《數(shù)據(jù)安全法》中指出����,數(shù)據(jù)安全�����,是指通過采取必要措施���,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)�����,以及具備保障持續(xù)安全狀態(tài)的能力�。這也對應(yīng)了數(shù)據(jù)安全當(dāng)前的三大痛點:合法利用、有效保護和保障持續(xù)�。
《報告》認(rèn)為,數(shù)據(jù)安全的第一痛點是個人信息保護監(jiān)管應(yīng)對難度增加�。數(shù)字經(jīng)濟時代的數(shù)據(jù)價值挖掘,必須符合日漸趨嚴(yán)的合規(guī)監(jiān)管要求�����,如何在個人信息收集�����、使用過程中保障個人信息主體的自決權(quán)利����,并平衡數(shù)字化發(fā)展需求與保障個人信息安全之間的矛盾,成為亟待解決的問題�����。
第二痛點是賬號�、權(quán)限、API成為數(shù)據(jù)保護的脆弱環(huán)節(jié)�����。這其中���,包括了特權(quán)賬號成為最嚴(yán)重的“安全漏洞”之一��,以及IT新環(huán)境下權(quán)限問題成為安全嚴(yán)峻挑戰(zhàn)�����,API防護被忽視已成數(shù)據(jù)安全最大風(fēng)險敞口等等�。
圖: 不同場景下API使用情況 來源:Imvision:《Enterprise API Security Survey》報告 第三痛點是數(shù)據(jù)安全狀態(tài)持續(xù)保障難以落地���。包括數(shù)據(jù)分布廣泛�����、規(guī)模海量�����,數(shù)據(jù)資產(chǎn)難以梳理����,數(shù)據(jù)流轉(zhuǎn)快速場景復(fù)雜����,安全防護遇到空前挑戰(zhàn)���,以及數(shù)據(jù)訪問來源多范圍廣,聯(lián)防聯(lián)控難以實施�����,只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護來實現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”�����,全局化的�����、體系化的聯(lián)防聯(lián)控淪為紙上談兵��。
五大關(guān)鍵舉措解決數(shù)據(jù)安全痛點
圍繞這三大痛點����,《報告》梳理了五大關(guān)鍵舉措,分別要解決個人信息保護合規(guī)的問題���、身份賬號安全問題���、復(fù)雜訪問場景下的權(quán)限控制問題��,以及面向整體數(shù)據(jù)的安全態(tài)勢及運營問題。
首先����,在面向隱私方面,需要管理與技術(shù)結(jié)合助力個人信息保護合規(guī)落地����。《報告》認(rèn)為����,企業(yè)的個人信息保護合規(guī)建設(shè)工作不僅僅是編制隱私政策文件,簡單修改公司產(chǎn)品�,增加提醒和通知等內(nèi)容,個人信息保護合規(guī)建設(shè)工作將是一個復(fù)雜而持續(xù)的過程�����,技術(shù)將發(fā)揮不可或缺的作用�����。
其次,面向特權(quán)方面�����,需要特權(quán)賬號安全治理持續(xù)強化安全內(nèi)控����。特權(quán)賬號的管理作為數(shù)據(jù)資產(chǎn)防護極為關(guān)鍵的環(huán)節(jié),已經(jīng)在2018年��、2019年連續(xù)兩年被Gartner評為十大安全項目之首����。特權(quán)賬號的治理,需要建立管控機制覆蓋特權(quán)賬號生命周期���,通過技術(shù)手段持續(xù)監(jiān)控特權(quán)賬號各類潛在風(fēng)險�,確保賬號安全可知�����、可管��、可控�、可查����。
第三�����,面向權(quán)限方面�,需要基于零信任數(shù)據(jù)動態(tài)授權(quán)�,來賦能精細(xì)化管控。數(shù)據(jù)安全訪問的痛點是信任問題����,而動態(tài)授權(quán)體系是數(shù)字化時代解決信任問題的手段,需要從實體安全�、身份可信、業(yè)務(wù)合規(guī)三個目標(biāo)出發(fā)����,進行動態(tài)細(xì)粒度授權(quán)及訪問控制,實現(xiàn)對應(yīng)用和數(shù)據(jù)的��、服務(wù)����,API接口����、大數(shù)據(jù)平臺�、數(shù)據(jù)庫行、列等級別的精準(zhǔn)管控��。其中零信任數(shù)據(jù)動態(tài)授權(quán)體系����,則是授權(quán)能力的落地。
圖 :基于屬性的數(shù)據(jù)動態(tài)授權(quán)機制 來源:奇安信科技集團股份有限公司 第四�����,面向接口方面����,需要搭建安全閉環(huán)完善API安全防護體系。通過將API的安全能力和組件�,并嵌入到業(yè)務(wù)體系,構(gòu)建自適應(yīng)的內(nèi)生安全機制���,并按照持續(xù)“發(fā)現(xiàn)”���、“監(jiān)測”����、“防護”�、“響應(yīng)”的安全模型進行整體的API安全體系建設(shè)。
最后��,在持續(xù)保障方面��,圍繞數(shù)據(jù)安全態(tài)勢感知來統(tǒng)籌數(shù)據(jù)安全運營�����。數(shù)字化時代的信息化環(huán)境是動態(tài)的����,數(shù)據(jù)資產(chǎn)的分布是廣泛的���,數(shù)據(jù)流動的路徑是復(fù)雜的����,數(shù)據(jù)違規(guī)的風(fēng)險也是隱蔽的����,數(shù)據(jù)安全管理的需求是可擴展的�,因此需要用體系化��,全局化的安全思路來應(yīng)對這些新需求�、新挑戰(zhàn),而建立一套完整的����,全面的數(shù)據(jù)安全運營態(tài)勢感知中心來指導(dǎo)數(shù)據(jù)安全體系建設(shè)。
圖:數(shù)據(jù)安全運營總體架構(gòu) 來源:奇安信科技集團股份有限公司 《報告》最后對數(shù)據(jù)安全建設(shè)提出了三方面建議����,包括聚焦關(guān)鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設(shè)、結(jié)合業(yè)務(wù)流程深化數(shù)據(jù)安全工作開展����、高度重視技術(shù)創(chuàng)新破局作用等。
在《報告》發(fā)布的同時���,奇安信還發(fā)布了對應(yīng)五大舉措落地的數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件�����,分別為特權(quán)衛(wèi)士�、權(quán)限衛(wèi)士、API衛(wèi)士�����、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知運營中心���,簡稱“一中心四衛(wèi)士”����,旨在幫助企業(yè)解決當(dāng)下最迫切的痛點問題����,穩(wěn)步有序落地體系化建設(shè),提升整體數(shù)據(jù)安全能力����。
