《數(shù)據(jù)安全法》中指出,數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。這也對應(yīng)了數(shù)據(jù)安全當(dāng)前的三大痛點:合法利用、有效保護和保障持續(xù)。
《報告》認(rèn)為,數(shù)據(jù)安全的第一痛點是個人信息保護監(jiān)管應(yīng)對難度增加。數(shù)字經(jīng)濟時代的數(shù)據(jù)價值挖掘,必須符合日漸趨嚴(yán)的合規(guī)監(jiān)管要求,如何在個人信息收集、使用過程中保障個人信息主體的自決權(quán)利,并平衡數(shù)字化發(fā)展需求與保障個人信息安全之間的矛盾,成為亟待解決的問題。
第二痛點是賬號、權(quán)限、API成為數(shù)據(jù)保護的脆弱環(huán)節(jié)。這其中,包括了特權(quán)賬號成為最嚴(yán)重的“安全漏洞”之一,以及IT新環(huán)境下權(quán)限問題成為安全嚴(yán)峻挑戰(zhàn),API防護被忽視已成數(shù)據(jù)安全最大風(fēng)險敞口等等。
第三痛點是數(shù)據(jù)安全狀態(tài)持續(xù)保障難以落地。包括數(shù)據(jù)分布廣泛、規(guī)模海量,數(shù)據(jù)資產(chǎn)難以梳理,數(shù)據(jù)流轉(zhuǎn)快速場景復(fù)雜,安全防護遇到空前挑戰(zhàn),以及數(shù)據(jù)訪問來源多范圍廣,聯(lián)防聯(lián)控難以實施,只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護來實現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”,全局化的、體系化的聯(lián)防聯(lián)控淪為紙上談兵。
五大關(guān)鍵舉措解決數(shù)據(jù)安全痛點
圍繞這三大痛點,《報告》梳理了五大關(guān)鍵舉措,分別要解決個人信息保護合規(guī)的問題、身份賬號安全問題、復(fù)雜訪問場景下的權(quán)限控制問題,以及面向整體數(shù)據(jù)的安全態(tài)勢及運營問題。
首先,在面向隱私方面,需要管理與技術(shù)結(jié)合助力個人信息保護合規(guī)落地。《報告》認(rèn)為,企業(yè)的個人信息保護合規(guī)建設(shè)工作不僅僅是編制隱私政策文件,簡單修改公司產(chǎn)品,增加提醒和通知等內(nèi)容,個人信息保護合規(guī)建設(shè)工作將是一個復(fù)雜而持續(xù)的過程,技術(shù)將發(fā)揮不可或缺的作用。
其次,面向特權(quán)方面,需要特權(quán)賬號安全治理持續(xù)強化安全內(nèi)控。特權(quán)賬號的管理作為數(shù)據(jù)資產(chǎn)防護極為關(guān)鍵的環(huán)節(jié),已經(jīng)在2018年、2019年連續(xù)兩年被Gartner評為十大安全項目之首。特權(quán)賬號的治理,需要建立管控機制覆蓋特權(quán)賬號生命周期,通過技術(shù)手段持續(xù)監(jiān)控特權(quán)賬號各類潛在風(fēng)險,確保賬號安全可知、可管、可控、可查。
第三,面向權(quán)限方面,需要基于零信任數(shù)據(jù)動態(tài)授權(quán),來賦能精細(xì)化管控。數(shù)據(jù)安全訪問的痛點是信任問題,而動態(tài)授權(quán)體系是數(shù)字化時代解決信任問題的手段,需要從實體安全、身份可信、業(yè)務(wù)合規(guī)三個目標(biāo)出發(fā),進行動態(tài)細(xì)粒度授權(quán)及訪問控制,實現(xiàn)對應(yīng)用和數(shù)據(jù)的、服務(wù),API接口、大數(shù)據(jù)平臺、數(shù)據(jù)庫行、列等級別的精準(zhǔn)管控。其中零信任數(shù)據(jù)動態(tài)授權(quán)體系,則是授權(quán)能力的落地。
第四,面向接口方面,需要搭建安全閉環(huán)完善API安全防護體系。通過將API的安全能力和組件,并嵌入到業(yè)務(wù)體系,構(gòu)建自適應(yīng)的內(nèi)生安全機制,并按照持續(xù)“發(fā)現(xiàn)”、“監(jiān)測”、“防護”、“響應(yīng)”的安全模型進行整體的API安全體系建設(shè)。
最后,在持續(xù)保障方面,圍繞數(shù)據(jù)安全態(tài)勢感知來統(tǒng)籌數(shù)據(jù)安全運營。數(shù)字化時代的信息化環(huán)境是動態(tài)的,數(shù)據(jù)資產(chǎn)的分布是廣泛的,數(shù)據(jù)流動的路徑是復(fù)雜的,數(shù)據(jù)違規(guī)的風(fēng)險也是隱蔽的,數(shù)據(jù)安全管理的需求是可擴展的,因此需要用體系化,全局化的安全思路來應(yīng)對這些新需求、新挑戰(zhàn),而建立一套完整的,全面的數(shù)據(jù)安全運營態(tài)勢感知中心來指導(dǎo)數(shù)據(jù)安全體系建設(shè)。
《報告》最后對數(shù)據(jù)安全建設(shè)提出了三方面建議,包括聚焦關(guān)鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設(shè)、結(jié)合業(yè)務(wù)流程深化數(shù)據(jù)安全工作開展、高度重視技術(shù)創(chuàng)新破局作用等。
在《報告》發(fā)布的同時,奇安信還發(fā)布了對應(yīng)五大舉措落地的數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件,分別為特權(quán)衛(wèi)士、權(quán)限衛(wèi)士、API衛(wèi)士、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知運營中心,簡稱“一中心四衛(wèi)士”,旨在幫助企業(yè)解決當(dāng)下最迫切的痛點問題,穩(wěn)步有序落地體系化建設(shè),提升整體數(shù)據(jù)安全能力。