研究背景
随着数字化时代的迅猛发展,大数据对企业、社会和民生的影响愈发巨大,大数据的应用对于国家发展、企业运营乃至个体经营起到至关重要的作用,引领大数据成为当今时代的主题。然而,当下大到政府机密和行业敏感数据泄露,小到个人隐私暴露等不良事件对公共和个人安全造成了巨大的威胁。因此,大数据的应用既是机遇也是挑战,本篇以企业数据安全管控为例,探讨有利于保障企业数据安全的防护体系。
1、数据安全标准
国际层面,各国出台了如GDPR、CCPA、COPPA、LGPD等。
国内层面,近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。
2、数据生命周期
在GB/T—《数据管理能力成熟度评估模型》中,对大数据环境下数据在组织业务中的流转情况定义了数据的6个生命周期阶段,如图所示。
(1)数据产生,指新的数据产生或现有数据内容发生显著改变或更新的阶段。数据的产生包括两种形式:一种是组织内部系统生成的数据;另一种是组织从外部收集的数据。
(2)数据存储,指非动态数据以任何数字格式进行物理存储的阶段。
(3)数据使用,指组织在内部针对动态数据进行的一系列活动的组合。
(4)数据传输,指数据在组织内部从一个实体通过网络流动到另一个实体的过程。
(5)数据共享,指数据经由组织与外部组织及个人产生交互的阶段。
(6)数据销毁,指利用物理或技术手段使数据永久或临时性不可用的过程。数据的安全防护过程覆盖数据生命周期的6个阶段,
3、数据安全防护体系
为了使企事业单位在开展数据安全体系建设时有所参照,解决建设前、中、后的顾虑和困惑。腾讯安全结合自身的应用与实践经验,绘制并发布数据安全能力图谱,助力企业规划数据安全体系的建设、加强数据场景的安全管控能力、指导数据安全能力的评估等场景。
腾讯数据安全能力图谱提出了六大能力,即数据资产管控能力、数据安全运营能力、数据业务安全管控能力、数据支撑环境安全管控能力、数据运维安全管控能力和数据安全感知能力,覆盖了数据全生命周期及重要的数据场景,在开展数据安全体系建设时具有很高的参考价值。
4、构建数据安全保障体系
企业开展数据安全建设工作需从组织架构、管理制度、安全团队建设、技术保障等方面构建全方位的数据安全保障体系
(1)组织架构。设计数据安全组织架构时,可按照决策层、管理层、执行层和监督层的架构进行设计。
(2)管理制度。参考ISO管理体系框架,从方针、管理制度、操作规范、记录表单等维度构建统一的数据安全管理体系。其中,方针是一级文件,主要描述企业在数据安全管理方面的目标、策略、愿景、基本原则和管理要求等。
(3)安全团队建设。数据安全团队建设必须要着眼未来、立足长远,可从文化、能力、意识等方面开展团队建设,与时俱进地学习新知识和新技术,才能更准确、更高效地识别企业新风险,才能更精准地处理风险,从而适应日益严峻的内外部环境,实现更有效的风险防范。
(4)技术保障。基于企业数据全流程管理并结合技术手段,聚焦数据承载平台,提升终端数据安全、网络数据安全、平台数据安全和应用数据安全的防护能力,避免数据外泄。其中,涉及到的数据安全技术工具包括系统平台、工具、功能、算法技术等,需从整体进行规划,确保和企业的信息系统进行有效衔接。
(5)风险管理通过建立集安全规划、安全监控、安全审计、安全事件管理、业务连续性于一体的风险管控机制,实现对系统数据安全风险的识别、计量、监测和控制,最终实现安全风险的可控、能控、在控。
5、数据安全管控平台
1)平台规划模块。包括平台内容规划(7项内容)、管控体系固化(7项内容)、平台技术方案设计(5项内容)三大模块的19项内容。如图展示了平台的规划详细模块。
6、数据安全产品分析
代表厂家:北京炼石网络技术有限公司
代表厂家:杭州美创科技有限公司
代表厂家:浙江华途信息安全技术股份有限公司
华途信息根据对项目需求的理解,结合与客户的项目要求,从组织范围、业务范围、系统范围、数据范围等方面开展工作。分为项目启动、现状评估、咨询设计、工具搭建与试点验证、知识转移五个阶段,每个阶段再进行WBS分解,逐步满足项目需求,达到项目目标。
代表厂家:奇安信集团
奇安信网神数据脱敏系统解决企业/组织业务系统的开发\测试、数据交互、业务分析等场景下,敏感数据内容被泄露的问题,为上述场景提供一套数据脱敏保护的解决方案;通过高效、灵活的脱敏算法帮助企业将敏感数据脱敏至仿真数据,即防止数据外泄问题,又可满足场景使用和监管合规要求。
代表厂家:北京天空卫士网络安全技术有限公司
以统一策略为基础,采用深层内容分析、对静态数据、动态数据及使用中的数据进行即时的识别、监控、保护的相关技术。
代表厂家:北京安华金和科技有限公司
数据库攻击精准防护,虚拟补丁防漏洞攻击,业务访问零损耗
