《數(shù)據(jù)安全法》中指出��,數(shù)據(jù)安全���,是指通過(guò)采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)���,以及具備保障持續(xù)安全狀態(tài)的能力����。這也對(duì)應(yīng)了數(shù)據(jù)安全當(dāng)前的三大痛點(diǎn):合法利用�����、有效保護(hù)和保障持續(xù)�。
《報(bào)告》認(rèn)為,數(shù)據(jù)安全的第一痛點(diǎn)是個(gè)人信息保護(hù)監(jiān)管應(yīng)對(duì)難度增加���。數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)價(jià)值挖掘�����,必須符合日漸趨嚴(yán)的合規(guī)監(jiān)管要求���,如何在個(gè)人信息收集��、使用過(guò)程中保障個(gè)人信息主體的自決權(quán)利����,并平衡數(shù)字化發(fā)展需求與保障個(gè)人信息安全之間的矛盾�����,成為亟待解決的問(wèn)題��。
第二痛點(diǎn)是賬號(hào)��、權(quán)限��、API成為數(shù)據(jù)保護(hù)的脆弱環(huán)節(jié)�。這其中,包括了特權(quán)賬號(hào)成為最嚴(yán)重的“安全漏洞”之一���,以及IT新環(huán)境下權(quán)限問(wèn)題成為安全嚴(yán)峻挑戰(zhàn)�����,API防護(hù)被忽視已成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口等等��。
圖: 不同場(chǎng)景下API使用情況 來(lái)源:Imvision:《Enterprise API Security Survey》報(bào)告 第三痛點(diǎn)是數(shù)據(jù)安全狀態(tài)持續(xù)保障難以落地�。包括數(shù)據(jù)分布廣泛�����、規(guī)模海量�����,數(shù)據(jù)資產(chǎn)難以梳理�,數(shù)據(jù)流轉(zhuǎn)快速場(chǎng)景復(fù)雜����,安全防護(hù)遇到空前挑戰(zhàn)����,以及數(shù)據(jù)訪(fǎng)問(wèn)來(lái)源多范圍廣,聯(lián)防聯(lián)控難以實(shí)施�,只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護(hù)來(lái)實(shí)現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”,全局化的��、體系化的聯(lián)防聯(lián)控淪為紙上談兵�����。
五大關(guān)鍵舉措解決數(shù)據(jù)安全痛點(diǎn)
圍繞這三大痛點(diǎn),《報(bào)告》梳理了五大關(guān)鍵舉措�,分別要解決個(gè)人信息保護(hù)合規(guī)的問(wèn)題、身份賬號(hào)安全問(wèn)題���、復(fù)雜訪(fǎng)問(wèn)場(chǎng)景下的權(quán)限控制問(wèn)題����,以及面向整體數(shù)據(jù)的安全態(tài)勢(shì)及運(yùn)營(yíng)問(wèn)題��。
首先��,在面向隱私方面����,需要管理與技術(shù)結(jié)合助力個(gè)人信息保護(hù)合規(guī)落地?����!?/strong>報(bào)告》認(rèn)為�,企業(yè)的個(gè)人信息保護(hù)合規(guī)建設(shè)工作不僅僅是編制隱私政策文件,簡(jiǎn)單修改公司產(chǎn)品�����,增加提醒和通知等內(nèi)容,個(gè)人信息保護(hù)合規(guī)建設(shè)工作將是一個(gè)復(fù)雜而持續(xù)的過(guò)程���,技術(shù)將發(fā)揮不可或缺的作用。
其次��,面向特權(quán)方面�����,需要特權(quán)賬號(hào)安全治理持續(xù)強(qiáng)化安全內(nèi)控��。特權(quán)賬號(hào)的管理作為數(shù)據(jù)資產(chǎn)防護(hù)極為關(guān)鍵的環(huán)節(jié)�����,已經(jīng)在2018年���、2019年連續(xù)兩年被Gartner評(píng)為十大安全項(xiàng)目之首�����。特權(quán)賬號(hào)的治理�,需要建立管控機(jī)制覆蓋特權(quán)賬號(hào)生命周期,通過(guò)技術(shù)手段持續(xù)監(jiān)控特權(quán)賬號(hào)各類(lèi)潛在風(fēng)險(xiǎn)��,確保賬號(hào)安全可知�����、可管�����、可控��、可查�����。
第三�,面向權(quán)限方面,需要基于零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)��,來(lái)賦能精細(xì)化管控�。數(shù)據(jù)安全訪(fǎng)問(wèn)的痛點(diǎn)是信任問(wèn)題,而動(dòng)態(tài)授權(quán)體系是數(shù)字化時(shí)代解決信任問(wèn)題的手段����,需要從實(shí)體安全����、身份可信���、業(yè)務(wù)合規(guī)三個(gè)目標(biāo)出發(fā)��,進(jìn)行動(dòng)態(tài)細(xì)粒度授權(quán)及訪(fǎng)問(wèn)控制,實(shí)現(xiàn)對(duì)應(yīng)用和數(shù)據(jù)的��、服務(wù)���,API接口�����、大數(shù)據(jù)平臺(tái)�、數(shù)據(jù)庫(kù)行��、列等級(jí)別的精準(zhǔn)管控��。其中零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)體系����,則是授權(quán)能力的落地��。
圖 :基于屬性的數(shù)據(jù)動(dòng)態(tài)授權(quán)機(jī)制 來(lái)源:奇安信科技集團(tuán)股份有限公司 第四���,面向接口方面,需要搭建安全閉環(huán)完善API安全防護(hù)體系��。通過(guò)將API的安全能力和組件���,并嵌入到業(yè)務(wù)體系���,構(gòu)建自適應(yīng)的內(nèi)生安全機(jī)制,并按照持續(xù)“發(fā)現(xiàn)”��、“監(jiān)測(cè)”���、“防護(hù)”�、“響應(yīng)”的安全模型進(jìn)行整體的API安全體系建設(shè)��。
最后����,在持續(xù)保障方面,圍繞數(shù)據(jù)安全態(tài)勢(shì)感知來(lái)統(tǒng)籌數(shù)據(jù)安全運(yùn)營(yíng)����。數(shù)字化時(shí)代的信息化環(huán)境是動(dòng)態(tài)的�����,數(shù)據(jù)資產(chǎn)的分布是廣泛的�,數(shù)據(jù)流動(dòng)的路徑是復(fù)雜的����,數(shù)據(jù)違規(guī)的風(fēng)險(xiǎn)也是隱蔽的,數(shù)據(jù)安全管理的需求是可擴(kuò)展的��,因此需要用體系化�,全局化的安全思路來(lái)應(yīng)對(duì)這些新需求�����、新挑戰(zhàn)�,而建立一套完整的,全面的數(shù)據(jù)安全運(yùn)營(yíng)態(tài)勢(shì)感知中心來(lái)指導(dǎo)數(shù)據(jù)安全體系建設(shè)����。
圖:數(shù)據(jù)安全運(yùn)營(yíng)總體架構(gòu) 來(lái)源:奇安信科技集團(tuán)股份有限公司 《報(bào)告》最后對(duì)數(shù)據(jù)安全建設(shè)提出了三方面建議,包括聚焦關(guān)鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設(shè)����、結(jié)合業(yè)務(wù)流程深化數(shù)據(jù)安全工作開(kāi)展�、高度重視技術(shù)創(chuàng)新破局作用等�����。
在《報(bào)告》發(fā)布的同時(shí)�����,奇安信還發(fā)布了對(duì)應(yīng)五大舉措落地的數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件����,分別為特權(quán)衛(wèi)士、權(quán)限衛(wèi)士�����、API衛(wèi)士��、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢(shì)感知運(yùn)營(yíng)中心���,簡(jiǎn)稱(chēng)“一中心四衛(wèi)士”��,旨在幫助企業(yè)解決當(dāng)下最迫切的痛點(diǎn)問(wèn)題�,穩(wěn)步有序落地體系化建設(shè),提升整體數(shù)據(jù)安全能力����。
