8月17-8月18日,BCS 2022大灣區網絡安全峰會在深圳成功舉辦。會上,多位嘉賓圍繞數字時代網絡安全建設,網絡安全產業發展等議題,共謀發展思路、建設新規劃。
美創科技CTO周杰應邀出席,并在零信任安全論壇發表《基于零信任的數據安全風險治理》主題演講。
數字經濟的時代,數據要素正在發揮越來越大的作用,數據的作用和價值越來越高,但也帶來了不勝枚舉的安全風險和挑戰。《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例》等法規條例的陸續出臺實施,標志著數據安全建設必要性提至新的高度。
周杰表示,組織機構做好數據安全,首先需要充分認知數據所面臨的風險。一方面移動辦公、業務上云等新的環境安全風險、一方面數據需要跨業務、跨系統、跨部門,多跨場景下的數據風險。如何開展面對數據風險的感知、理解、計算、預測、防護全過程變得更為迫切。
以某政數局數據匯聚、共享、交換為例:省、市、縣三級,需要逐層數據匯聚,當省級單位把數據匯總之后處理之后還要分流給市單位、縣單位。在此過程中,數據打破原有安全域內流動的約束,接觸面迅速擴大,與數據相關的應用、人員等更為復雜且快速變化,這些原因都在導致傳統基于靜態邊界保護的網絡安全和數據安全保護措施不斷弱化,甚至失效。
美創認為數據安全風險治理首先需要在零信任理念和思想的指導下,建立合規認知、數據資產梳理、數據安全風險管控、持續監管運營的數據安全理念,在數據安全建設過程中把握從身份、資產、行為三個層面,結合風險治理六大維度實現切實有效的數據安全防護。
2020年美創發布新一代數據安全架構,提出了零信任2.0架構,通過以人為中心的身份管理、訪問控制、動態防護及持續的信任評估,在數據安全建設中以資產構建防護邊界,建立從內到外的防護鏈,讓數據時刻處于保護之中。
周杰介紹,美創基于十余年數據安全建設經驗,主張從六大維度來進行數據安全風險治理和評估,并且按照嚴重程度、發生概率構建風險評分系統,這六大維度分別是:資產、身份、合規、行為、訪問上下文、入侵生命周期。
第一,資產維度是風險治理最好的出發點
第二,身份維度,身份維度定義了信任度和作用域
第三,合規維度,任何違規行為都是風險
第四,行為維度,行為固有模式
第五,訪問上下文,環境上下文和操作上下文
第六,入侵生命周期,特征就是風險治理素材
并通過風險賦能動態身份調整、資產重要度、敏感度識別、訪問控制系統管理及充分可視化讓用戶直觀感受安全問題。
風險作為人和技術的界面,讓人可以從風險的可視化感知安全問題。風險治理、身份治理以及資產治理是安全體系中的三大支柱。通過風險評估暴露組織的安全問題,通過風險治理降低組織面臨的安全問題。讓數據在安全可控的前提下進一步釋放價值。
最終以DSMM數據安全能力成熟度模型、以及零信任2.0數據安全架構等為參考模型,通過脫敏、加密、水印、審計、訪問控制等數據安全技術能力,構建體系化數據安全建設,落實數據安全相關制度,數據全生命周期各階段的安全運營常態化,建立良好的數據安全運營機制和動態協同能力,將數據安全風險控制在可接受范圍,實現數據在哪里安全就在哪里。
