《數(shù)據(jù)安全法》中指出���,數(shù)據(jù)安全,是指通過采取必要措施�����,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)���,以及具備保障持續(xù)安全狀態(tài)的能力��。這也對應了數(shù)據(jù)安全當前的三大痛點:合法利用��、有效保護和保障持續(xù)�����。
《報告》認為���,數(shù)據(jù)安全的第一痛點是個人信息保護監(jiān)管應對難度增加���。數(shù)字經(jīng)濟時代的數(shù)據(jù)價值挖掘,必須符合日漸趨嚴的合規(guī)監(jiān)管要求�,如何在個人信息收集、使用過程中保障個人信息主體的自決權利����,并平衡數(shù)字化發(fā)展需求與保障個人信息安全之間的矛盾,成為亟待解決的問題���。
第二痛點是賬號����、權限�����、API成為數(shù)據(jù)保護的脆弱環(huán)節(jié)。這其中�,包括了特權賬號成為最嚴重的“安全漏洞”之一,以及IT新環(huán)境下權限問題成為安全嚴峻挑戰(zhàn)��,API防護被忽視已成數(shù)據(jù)安全最大風險敞口等等��。
圖: 不同場景下API使用情況 來源:Imvision:《Enterprise API Security Survey》報告 第三痛點是數(shù)據(jù)安全狀態(tài)持續(xù)保障難以落地��。包括數(shù)據(jù)分布廣泛����、規(guī)模海量�����,數(shù)據(jù)資產(chǎn)難以梳理�����,數(shù)據(jù)流轉(zhuǎn)快速場景復雜��,安全防護遇到空前挑戰(zhàn)��,以及數(shù)據(jù)訪問來源多范圍廣,聯(lián)防聯(lián)控難以實施���,只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護來實現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”���,全局化的、體系化的聯(lián)防聯(lián)控淪為紙上談兵��。
五大關鍵舉措解決數(shù)據(jù)安全痛點
圍繞這三大痛點��,《報告》梳理了五大關鍵舉措���,分別要解決個人信息保護合規(guī)的問題����、身份賬號安全問題�����、復雜訪問場景下的權限控制問題�,以及面向整體數(shù)據(jù)的安全態(tài)勢及運營問題。
首先��,在面向隱私方面���,需要管理與技術結合助力個人信息保護合規(guī)落地��?���!?/strong>報告》認為,企業(yè)的個人信息保護合規(guī)建設工作不僅僅是編制隱私政策文件����,簡單修改公司產(chǎn)品,增加提醒和通知等內(nèi)容���,個人信息保護合規(guī)建設工作將是一個復雜而持續(xù)的過程��,技術將發(fā)揮不可或缺的作用��。
其次,面向特權方面�,需要特權賬號安全治理持續(xù)強化安全內(nèi)控。特權賬號的管理作為數(shù)據(jù)資產(chǎn)防護極為關鍵的環(huán)節(jié)����,已經(jīng)在2018年、2019年連續(xù)兩年被Gartner評為十大安全項目之首���。特權賬號的治理���,需要建立管控機制覆蓋特權賬號生命周期���,通過技術手段持續(xù)監(jiān)控特權賬號各類潛在風險,確保賬號安全可知��、可管�����、可控��、可查�����。
第三�,面向權限方面,需要基于零信任數(shù)據(jù)動態(tài)授權�����,來賦能精細化管控。數(shù)據(jù)安全訪問的痛點是信任問題��,而動態(tài)授權體系是數(shù)字化時代解決信任問題的手段�,需要從實體安全、身份可信����、業(yè)務合規(guī)三個目標出發(fā),進行動態(tài)細粒度授權及訪問控制��,實現(xiàn)對應用和數(shù)據(jù)的�、服務,API接口����、大數(shù)據(jù)平臺、數(shù)據(jù)庫行�����、列等級別的精準管控����。其中零信任數(shù)據(jù)動態(tài)授權體系�,則是授權能力的落地。
圖 :基于屬性的數(shù)據(jù)動態(tài)授權機制 來源:奇安信科技集團股份有限公司 第四�����,面向接口方面,需要搭建安全閉環(huán)完善API安全防護體系����。通過將API的安全能力和組件,并嵌入到業(yè)務體系���,構建自適應的內(nèi)生安全機制����,并按照持續(xù)“發(fā)現(xiàn)”����、“監(jiān)測”、“防護”��、“響應”的安全模型進行整體的API安全體系建設��。
最后�����,在持續(xù)保障方面,圍繞數(shù)據(jù)安全態(tài)勢感知來統(tǒng)籌數(shù)據(jù)安全運營���。數(shù)字化時代的信息化環(huán)境是動態(tài)的�����,數(shù)據(jù)資產(chǎn)的分布是廣泛的�����,數(shù)據(jù)流動的路徑是復雜的�����,數(shù)據(jù)違規(guī)的風險也是隱蔽的���,數(shù)據(jù)安全管理的需求是可擴展的,因此需要用體系化��,全局化的安全思路來應對這些新需求�、新挑戰(zhàn),而建立一套完整的�,全面的數(shù)據(jù)安全運營態(tài)勢感知中心來指導數(shù)據(jù)安全體系建設。
圖:數(shù)據(jù)安全運營總體架構 來源:奇安信科技集團股份有限公司 《報告》最后對數(shù)據(jù)安全建設提出了三方面建議�����,包括聚焦關鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設�、結合業(yè)務流程深化數(shù)據(jù)安全工作開展、高度重視技術創(chuàng)新破局作用等���。
在《報告》發(fā)布的同時�,奇安信還發(fā)布了對應五大舉措落地的數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件��,分別為特權衛(wèi)士���、權限衛(wèi)士��、API衛(wèi)士��、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知運營中心��,簡稱“一中心四衛(wèi)士”�,旨在幫助企業(yè)解決當下最迫切的痛點問題��,穩(wěn)步有序落地體系化建設���,提升整體數(shù)據(jù)安全能力�。
