《數據安全法》實施在即,專家告訴你如何建設數據安全能力
2021/8/27 17:59:56

當前,我國連續出臺一系列關于數據安全的法律法規,從立法到執法,監管的步伐日益加速,數據安全的法律體系雛形漸成。在安全合規趨緊的當下,各組織加強數據安全能力建設已是勢所必然。

數據安全能力是指數據在流動過程中,組織為了保障數據的保密性、完整性、可用性而在安全規劃、安全管理、安全技術、安全運營等方面采取的一系列活動。

對此,如何建設數據安全能力,將圍繞數據安全能力建設的驅動力、數據安全能力建設、數據安全規劃能力建設、數據安全管理能力建設、數據安全技術能力建設、數據安全運營能力建設等方面作分享。


01數據安全能力建設的驅動力

合規驅動
《網絡安全法》、《數據安全法》、《網絡安全等級保護條例》、《關鍵信息基礎設施保護條例》、《數據安全管理辦法》等國內法律法規中明確了組織在數據安全方面的合規要求。歐盟正式施行《通用數據保護條例》(簡稱GDPR),掀起了個人數據保護立法的改革浪潮。
業務驅動
伴隨云計算、大數據、人工智能等新興技術的飛速發展,數據作為支撐這些前沿技術存在與發展的生產資料,已經成為組織的核心資產,受到前所未有的重視與保護。
風險驅動
數據生命周期指的是數據從創建到銷毀的整個過程,包括采集、存儲、處理、應用、流動和銷毀等環節。通過對數據全生命周期各階段進行針對性的風險分析。


02數據安全能力建設

數據安全能力建設目標

在分析數據安全在合規層面、業務層面和風險層面所面臨的挑戰,融合業務、管理、技術、運營等方面的需求后,需實現組織數據資產可視、數據血緣可溯、數據風險可控、數據威脅可管。


數據安全能力建設思路

隨著組織業務的豐富和擴展,數據越來越多種多樣,越來越龐大,相應的數據安全問題也變得越來越復雜。近年來,一些安全相關的機構紛紛提出數據安全的實踐體系、方法論與解決方案。主要分為兩類:一類是“由上而下”的數據安全治理體系;另一類是數據安全能力成熟度模型體系。


數據安全治理從平衡業務需求、風險、合規、威脅到實施安全產品,為保護產品配置策略。


數據安全能力成熟度模型圍繞數據的生命周期,并結合業務的需求以及監管法規的要求,持續不斷的提升組織整體的數據安全能力,從而形成以數據為核心的安全框架。




數據安全能力建設框架

數據安全能力建設并非單一產品或平臺的構建,而是覆蓋數據全部使用場景的數據安全體系建設。為了有效地實踐數據安全能力,形成數據安全的閉環,我們需要一個系統化的數據安全能力建設框架。


03數據安全規劃能力建設

業務場景識別

識別業務數據使用的場景,是數據安全能力建設的出發點,業務數據場景識別以數據生命周期為基礎,通過對數據采集場景、數據存儲場景、數據傳輸場景、數據處理場景、數據使用場景、數據銷毀場景的分析,梳理資產、數據、用戶、權限等要求,指導各個能力維度的建設。實現以場景化方式指導安全技術、管理、運營能力進行落地。


數據風險評估

數據安全風險評估從業務場景識別結果著手,以敏感數據為中心、以數據生命周期為主線、以敏感數據場景為著力點,關注敏感數據場景、承載敏感數據的業務流程、敏感數據流轉、相應業務活動中涉及的各類業務執行人員及權限,分析并評估相關業務處理活動中存在的權限提升、信息泄露、用戶冒用、數據篡改,行為抵賴等數據安全威脅及風險。


數據分類分級

數據分類級是數據安全能力建設中的一個關鍵部分,是建立統一、準確、完善的數據架構的基礎,是實現集中化、專業化、標準化數據管理的基礎。數據分類分級可以全面清晰地厘清數據資產,確定應采取的數據安全防護策略和管控措施,在保證數據安全的基礎上促進數據開放共享。


04數據安全管理能力建設

構建組織機構

在建設數據安全能力體系過程中,從決策到管理,都離不開業務部門的參與和配合。設計數據安全的組織架構時,可按照決策層、管理層、執行層、員工和合作伙伴、監督層的組織架構設計。


建立人員能力

數據安全的人員能力主要包括幾個維度,數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。


制定制度流程

制度流程需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯邏輯,在內容上不能重復或矛盾。


05數據安全技術能力建設

數據安全采集

數據采集階段主要的風險集中在采集源、采集終端、采集過程中,包括采集階段面臨的非授權采集、數據分類分級不清、敏感數據識別不清、采集時缺乏細粒度的訪問控制、數據無法追本溯源、采集到敏感數據的泄密風險、采集終端的安全性以及采集過程的事后審計等。


數據安全加密

在數據存儲和傳輸階段,需要建立相關加密措施來保障數據在存儲、傳輸過程中的機密性、完整性和可信任性。


數據訪問控制

為了保證在數據生命周期的各個階段和不同場景下的數據機密性和完整性,允許合法使用者訪問數據資產,防止非法使用者訪問數據資產,防止合法使用者對數據資產進行非授權的操作訪問,往往需要對數據訪問權限加以控制和管理。


針對用戶的不同需求,可以采用基于角色訪問控制、基于風險的訪問控制、基于屬性訪問控制等技術,通過制定基于主體屬性和客體屬性的細粒度訪問控制授權策略來靈活設定用戶對數據的使用權限,從而實現數據細粒度的訪問控制。


數據泄露防護

數據源于業務系統,數據的下載和傳播都是人為操作,需要通過邊界(網絡、終端、虛擬化等物理邊界和邏輯邊界進行泄漏,所以,數據泄漏防護的核心思想就是沿著數據傳遞方向逐級進行防護,進而達到降低風險的效果。


數據安全脫敏

敏感數據在使用過程中存在被非法泄露、被非授權篡改、假冒、非法使用等安全風險。而數據脫敏,即在保留數據原始特征的同時改變它的部分數值,避免未經授權的人非法獲取組織敏感數據。借助數據脫敏,信息依舊可以被使用并與業務相關聯,不會違反相關規定,而且也避免了數據泄露的風險。


目前數據脫敏的技術主要有三種:基于數據失真/擾亂技術、數據加密技術和數據限制發布技術。


數據安全審計

數據控制權的轉移帶來新的審計問題,由于數據處理各方對數據都具有訪問權限,加上數據本身具有易復制、易擴散的特點,導致在發生數據泄露等安全事件時,往往難以界定安全責任。因此,數據安全審計需要由以系統為核心向以數據為核心進行轉變。


數據安全銷毀

數據銷毀主要是指獲得組織、用戶的授權許可或請求后對數據進行清除或銷毀。使用組織授權的技術和方法對敏感信息進行清除或銷毀,保證無法還原,并且具備安全審計能力。數據安全銷毀能夠提供數據銷毀過程的安全審計功能,審計覆蓋到各系統每個用戶,對數據銷毀過程中的重要用戶行為和重要安全事件保留審計日志并進行審計。


06數據安全運營能力建設

數據資產管控

結合業務場景界識別結果,通過數據資產管控技術,建立面向統一數據調度方式,形成良性數據共享機制,提高數據置信度、優化模型合理性、數據流轉更清晰,管理權責更明確,在以成效為導向的價值標準下,數據資產管控無疑將成為組織數據安全能力建設核心支點。


安全策略執行

組織在采取適當的技術手段的基礎上,建立與組織數據安全策略一致的安全保護機制,執行各類流程和程序以維護和管理數據資產。


持續安全監控

組織制定適當的活動,實施對內部數據資產面臨的風險和組織外部的威脅情報的持續安全監控,確保能夠準確地檢測到異常和事件,了解其潛在影響,及時驗證保護措施的有效性。


應急響應恢復

組織制定并實施適當的活動,以便對檢測到的數據安全事件采取行動,并恢復由于事件而受損的任何功能或服務,以減少數據安全事件的影響。


人員能力培養

組織的數據安全管理能力、技術能力、運營能力建設等推進落地終究離不開人的執行,組織內不同部門、不等層級及不同來源的員工,在不同場景下直接和間接地接觸數據資產,所以風險始終存在于人身上,需要逐步提升人員的安全意識,加強人員的數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。


總結 #
組織業務發展越來越依賴數據資產,在有效地利用數據,最大限度發揮大數據的價值的同時,也面臨著數據帶來的諸多安全隱患問題,如隱私泄漏,數據管理、數據可用性和完整性破壞等,確保數據資產的安全是目前重點關注的問題。
文章來源:美亞柏科
聯系熱線:

027-8787 8082

027-8779 7150

版權所有:武漢朋鼎科技有限公司 鄂ICP備12003326號-1

返回 回頂部
久久精品九九亚洲精品