《數(shù)據(jù)安全法》中指出,數(shù)據(jù)安全�����,是指通過(guò)采取必要措施����,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力��。這也對(duì)應(yīng)了數(shù)據(jù)安全當(dāng)前的三大痛點(diǎn):合法利用�、有效保護(hù)和保障持續(xù)。
《報(bào)告》認(rèn)為���,數(shù)據(jù)安全的第一痛點(diǎn)是個(gè)人信息保護(hù)監(jiān)管應(yīng)對(duì)難度增加�����。數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)價(jià)值挖掘�,必須符合日漸趨嚴(yán)的合規(guī)監(jiān)管要求,如何在個(gè)人信息收集�、使用過(guò)程中保障個(gè)人信息主體的自決權(quán)利,并平衡數(shù)字化發(fā)展需求與保障個(gè)人信息安全之間的矛盾���,成為亟待解決的問(wèn)題����。
第二痛點(diǎn)是賬號(hào)��、權(quán)限�����、API成為數(shù)據(jù)保護(hù)的脆弱環(huán)節(jié)�。這其中,包括了特權(quán)賬號(hào)成為最嚴(yán)重的“安全漏洞”之一�,以及IT新環(huán)境下權(quán)限問(wèn)題成為安全嚴(yán)峻挑戰(zhàn),API防護(hù)被忽視已成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口等等�。
圖: 不同場(chǎng)景下API使用情況 來(lái)源:Imvision:《Enterprise API Security Survey》報(bào)告 第三痛點(diǎn)是數(shù)據(jù)安全狀態(tài)持續(xù)保障難以落地。包括數(shù)據(jù)分布廣泛�����、規(guī)模海量�����,數(shù)據(jù)資產(chǎn)難以梳理����,數(shù)據(jù)流轉(zhuǎn)快速場(chǎng)景復(fù)雜,安全防護(hù)遇到空前挑戰(zhàn)�����,以及數(shù)據(jù)訪問(wèn)來(lái)源多范圍廣�����,聯(lián)防聯(lián)控難以實(shí)施����,只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護(hù)來(lái)實(shí)現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”,全局化的����、體系化的聯(lián)防聯(lián)控淪為紙上談兵�。
五大關(guān)鍵舉措解決數(shù)據(jù)安全痛點(diǎn)
圍繞這三大痛點(diǎn)�����,《報(bào)告》梳理了五大關(guān)鍵舉措���,分別要解決個(gè)人信息保護(hù)合規(guī)的問(wèn)題���、身份賬號(hào)安全問(wèn)題、復(fù)雜訪問(wèn)場(chǎng)景下的權(quán)限控制問(wèn)題�����,以及面向整體數(shù)據(jù)的安全態(tài)勢(shì)及運(yùn)營(yíng)問(wèn)題���。
首先�����,在面向隱私方面�,需要管理與技術(shù)結(jié)合助力個(gè)人信息保護(hù)合規(guī)落地���?!?/strong>報(bào)告》認(rèn)為,企業(yè)的個(gè)人信息保護(hù)合規(guī)建設(shè)工作不僅僅是編制隱私政策文件�,簡(jiǎn)單修改公司產(chǎn)品��,增加提醒和通知等內(nèi)容���,個(gè)人信息保護(hù)合規(guī)建設(shè)工作將是一個(gè)復(fù)雜而持續(xù)的過(guò)程��,技術(shù)將發(fā)揮不可或缺的作用。
其次�,面向特權(quán)方面,需要特權(quán)賬號(hào)安全治理持續(xù)強(qiáng)化安全內(nèi)控����。特權(quán)賬號(hào)的管理作為數(shù)據(jù)資產(chǎn)防護(hù)極為關(guān)鍵的環(huán)節(jié),已經(jīng)在2018年�����、2019年連續(xù)兩年被Gartner評(píng)為十大安全項(xiàng)目之首�����。特權(quán)賬號(hào)的治理���,需要建立管控機(jī)制覆蓋特權(quán)賬號(hào)生命周期��,通過(guò)技術(shù)手段持續(xù)監(jiān)控特權(quán)賬號(hào)各類(lèi)潛在風(fēng)險(xiǎn)����,確保賬號(hào)安全可知、可管�、可控、可查����。
第三,面向權(quán)限方面�,需要基于零信任數(shù)據(jù)動(dòng)態(tài)授權(quán),來(lái)賦能精細(xì)化管控��。數(shù)據(jù)安全訪問(wèn)的痛點(diǎn)是信任問(wèn)題�,而動(dòng)態(tài)授權(quán)體系是數(shù)字化時(shí)代解決信任問(wèn)題的手段,需要從實(shí)體安全����、身份可信、業(yè)務(wù)合規(guī)三個(gè)目標(biāo)出發(fā)����,進(jìn)行動(dòng)態(tài)細(xì)粒度授權(quán)及訪問(wèn)控制�,實(shí)現(xiàn)對(duì)應(yīng)用和數(shù)據(jù)的����、服務(wù),API接口�����、大數(shù)據(jù)平臺(tái)�、數(shù)據(jù)庫(kù)行�、列等級(jí)別的精準(zhǔn)管控。其中零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)體系����,則是授權(quán)能力的落地。
圖 :基于屬性的數(shù)據(jù)動(dòng)態(tài)授權(quán)機(jī)制 來(lái)源:奇安信科技集團(tuán)股份有限公司 第四����,面向接口方面,需要搭建安全閉環(huán)完善API安全防護(hù)體系����。通過(guò)將API的安全能力和組件���,并嵌入到業(yè)務(wù)體系���,構(gòu)建自適應(yīng)的內(nèi)生安全機(jī)制���,并按照持續(xù)“發(fā)現(xiàn)”�、“監(jiān)測(cè)”、“防護(hù)”��、“響應(yīng)”的安全模型進(jìn)行整體的API安全體系建設(shè)�����。
最后,在持續(xù)保障方面�,圍繞數(shù)據(jù)安全態(tài)勢(shì)感知來(lái)統(tǒng)籌數(shù)據(jù)安全運(yùn)營(yíng)。數(shù)字化時(shí)代的信息化環(huán)境是動(dòng)態(tài)的����,數(shù)據(jù)資產(chǎn)的分布是廣泛的,數(shù)據(jù)流動(dòng)的路徑是復(fù)雜的����,數(shù)據(jù)違規(guī)的風(fēng)險(xiǎn)也是隱蔽的,數(shù)據(jù)安全管理的需求是可擴(kuò)展的���,因此需要用體系化��,全局化的安全思路來(lái)應(yīng)對(duì)這些新需求�����、新挑戰(zhàn),而建立一套完整的�����,全面的數(shù)據(jù)安全運(yùn)營(yíng)態(tài)勢(shì)感知中心來(lái)指導(dǎo)數(shù)據(jù)安全體系建設(shè)����。
圖:數(shù)據(jù)安全運(yùn)營(yíng)總體架構(gòu) 來(lái)源:奇安信科技集團(tuán)股份有限公司 《報(bào)告》最后對(duì)數(shù)據(jù)安全建設(shè)提出了三方面建議��,包括聚焦關(guān)鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設(shè)����、結(jié)合業(yè)務(wù)流程深化數(shù)據(jù)安全工作開(kāi)展、高度重視技術(shù)創(chuàng)新破局作用等。
在《報(bào)告》發(fā)布的同時(shí)��,奇安信還發(fā)布了對(duì)應(yīng)五大舉措落地的數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件�,分別為特權(quán)衛(wèi)士、權(quán)限衛(wèi)士����、API衛(wèi)士、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢(shì)感知運(yùn)營(yíng)中心�,簡(jiǎn)稱“一中心四衛(wèi)士”,旨在幫助企業(yè)解決當(dāng)下最迫切的痛點(diǎn)問(wèn)題��,穩(wěn)步有序落地體系化建設(shè)��,提升整體數(shù)據(jù)安全能力��。
