“數據安全工作既不能完全依賴自身,也不能完全依賴外部廠商,只有發揮各自優勢,結合組織自身對業務的深刻理解與第三方數據安全產商的專業能力,形成混合團隊,才能更好地解決數據安全管理機制建設和數據安全服務運行的問題。”
5月12日,由嘶吼安全產業研究院主辦的《博觀約取·精微入神 2022數據安全產業競合力洞察報告》發布會如期在線上開展,各數據安全廠商相約線上,共同探討數據安全產業的發展現狀及未來方向。深信服安全BG產品管理部高級產品規劃專家羅維榮應邀參加發布會,并分享了深信服圍繞保護數據處理活動的工作思路和解決方案。
近年來,數據資源聚合共享日益頻繁,數據作為新型生產要素2020年已被 國 務 院 寫進了政策文件。隨著數據價值的增加,國內外黑客組織竊取數據的行為越來越猖獗,數據泄露事件、數據濫用事件層出不窮。因此,國家對數據安全的監管和處罰越來越嚴格,數據安全工作的責任也越來越大。
網絡安全攻防態勢的組織化、武器化,使得保護聚合后的數據愈發困難,開展數據安全工作,更要面臨業務、應用、團隊、技術、運營等方面的多重考驗。在此背景下,該如何有效地開展數據安全工作?羅維榮分享了深信服的數據安全建設思路和解決方案——
1. 突破認知,從更宏觀的視角認識數據安全
如今,數據安全已經不再只是應用耦合里面的一個數據而已了。從國家層面來看,數據主權已經成為了一個非常重要的議題。從社會層面來看,數據安全也不單單只是某個數據處理單位部門,或者某個應用考慮的范疇。
只有從國家數據安全監管部門、行業數據安全管理部門、眾多數據處理使用部門,以及被保護的數據權利主體等多方關系出發,整體考慮數據安全工作的意義和內容,以數據安全治理作為整個數據安全工作開展的龍頭,圍繞著個人信息保護和重要數據保護這兩條最關鍵的主線,通過數據安全的管理體系、運行體系、技術體系和監督管理體系來全面展開,數據安全的建設才可行。
2. 找準切入點,以合規為抓手保護數據處理活動
從2021年開始,國家相繼頒布并實施了多部數據安全相關的法律法規及安全標準,這些法律法規、安全標準的框架,對開展數據安全工作具有重要指導意義。而遵循相關法律法規的相關要求,本身也是開展數據安全工作的前提。因此,深信服認為,以合規為抓手來啟動組織的數據安全建設工作是一個合理、可行的路徑。
3. 敏捷開放,構建數據安全新理念
近些年數據資產的發展可謂是步入了“快車道”,隨之而來的,是數據的應用和保護場景的日益豐富且復雜。傳統的數據安全產品種類與數量眾多、部署方式各異、策略管理位置分散、監測容易產生盲區,建設和使用復雜,很難適應現有的數據保護場景。對此,深信服提出了“敏捷開放,持續賦能,護航數字化”的數據安全理念,希望采用敏捷開放的安全架構來不斷適應新的威脅與合規的發展。
在數據安全能力層面,深信服追求將數據安全能力跟數據流動的各個環節進行深度融合,來滿足數據流動的需要。
同時,由于業務在不斷地發展,數據在不斷地變化,數據安全的管控能力、監測能力、防護能力也應該有持續演進的能力,所以將數據安全能力平臺化,保持對整個組織整體數據安全能力的持續賦能是非常重要的。基于這樣的理念,我們才能夠在持續不斷的來護航我們各個組織的數字化的進程。
要做到敏捷開放,持續賦能,具體而言有“四化”——
場景化:
從每個單位自身的重要業務場景入手,建設數據保護能力。
組件化:
將數據安全能力深度融合在端到端的數據流動鏈路當中,避免因基礎設施龐雜帶來的產品組件碎片化、難以部署、難以管理的問題,有效保護數據,同時簡化管理。
平臺化:
平臺化也可以稱為中臺化,就是把數據資產集中到一個平臺或中臺進行管理。組織的數據資產是一個全局化的對象,因此圍繞整個數據資產的分布流動,要進行全局化的風險監測,全局化的安全管控,因此平臺化非常重要。
服務化:
引入外部的專業資源和專業力量,結合組織自身對業務理解,發揮各自優勢,更好地保護數據處理活動。
4. 循序漸進,建設數據安全解決方案
基于敏捷開放的數據安全理念,深信服提出了一套簡單有效的數據安全解決方案,并通過五個步驟,具體闡述了數據安全建設的流程和方法。
第一步,梳理數據資產
明確數據資產是數據安全建設的前提。由于數據資產在不斷地擴張和流動,所以需要持續對其進行梳理。
在這個部分,“一圖兩清單”及AI賦能是關鍵。一圖即建立全局化的數據流轉地圖,兩清單就是數據資產清單、數據權責清單。如果依賴人工輸出“一圖兩清單”,不僅消耗巨大,且操作時間慢,效果差,這時候,AI算法技術就派上了用場。使用AI算法技術進行數據分類分級,能夠大大簡化整個數據資產的動態識別,提升數據分析的精準能力和組織持續管理數據資產的能力。
第二步,評估組織的數據安全風險
明確了數據資產的分布,我們還需要非常精準地知道組織當中的數據安全風險分布。從合規風險、管理風險,活動風險、技術風險等方面,精細化分析組織自身的關鍵重點在哪,有哪些問題需要優先解決。
第三步,建設數據安全機制和團隊
數據安全涉及部門眾多,有業務部門、應用開發部門、數據管理部門、合規部門,當然也有網絡安全部門。所以,單靠網絡安全部門,要做好數據安全工作是非常困難的。因此,結合組織的實際情況建章立制,構建適合自身的數據安全管理團隊、流程和機制非常重要。
需要注意的是:“數據安全工作既不能完全依賴自身,也不能完全依賴外部廠商,只有發揮各自優勢,結合單位自身對業務的深刻理解與第三方數據安全產商的專業能力,形成混合團隊,才能更好地解決數據安全管理機制建設和數據安全服務運行的問題。”
針對不同的情況,深信服推出了兩類重要的客戶服務保障:一類是體系化、個性化、復雜程度較高的戰略執行規劃,圍繞數據管理體系的建設幫助用戶構建自己的管理體系。另一類則是針對各個行業形成標準化、模塊化、行業化的輕咨詢服務能力,幫助用戶在短時間內用比較低的預算,快速構建適合自身的數據安全管理體系。
第四步,建設數據保護能力
了解完風險并建立起機制以后,就要圍繞重要的業務場景和關鍵的處理活動,開始有針對性地來保護組織自身的數據處理活動了。
首先,將數據安全的保護能力植入到數據流轉端到端的全鏈路各個環節中,實現整個數據全生命周期的保護能力。
其次,構建以數據為中心的風險監測能力,從而不斷地發現敏感數據的分布、流轉和泄露,在數據流轉過程中不斷地分析新的風險,形成事前有預防,事中有監測,事后有溯源的完整數據保護能力。
第五步,持續運營優化組織的數據安全水平
通過全局化的風險監測,持續運營優化組織的數據安全水平,通過持續的運營,不斷提高數據保護的效果和成熟度。
深信服認為,可視化能力是實現運營服務的基礎,深信服的可視化由三個方面構成:數據資產可視化、數據風險可視化、數據訪問操作行為可視化,三大可視能力為深信服的運營服務提供了良好保障。
外防竊取、內防濫用是運營服務的核心能力。深信服針對外防竊取的鑒黑技術能力,能夠發現有組織的攻擊、未知威脅、高級威脅,及時發現并阻斷數據竊取行為。針對內防濫用的鑒白技術能力,能夠快速發現內部人員的異常行為,從而阻止內部數據濫用。
那么,深信服的數據安全解決方案有哪些優勢呢?
首先,圍繞數據安全應用的訪問、API的訪問,能夠全面監測敏感數據流轉,有效掌控全局數據安全隱患;
其次,基于敏捷開放的數據安全能力建設,融合碎片化的組件能力,提供簡單有效的整體安全防護能力;
最后,深信服作為專業的網絡安全廠商,擁有非常強的應對復雜攻擊和未知威脅的能力,能夠形成外防內控的安全體系。
深信服數據安全解決方案基于《數據安全法》和《個人信息保護法》等法律法規的要求和實際的數據安全風險場景,通過人工智能和機器學習等先進技術,為政府、教育、醫療等各個行業用戶提供面向業務場景的數據安全建設體系,讓數據使用變得更加合規、安全。
