能力汇聚与释放
-
安策数据加密保护-数字化变革下保障数据安全的对策思考2
(一)在危机中育新机、在变局中开新局(持续性比较分析,细微处洞察事务变迁)。
1. 样本足量问题考量。无论是对威胁洞察、风险研判,在精准度层面都存在一个本质性的问题“样本量的大小”,由于相对于正常状态,数据安全发生威胁还是小概率的,也就是说正常状态的样本量要比非正常状态的样本量多出很多,基于样本正常状态的分析要比基于非正常状态的分析更为科学、准确、覆盖面更广、可参考价值更大。因此,我们要在构建防御能力中,检测对象从数据安全问题转变为,面向检测样本足量的数据安全的正常状态基于首位,其次,在对数据安全非正常状态问题进行检测;
2. 承认漏洞存在的事实。近些年,攻防演练尤为盛行,原本攻防演练的出发点是希望通过攻防演练验证防御能力、找出防御体系漏洞、持续对防御体系进行加固、减少自身漏洞。但直到目前得出来的结论,漏洞并没有因为攻防演练发现问题、解决问题而逐步减少,反而呈现出漏洞递增的状态。因此,我们需要承认漏洞存在的一种客观现实,即使当前漏洞全部修复也并不意味这没有漏洞。所以,我们在建立数据安全防御体系中,需要以与漏洞长期共存的视角出发,建立数据安全防御能力,并考虑隔离漏洞理念,让漏洞与漏洞之间互不影响,当某一漏洞被入侵,只把入侵者锁定在此应用软件本身,不会交叉感染,使风险控制在最小域中。
3. 数据只有在流动中才会持续产生价值。需要保障数据无边无际流动的同时,提升数据安全能力,并非为了提升安全性而去阻断数据的流动,这不利于盘活数据要素经济价值的良性发展。保障数据无边无际的流动,需要承认数据有可能流经到我们所不知道的区域中,同时数据的流通总是从高安全区域流动到低安全区域,最终流动到不受控制的区域。因此,我们需要在“未知流动”和“失控流动”中建立安全保护能力。在不可靠的网络中以人、边界、资产寻求建立可靠的支撑点,并承认无边界访问的事实,并在此基础上定义出新的边界,实现基于上下文的风险动态访问策略,持续判断上下文行为的变化、持续评估信任等级,基于上下文的动态访问控制,简化身份构成,把人、终端、应用、账户之外的其他动态信息从身份中剥离出来,构成上下文空间,使身份和行为在上下文空间中进行活动,并对上下文空间的身份持续开展评估,遵循“旧事物就是可信的、新事物就是不可信的”基本原则,以概率评估的基本方法来影响信任度和风险度。
(二)时代之大变局下,不能只限于一时一事、一城一域(需要深刻而宏阔的时代之变)。
1. 数据安全防护。承认无边界访问事实之上重新定义安全边界,在不可靠的网络中建立人、边界、资产支撑点,以加密重构新边界,把无限开放的供给面与边界最大程度缩小为理念,建立存储域;以资产和边界为主动体,考虑客体、属性、标签、策略访问控制为原则,构建访问域;以降低或者避免外网直接攻击及避免入侵后内网攻击传播为原则,将隐蔽防御与诱饵进行连用,建立终端域;以保障数据可无边无际的流动为前提,以匿名化和脱敏为手段,以让私有数据成为公开数据从而支持无边无际的流动为原则,建立流动域。以简化身份构成、构建上下文空间、建立基于上下文动态变动的持续自适应风险与信息方法为原则,构建管理域。
2. 数据安全统一运营。将运营人员经验与智能化工具有机结合,建立“以人为本、工具为辅”的数据安全运营理念,如使数据安全运营的安全防御效能最大化,需进行分层建设,逐层提供建设辅助能力,为运营人员提供高效数据安全运营辅助,并从“人”、“数据”、“业务”三个维度建立数据安全管控策略,以“人”为中心建立基于行为场景的访问控制策略,以“数据”为中心建立全面的数据库安全审计、容灾备份、数据库智能运维,以“业务”为中心建立基于数据的业务访问、业务接口、业务互联的风险管理,形成监测、分析、响应、报告于一体的风险管理能力,并将数据安全持续运营中形成的能力进行不同维度的可视化呈现,为指挥决策提供态势的感知能力。
3. 数据安全治理。以人员经验为前提,借助数据安全治理工具,持续开展数据安全治理工作,摸清数据资产、确定敏感数据,结合数据全生命周期、数据安全能力模型、开展数据安全风险持续评估。
4. 数据安全自律。结合《数据安全能力成熟度模型》从组织建设、制度流程、技术工具和人员能力四个维度建立赋能培训课程,辅助相关单位建设知法、懂法、用法、落法的相关能力,形成积极开展合规建设、填补自身法律空缺、补齐自身数据安全人才、建立内部人员合规自律意识等,填补数据安全培训服务供给侧存在的较大空白。
(三)小船经不起风浪,巨舰才能顶住惊涛骇浪(能力汇聚与释放)。
1.巨舰。构建数据要素流通中的合规管理和安全治理框架,将合规要求、地方法规、治理、监督、流通环节、基础能力及技术保障进行综合考量,形成能够抵住数据要素流通中面对所有风险的巨舰。
2. 制造巨舰(遵循“五部一体”原则)。
第一步,建立健全数据交易安全规范体系。参考各数据安全标准和指南,建立健全数据交易安全规范体系,覆盖参与数据交易的各行业。
第二步,构建确保数据要素有序流通的基础能力。建立统一的数据分类目录、数据分级原则、数据安全知识库、数据安全组织保障等。
第三步,建立统一的交易数据中转平台。要求经过交易服务平台交易地数据,必须经过平台配套中转平台进行中转,以规范数据供需双方场外交易行为。
第四步,健全交易数据安全技术保障能力。从技术层面、管理层面、流程层面、措施层面进行建立。
第五步,健全数据交易合规监督体系并落实责任。通过数据安全监督审核流程和常态化的数据安全检查,掌握数据交易过程中存在的安全风险和造成事件影响,促建、促管、促改、促防,推动数据交易安全保障体系的优化完善,进一步保障数据交易有序安全开展,同时也具备了数据交易过程中的安全事件取证和溯源能力。
来源:原创、安策数据安全法支持部 | 关键词:数据安全防护 数据交易安全 数据合规 | 受欢迎指数()