用價值建設(shè)數(shù)據(jù)安全工作的思路
解決數(shù)據(jù)安全問題���,從六個方面入手:數(shù)據(jù)資產(chǎn)臺賬→數(shù)據(jù)管理責(zé)任→數(shù)據(jù)管理制度→數(shù)據(jù)交換管理→安全技術(shù)措施→數(shù)據(jù)審計能力��;
首先我們先分析一下問題在哪里�,針對問題進行解決方案的建立:
1.數(shù)據(jù)資產(chǎn)臺賬問題主要體現(xiàn)在如下三個方面:
1)資產(chǎn)狀況不清
2)訪問狀況不清
3)權(quán)限狀況不清
數(shù)據(jù)資產(chǎn)梳理是一個持續(xù)的過程�,數(shù)據(jù)和業(yè)務(wù)是不斷發(fā)生變化的,因此需要借助自動化工具來開展數(shù)據(jù)資產(chǎn)管理工作�����。準確掌握數(shù)據(jù)資產(chǎn)狀況,是開展數(shù)據(jù)安全體系建設(shè)的基礎(chǔ)條件��。在此基礎(chǔ)上可以開展數(shù)據(jù)資產(chǎn)與零信任體系環(huán)境感知相融合�����。
2.數(shù)據(jù)管理責(zé)任問題主要體現(xiàn)在如下兩個方面:
1)數(shù)據(jù)資產(chǎn)未認責(zé)
2)管理角色的職責(zé)邊界模糊
數(shù)據(jù)安全管理角色一般情況會由研發(fā)��、運維�����、安全�����、運營人員來兼任��,沒有獨立的團隊或虛擬團隊����,導(dǎo)致權(quán)責(zé)不清�����,不利于整體提升數(shù)據(jù)安全防護能力。建立數(shù)據(jù)安全管理角色至關(guān)重要:數(shù)據(jù)資產(chǎn)管理員����、數(shù)據(jù)庫管理員、安全審計員�、安全檢測工程師、數(shù)據(jù)運維工程師�����、權(quán)限管理員等��。在此基礎(chǔ)上可以開展數(shù)據(jù)資產(chǎn)與零信任體系身份認證中心相融合�。
3.數(shù)據(jù)制度不完善問題主要體現(xiàn)在如下兩個方面:
1)制度規(guī)范未落實或難落實
2)缺少稽核手段
數(shù)據(jù)管理制度通過數(shù)據(jù)安全咨詢規(guī)劃建立一套切實可行的制度規(guī)范,同時制定出數(shù)據(jù)安全管控措施與SLA評價指標���,避免由于缺少稽核手段���,導(dǎo)致數(shù)據(jù)安全管理部門無法及時掌握執(zhí)行情況。在此基礎(chǔ)上可以開展數(shù)據(jù)資產(chǎn)與零信任體系權(quán)限中心相融合�。
4.數(shù)據(jù)交換管理混亂問題主要體現(xiàn)在如下兩個方面:
1)交換共享的方式和接口不標準
2)運維人員和應(yīng)用系統(tǒng)負責(zé)人的數(shù)據(jù)管控壓力大
數(shù)據(jù)會向外部、內(nèi)部和合作伙伴進行交換共享���,隨著開放的接口越來越多����,交換關(guān)系越來越復(fù)雜,將交換共享的方式和接口標準化�����,將會避免出現(xiàn)功能重復(fù)�����、調(diào)用復(fù)雜��、多點登錄等現(xiàn)象��,且不會影響數(shù)據(jù)應(yīng)用的發(fā)展����。在此基礎(chǔ)上可以開展數(shù)據(jù)資產(chǎn)與零信任體系審批中心相融合��。
5.安全技術(shù)措施零散問題主要體現(xiàn)在如下兩個方面:
1)數(shù)據(jù)安全產(chǎn)品功能分散
2)安全能力孤島
數(shù)據(jù)安全能力的建設(shè)也會以組織為單位開展�����,避免各組織分散建設(shè),從數(shù)據(jù)生命周期的統(tǒng)一建立防御體系�。在此基礎(chǔ)上開展數(shù)據(jù)資產(chǎn)與零信任體系策略中心相融合。
6.數(shù)據(jù)審計能力不足問題主要體現(xiàn)在如下兩個方面:
1)安全規(guī)則有效的差異
2)非法的事情���、合規(guī)的操作無審計
通過建立審計對攻擊的操作軌跡和規(guī)律從而發(fā)現(xiàn)安全隱患�,在此基礎(chǔ)上開展數(shù)據(jù)資產(chǎn)與零信任體系審計中心相融合���。只靠數(shù)據(jù)資產(chǎn)與零信任的結(jié)合還是不夠的�����,還需要建立數(shù)據(jù)安全管理體系和對應(yīng)的關(guān)鍵數(shù)據(jù)安全技術(shù)��。
數(shù)據(jù)安全管理體系應(yīng)具備數(shù)據(jù)資產(chǎn)管控能力�、數(shù)據(jù)安全運營能力�����、數(shù)據(jù)業(yè)務(wù)安全管控能力�����、數(shù)據(jù)支撐環(huán)境安全管控能力���、數(shù)據(jù)運維安全管控能力和數(shù)據(jù)安全感知能力六大能力����,結(jié)合關(guān)鍵數(shù)據(jù)安全技術(shù)體系所具備的敏感數(shù)據(jù)識別和脫敏技術(shù)、數(shù)據(jù)泄露防護技術(shù)����、結(jié)構(gòu)化數(shù)據(jù)庫安全技術(shù),覆蓋數(shù)據(jù)全生命周期及重要的數(shù)據(jù)場景��。
數(shù)據(jù)安全是生命線���、對安全事件零容忍���、讓敏感數(shù)據(jù)不出門將是大數(shù)據(jù)安全建設(shè)與運營過中需要堅持的三大安全原則。構(gòu)建大數(shù)據(jù)全生命周期安全體系����,能夠?qū)?shù)字經(jīng)濟、電子政務(wù)等領(lǐng)域的持續(xù)高速發(fā)展提供有效助力���。美亞網(wǎng)安愿與您共同挖掘數(shù)據(jù)價值����,發(fā)揮數(shù)據(jù)作用�����,守護數(shù)據(jù)安全�����,為保障國家安全奉獻力量����。
移動版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號
