國內《網絡安全法》落地后威力初顯,來自國際的GDPR法案即將落地。近期,facebook事件又給數據安全領域填了一把火,國際知名咨詢機構Gartner預測數據安全市場迎來大爆發,2018年被定位為數據安全元年,不夸張。
5月17日,由安全牛主辦的CS6 2018數據安全解決方案大會迎來深圳站。數據安全話題已經從國際權威報告落地到國內的企業建設方案,再到真正的安全實踐。安華金和作為國內數據安全的行業翹楚,受邀參會分享數據安全建設思路以及寶貴的實踐經驗。
安華金和方案總監宣淦淼發表《構建數據庫縱深安全防御體系》的主題演講,站在產業高度,宣淦淼帶領大家全局了解數據安全的標準化趨勢,縱觀當前數據安全市場現狀,并提供應對當前現狀與風險的數據安全建設思路與真實應用案例,傳遞用戶視角的企業思考與實踐。
隨著數據安全市場的爆發,數據安全標準化趨勢越來越突出。單2016年、2017年,已發布和報送審批的大數據安全國家標準制定項目就呈現出了方向細分、門類豐富的特點,《個人信息安全規范》、《大數據安全管理指南》、《數據安全能力成熟度模型》等等不一而足。
可見,數據安全的重要性越來越被看到,數據安全越來越受到重視,并從政策法規層面被驅動落實。
數據庫“安全底子”不統一
尤其非關系型數據庫存在安全問題,大數據安全的基礎保障體系尚未建立。
互聯網業務創新帶來前所未有新風險
在萬物互聯,數據共享的互聯網時代,各個行業的系統之間實現了緊密聯結,業務的訪問直達數據庫,與此同時,安全防護體系的搭建卻落后不止一步,一旦前端出現安全問題,后端數據將面臨巨大風險。
共享交換時代數據去隱私化處理
在數據共享趨勢下,數據安全問題凸顯,數據的去隱私化成為焦點,因此,網安法對于網絡運營者個人信息隱私的保護提出了明確要求。
上云后數據主管權問題
云計算時代,企業上云最擔憂的莫過于云上數據的安全,云裳數據的主管權一刻沒有厘清,這種擔憂就一刻不會離開。
數據正在引領新的商業模式的變革,但顯然,當前整體數據安全思路是缺乏的,數據的管理與安全使用未成體系。如何進行數據資產管理而確保數據的高效、安全使用被提上日程。
實際上,正是因為對現狀的清晰把握,安華金和結合數據安全建設實踐率先在國內提出了數據安全治理理念,并將企業全線數據安全產品列入“數據安全治理”框架,開啟數據安全治理技術落地踐行之路。
在上午的專家閉門會上,宣淦淼分享了數據安全治理的建設思路:完整的數據安全治理流程應該包括:
建組織(高層領導參與,建立大數據處、數據安全治理處)、
做評估(按照數據全生命周期評估問題和整改點)、
立制度(數據安全總綱領、分類分級、人員權限、流程管理)
設平臺(1、摸底:風險核查與資產梳理;2、管控:基于人和業務,應用、開發、測試、運維、共享等落實技術措施;3、稽核:根據資產情況、人員、數據流動、行為畫像,找出好人中的壞人)。
值得一提的是,閉門會議上能感受到用戶企業的思路轉變:由從前數據驅動價值到數據即價值的認知變化;從過去認為安全是可有可無的事,到如今意識到需要加大對安全的投入;從過去事后審計追責轉向事先管控、事中實時風險阻斷。
作為一家在數據庫安全領域具備資深技術實力的安全廠商,我們更愿意向前走一步,直抵數據最核心的領地,IT系統的“金庫”——數據庫。現場,安華金和方案總監宣淦淼帶著對上述現狀的思考,分享了《構建數據庫縱深安全防御體系》的主題演講。
該防御體系覆蓋DBMS、訪問路徑、核心數據,實現了從外到內全方位的縱深防御。而貫徹這套防御體系,需要依此走通這四步:
1、檢查預警
1)自動分析數據庫弱點和漏洞,實現數據資產風險核查。
2)摸清資產和數據底賬,建立分類分級制度,實現敏感數據的識別定位。
2、主動防御
1)外部:通過虛擬補丁、權限防控、閾值控制,防范外部“壞人”、“壞事”。
2)內部:利用“工單+審批”的審批防控手段拿回數據控制權,杜絕好人中的“壞人”。
3、底線防守
1)數據脫敏技術:防止開發、測試、分析場景下的第三方生產數據泄漏。
2)數據加密技術:防止生產數據泄露,如數據存儲介質丟失、DBA權限泄漏、直接復制文件等情況造成數據泄密。
4、事后追查
1)使用兼顧審計、溯源與分析的產品,實現數據庫訪問審計、事件溯源、業務系統故障分析。
2)建立一套完善的、有效的風險識別機制,做到識別、定位風險,并發出警告。
安華金和基于多年的實踐積累,構建的這套縱深防御體系已經落地到無數客戶案例之中。宣淦淼在現場也不吝分享了我們在各個行業、領域的案例應用,如省政務云大數據風險調查,省級政務云大數據平臺解決方案,金融行業的數據庫審計稽核等項目;以及在教育行業、運營商行業、人社行業等的防御體系思路應用。
與用戶一起走出數據安全困境,讓數據自由而安全的使用,是安華金和的使命所在。
產品咨詢:4000 258 365 
