Web
山石網科相關場景

· 安全數字運營 · 安全連接 · 安全數據 · 安全計算

Image is not available

數據安全治理解決方案

隨著數字經濟時代來臨,帶來產業技術路線革命性變化和商業模式突破性創新,行業應用快速推廣,大數據產業市場空間巨大,規模迅速增長,已進入快速發展期,企業數據中心及其大數據分析成果敏感程度大幅提升,企業核心業務數據潛在價值持續增高,極易成為攻擊者的首選目標。隨著數據集中處理、廣泛共享、交叉使用,數據流動路徑交錯復雜,數據由固定資產變為頻繁流通資產,極大增加了數據暴露面,極易通過買賣、欺詐等手段非法獲取數據,且犯罪成本低,這就導致了數據安全問題日益凸顯,企業數據安全面臨嚴峻挑戰?;谶@一情況,山石基于自身理解發布數據安全治理體系理念、框架及解決方案幫助企業用戶更好理解數據安全治理,合力構建數據安全防護體系。

挑戰與需求

企業管理者缺少數據安全治理全局思想:由于數據安全涉及安全問題很多,企業用戶在數據安全建設的過程難以制定合適的數據安全戰略及總體框架,容易產生無效投入。

數據安全合規壓力大:在過去的幾年里,國家密集出臺《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例》(征求意見稿)以及《數據出境安全評估辦法》,再加上行業相關政策和標準,使得企業在數據安全建設過程中面臨巨大合規壓力。

數據安全建設獨立且分散:業務數據流轉部門眾多,容易造成數據管理分散且獨立的情況。

數據安全治理落地難:部分企業在做數據咨詢規劃時,沒有充分考慮清楚數據安全治理落地施行問題,導致規劃無法有效執行,使得數據安全治理難以取得效果。

方案理念:“雙維驅動,人機共治”

數據安全治理永遠不是從零開始的,它一定是基于企業現有的安全能力建設現狀,通過以數據為中心的視角,對現有的體系進行擴展以實現對數據的安全治理管控。大多數企業在此前或多或少已有了一定的安全體系,基本上都是圍繞著網絡環境和信息系統開展的安全防護工作,主要聚焦在了網絡安全和信息安全方面。而數據安全是以數據為中心,圍繞著數據全生命周期進行建設以提高企業數據安全保障能力,所以通過企業對數據安全愿景的制定,由數據安全管理層根據企業的戰略目標以及實際業務情況具體討論建設方式。

“人機共治”的理念是希望通過引入零信任的思維,將通常數據安全治理中考慮較少的人員、應用系統、設備、資源等方向都進一步納入到整體治理過程的考量范圍中。其中,“人治”的核心思路就是從身份的角度出發,對每一次人員訪問的身份、權限以及數據操作行為進行監測使得企業能夠更加科學有效的防范內部或外部人員發起的攻擊。在“機治”的過程中一方面通過零信任體系將整體數據安全防護能力與業務系統更加緊密的結合,同時通過AI賦能對流轉在系統中的數據做到更加精準和智能地研判,進而使“機治”的過程更智能,提高管理人員的效率,實現“人機共治”的有機結合。

方案關鍵支撐體系:數據安全治理體系2.0

山石提出了以“制度規范體系”“技術防護體系”“運營管理體系”為核心,“監督審計體系”“應急響應體系”為支撐的數據安全治理五大體系架構。并通過引入零信任理念,進一步的對數據安全的防護能力進行了提升。

其中通過制度規范體系建設,指引企業在技術防護體系中的構建方向,也指引著運營管理體系中的組織建設和人員能力建設的方向;同時,運營管理體系的建立也確保了制度規范體系的落地執行,和技術防護體系發揮實際作用;而技術防護體系作為關鍵工具,為制度規范體系和運營管理體系提供了實際的工具抓手。

除此之外,人員也是數據安全風險頻發的主要因素,因此在數據安全治理體系框架充分考慮人員對整體數據安全防護的影響,主要針對人員從網絡和終端側進行持續動態分析和策略調整,結合數據確權和零信任理念,進一步保障整體數據安全治理體系的穩定運行。

方案落地解決方案

目前來看,數據安全治理主要是基于企業現有的安全能力建設現狀,通過以數據為中心的視角,對現有的體系進行擴展以實現對數據的安全治理管控的有效措施。構建數據安全治理體系是一個包含了目標、組織、流程、技術等多個維度的系統工程。對于企業來說,未來數據安全治理不是一個可選項,而是一個必選項。不是單個技術突破問題,而是一套完整的治理體系問題。不是僅限于技術單一思考維度,而是多維視角的立體建構能力。不是單一防護點堆砌,而是建立數據全生命周期的多維立體主動防護體系。

因此,相對于傳統網絡安全規劃建設,數據安全治理對“科學性”、“系統性”提出更高要求?;谶@一現狀,山石網科發布了以數據為中心的數據治理體系,并通過組織建設、現狀摸底、數據分類分級、風險評估、數據安全核心體系建設、數據安全支撐體系建設、持續面向全員的培訓等七個步驟(如下圖)有序、科學地完成企業數據安全治理建設工作。

第一步組織建設:無論是數據安全法還是Gartner-DSG框架,都要求數據安全治理要有專門的組織和人員負責,并定崗定責。在企業數據安全治理的過程中,成立專門的數據安全治理機構是首要條件。該組織需結合企業自身情況,拉通各部門之間的人力資源,制定數據安全戰略方針以及符合自身的數據安全治理的政策,并落實和監督政策有效執行。

第二步現狀摸底:為了對企業數據進行綜合安全治理,首要任務便是對數據資產現狀進行清查摸底。通過多種方式來發現數據所有者、存儲位置、整體業務架構等信息。因此首先需要對企業用戶進行前期摸底調研:了解關于數據安全治理的目標,相應的業務系統,業務系統開放形式、訪問方式、交互方式,業務系統相關數據是否涉及個人隱私信息,數據存儲的形式、位置及訪問的方式,數據的重要性、影響范圍和影響程度,現有信息系統建設及數據安全建設情況等等,將企業數據安全現狀了解清楚。

第三步分類分級:基于行業標準與安全實踐經驗制定合理、有效的數據分類分級規則,對企業相關數據資產進行全盤梳理,為實現“核心數據安全優先,其余效率優先”的差異化防護打下基礎。通過訪談方式、文件審核、查看系統、查看數據庫等方式,梳理現有企業數據覆蓋的數據范圍及預測未來可能覆蓋的數據范圍,形成數據目錄結構;依據國家相關的法律法規及行業規范,考慮數據對國家安全、社會穩定和公民安全的重要程度,結合以往項目實踐經驗及相關標準,完成對企業的數據分類分級規范設計;依據相關數據分類分級規范,通過分類分級工具結合人工的方式,對企業的數據進行標簽管理,明確數據的類別級別;同時隨著政策變化和日常實際運營情況,及時對數據的分類分級規范、工具內策略及時調整更新。

第四步風險評估:完成分級分類過程后,結合風險評估和相應數據安全標準發現企業數據安全管控能力方面的技術與管理的脆弱性及威脅性,從而發現自身數據安全問題和短板,明確數據安全保護需求,為數據安全治理的建設指明方向。

第五步核心能力建設:為遵循同步規劃、同步建設、同步運行的思想,有序落地數據安全防護措施,需在理解合規要求以及緊貼業務場景的前提下,構建制度規范、運營管理、技術防護三個核心體系。

第六步監督應急體系建設:構建監審和應急兩套相輔相成的支撐體系,一方面通過預警通報機制形成PDCA閉環 保證整套框架持續完善。另一方面 通過應急機制和演練機制,不斷保證全套體系框架的活性,保障數據安全治理可持續健康運轉。

第七步數據安全培訓: 數據安全治理是一項持續的、需要全員參與、全民維護的工程,所以需要提升全民關于數據安全的意識,定期開展相關培訓,增強包括數據安全委員會相關人員在內的數據安全知識和能力。

方案價值

科學布局,構建數據安全能力:山石網科立足于安全行業和實際需求兩端,創見性的提煉了一套基于“雙維驅動,人機共治”的數據安全治理思路,目的是將復雜問題結構化,結構化的問題簡單化,讓企業用戶在數據安全建設過程中有章可循。

對標合規政策,確保企業數據安全管理合法合規:山石數據安全治理工作充分考慮當前數據安全合規要求,確保企業數據安全建設滿足相應數據安全相關政策、法規要求。

統一規劃,解決數據安全管理孤島:山石數據安全治理體系通過統一的組織、管理及規劃,形成合力,使得數據安全戰略、策略及措施的高度統一,杜絕數據安全管理孤島問題。

易于落地,按圖索驥完成數據安全建設落地:對正在發愁如何開展部署數據安全治理的企業和組織,提供了一套完整的數據安全認知理論的同時給出關鍵落地路徑(七步法),幫助企業輕松完成數據安全治理項目落地

相關產品

數據庫審計與防護系統
山石網科數據庫審計與防護系統能夠實時監控、識別、阻斷外部黑客攻擊以及來自內部高權限用戶的數據竊取行為,幫助用戶應對來自外部和內部的數據庫安全威脅。
靜態數據脫敏系統
山石網科靜態數據脫敏系統可對敏感數據進行數據抽取、數據漂白,幫助用戶解決生產數據面向測試、開發、培訓和數據共享場景的數據脫敏需求。
漏洞掃描系統
山石網科漏洞掃描系統能夠提供全方位的系統掃描檢查與評估方案,有效提升整個網絡的健壯性、安全性。
數據安全綜合治理平臺
山石網科數據安全治理平臺是一款為數據安全治理工作提供數據資產可視化、安全能力集中化、運營分析體系化、制度流程標準化的支撐平臺。
應用(API)數據安全審計系統
山石網科應用(API)數據安全審計系統可幫助用戶全盤梳理應用接口,識別接口調用的異常用戶行為,有效降低應用API調用造成的數據泄露風險,為數據開放共享提供安全保障。
數據庫加密與訪問控制系統
山石網科數據庫加密與訪問控制系統可根據用戶權限進行透明加解密,應用于防止數據存儲介質丟失、越權訪問等造成的敏感數據泄露情形。

產品試用

姓名

單位

所屬地區

手機號碼

Email 地址

留言

如您需要幫助,可立即與我們聯系:400-693-0555轉 1 / 400-828-6655 轉 1

微信掃碼? ?在線咨詢