《數據安全法》實施在即,專家告訴你如何建設數據安全能力
                                    2021/8/27 17:59:56

                                    當前,我國連續出臺一系列關于數據安全的法律法規,從立法到執法,監管的步伐日益加速,數據安全的法律體系雛形漸成。在安全合規趨緊的當下,各組織加強數據安全能力建設已是勢所必然。

                                    數據安全能力是指數據在流動過程中,組織為了保障數據的保密性、完整性、可用性而在安全規劃、安全管理、安全技術、安全運營等方面采取的一系列活動。

                                    對此,如何建設數據安全能力,將圍繞數據安全能力建設的驅動力、數據安全能力建設、數據安全規劃能力建設、數據安全管理能力建設、數據安全技術能力建設、數據安全運營能力建設等方面作分享。


                                    01數據安全能力建設的驅動力

                                    合規驅動
                                    《網絡安全法》、《數據安全法》、《網絡安全等級保護條例》、《關鍵信息基礎設施保護條例》、《數據安全管理辦法》等國內法律法規中明確了組織在數據安全方面的合規要求。歐盟正式施行《通用數據保護條例》(簡稱GDPR),掀起了個人數據保護立法的改革浪潮。
                                    業務驅動
                                    伴隨云計算、大數據、人工智能等新興技術的飛速發展,數據作為支撐這些前沿技術存在與發展的生產資料,已經成為組織的核心資產,受到前所未有的重視與保護。
                                    風險驅動
                                    數據生命周期指的是數據從創建到銷毀的整個過程,包括采集、存儲、處理、應用、流動和銷毀等環節。通過對數據全生命周期各階段進行針對性的風險分析。


                                    02數據安全能力建設

                                    數據安全能力建設目標

                                    在分析數據安全在合規層面、業務層面和風險層面所面臨的挑戰,融合業務、管理、技術、運營等方面的需求后,需實現組織數據資產可視、數據血緣可溯、數據風險可控、數據威脅可管。


                                    數據安全能力建設思路

                                    隨著組織業務的豐富和擴展,數據越來越多種多樣,越來越龐大,相應的數據安全問題也變得越來越復雜。近年來,一些安全相關的機構紛紛提出數據安全的實踐體系、方法論與解決方案。主要分為兩類:一類是“由上而下”的數據安全治理體系;另一類是數據安全能力成熟度模型體系。


                                    數據安全治理從平衡業務需求、風險、合規、威脅到實施安全產品,為保護產品配置策略。


                                    數據安全能力成熟度模型圍繞數據的生命周期,并結合業務的需求以及監管法規的要求,持續不斷的提升組織整體的數據安全能力,從而形成以數據為核心的安全框架。




                                    數據安全能力建設框架

                                    數據安全能力建設并非單一產品或平臺的構建,而是覆蓋數據全部使用場景的數據安全體系建設。為了有效地實踐數據安全能力,形成數據安全的閉環,我們需要一個系統化的數據安全能力建設框架。


                                    03數據安全規劃能力建設

                                    業務場景識別

                                    識別業務數據使用的場景,是數據安全能力建設的出發點,業務數據場景識別以數據生命周期為基礎,通過對數據采集場景、數據存儲場景、數據傳輸場景、數據處理場景、數據使用場景、數據銷毀場景的分析,梳理資產、數據、用戶、權限等要求,指導各個能力維度的建設。實現以場景化方式指導安全技術、管理、運營能力進行落地。


                                    數據風險評估

                                    數據安全風險評估從業務場景識別結果著手,以敏感數據為中心、以數據生命周期為主線、以敏感數據場景為著力點,關注敏感數據場景、承載敏感數據的業務流程、敏感數據流轉、相應業務活動中涉及的各類業務執行人員及權限,分析并評估相關業務處理活動中存在的權限提升、信息泄露、用戶冒用、數據篡改,行為抵賴等數據安全威脅及風險。


                                    數據分類分級

                                    數據分類級是數據安全能力建設中的一個關鍵部分,是建立統一、準確、完善的數據架構的基礎,是實現集中化、專業化、標準化數據管理的基礎。數據分類分級可以全面清晰地厘清數據資產,確定應采取的數據安全防護策略和管控措施,在保證數據安全的基礎上促進數據開放共享。


                                    04數據安全管理能力建設

                                    構建組織機構

                                    在建設數據安全能力體系過程中,從決策到管理,都離不開業務部門的參與和配合。設計數據安全的組織架構時,可按照決策層、管理層、執行層、員工和合作伙伴、監督層的組織架構設計。


                                    建立人員能力

                                    數據安全的人員能力主要包括幾個維度,數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。


                                    制定制度流程

                                    制度流程需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯邏輯,在內容上不能重復或矛盾。


                                    05數據安全技術能力建設

                                    數據安全采集

                                    數據采集階段主要的風險集中在采集源、采集終端、采集過程中,包括采集階段面臨的非授權采集、數據分類分級不清、敏感數據識別不清、采集時缺乏細粒度的訪問控制、數據無法追本溯源、采集到敏感數據的泄密風險、采集終端的安全性以及采集過程的事后審計等。


                                    數據安全加密

                                    在數據存儲和傳輸階段,需要建立相關加密措施來保障數據在存儲、傳輸過程中的機密性、完整性和可信任性。


                                    數據訪問控制

                                    為了保證在數據生命周期的各個階段和不同場景下的數據機密性和完整性,允許合法使用者訪問數據資產,防止非法使用者訪問數據資產,防止合法使用者對數據資產進行非授權的操作訪問,往往需要對數據訪問權限加以控制和管理。


                                    針對用戶的不同需求,可以采用基于角色訪問控制、基于風險的訪問控制、基于屬性訪問控制等技術,通過制定基于主體屬性和客體屬性的細粒度訪問控制授權策略來靈活設定用戶對數據的使用權限,從而實現數據細粒度的訪問控制。


                                    數據泄露防護

                                    數據源于業務系統,數據的下載和傳播都是人為操作,需要通過邊界(網絡、終端、虛擬化等物理邊界和邏輯邊界進行泄漏,所以,數據泄漏防護的核心思想就是沿著數據傳遞方向逐級進行防護,進而達到降低風險的效果。


                                    數據安全脫敏

                                    敏感數據在使用過程中存在被非法泄露、被非授權篡改、假冒、非法使用等安全風險。而數據脫敏,即在保留數據原始特征的同時改變它的部分數值,避免未經授權的人非法獲取組織敏感數據。借助數據脫敏,信息依舊可以被使用并與業務相關聯,不會違反相關規定,而且也避免了數據泄露的風險。


                                    目前數據脫敏的技術主要有三種:基于數據失真/擾亂技術、數據加密技術和數據限制發布技術。


                                    數據安全審計

                                    數據控制權的轉移帶來新的審計問題,由于數據處理各方對數據都具有訪問權限,加上數據本身具有易復制、易擴散的特點,導致在發生數據泄露等安全事件時,往往難以界定安全責任。因此,數據安全審計需要由以系統為核心向以數據為核心進行轉變。


                                    數據安全銷毀

                                    數據銷毀主要是指獲得組織、用戶的授權許可或請求后對數據進行清除或銷毀。使用組織授權的技術和方法對敏感信息進行清除或銷毀,保證無法還原,并且具備安全審計能力。數據安全銷毀能夠提供數據銷毀過程的安全審計功能,審計覆蓋到各系統每個用戶,對數據銷毀過程中的重要用戶行為和重要安全事件保留審計日志并進行審計。


                                    06數據安全運營能力建設

                                    數據資產管控

                                    結合業務場景界識別結果,通過數據資產管控技術,建立面向統一數據調度方式,形成良性數據共享機制,提高數據置信度、優化模型合理性、數據流轉更清晰,管理權責更明確,在以成效為導向的價值標準下,數據資產管控無疑將成為組織數據安全能力建設核心支點。


                                    安全策略執行

                                    組織在采取適當的技術手段的基礎上,建立與組織數據安全策略一致的安全保護機制,執行各類流程和程序以維護和管理數據資產。


                                    持續安全監控

                                    組織制定適當的活動,實施對內部數據資產面臨的風險和組織外部的威脅情報的持續安全監控,確保能夠準確地檢測到異常和事件,了解其潛在影響,及時驗證保護措施的有效性。


                                    應急響應恢復

                                    組織制定并實施適當的活動,以便對檢測到的數據安全事件采取行動,并恢復由于事件而受損的任何功能或服務,以減少數據安全事件的影響。


                                    人員能力培養

                                    組織的數據安全管理能力、技術能力、運營能力建設等推進落地終究離不開人的執行,組織內不同部門、不等層級及不同來源的員工,在不同場景下直接和間接地接觸數據資產,所以風險始終存在于人身上,需要逐步提升人員的安全意識,加強人員的數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。


                                    總結 #
                                    組織業務發展越來越依賴數據資產,在有效地利用數據,最大限度發揮大數據的價值的同時,也面臨著數據帶來的諸多安全隱患問題,如隱私泄漏,數據管理、數據可用性和完整性破壞等,確保數據資產的安全是目前重點關注的問題。
                                    文章來源:美亞柏科
                                    聯系熱線:

                                    027-8787 8082

                                    027-8779 7150

                                    版權所有:武漢朋鼎科技有限公司 鄂ICP備12003326號-1

                                    返回 回頂部
                                    永久免费无码日韩视频 免费高清理伦片a片快速播放 婷婷色 亚洲成a人片在线观看影院 久久99精品久久久久久齐齐
                                                                      无码亚洲日韩久久中文字幕 亚洲国产精品久久电影欧美 1024国产精品视频一区 亚洲Av一级在线播放 无码aⅴ免费中文字幕久久 请狼友们记住最新域名 十八禁黄色网站 欧美日韩精品亚洲一区二区 免费高清特级毛片A片 亚洲中文字幕 免费无遮挡十八禁污污网站 超清无码A片在线观看不卡免费 久久88 无码AV在线 久久精品人人槡人妻人人玩 午夜看片 情侣民宅偷拍高潮呻吟 香港一级二级三级AV 欧美老肥婆牲交videos 无遮挡H肉动漫网站免费观看 亚洲精品456在线播放 国产一级a片 久久久一本精品99久久精品66 大鸡巴影院 久久精品人人槡人妻人人爱 4日本私人vps生活大片 亚洲天天做日日做天天欢不卡 亚洲成Av人片在线观看无码 日本中文字幕在线精品一区 一级午夜理论片日本中文在线 亚洲日韩中文字幕无码一区 特级婬片女子免费高清视频 中文国产成人精品久久 黄色视频免费 美国一级大黄片 城中村勾搭老熟女啪啪 国产精品无码无需播放器 九九线精品视频在线观看视频 亚洲一级av无码毛片 制服丝袜长腿无码专区第一页 欧美精品偷拍一区二区 日本一级A片在线观看播放 日韩亚洲人成网站在线播放 嫩草影院地址ncyycom 亚洲人成电影在线观看天堂色 亚洲处破女 www 好想被狂躁A片视频无码 αv天堂αv电影亚洲ωa 国产亚洲另类无码专区 日韩久久久久久中文人妻