數(shù)據(jù)只有流動(dòng)起來(lái)�����,被使用時(shí)才能體現(xiàn)價(jià)值�����。在共享開(kāi)放時(shí)代��,數(shù)據(jù)共享讓數(shù)據(jù)價(jià)值得以最大化釋放�。
我們?cè)谧分饠?shù)據(jù)價(jià)值的同時(shí)���,要保障數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全�����,這也是數(shù)據(jù)價(jià)值釋放的根基和前提�。那么��,關(guān)注數(shù)據(jù)安全實(shí)際上在關(guān)注三個(gè)問(wèn)題:數(shù)據(jù)如何被使用��?誰(shuí)對(duì)數(shù)據(jù)持有保護(hù)責(zé)任?數(shù)據(jù)是否得到了足夠的安全保護(hù)���?
解決完上述三個(gè)問(wèn)題�,需要再往前走一步�,在開(kāi)啟數(shù)據(jù)安全治理的實(shí)踐中解決掉數(shù)據(jù)在使用過(guò)程中通常會(huì)遇到的四大風(fēng)險(xiǎn)源:
使用風(fēng)險(xiǎn)1——數(shù)據(jù)資產(chǎn)與數(shù)據(jù)在哪里,有多少���?
使用風(fēng)險(xiǎn)2——數(shù)據(jù)開(kāi)放共享時(shí)如何去除隱私化�?
使用風(fēng)險(xiǎn)3——共享交換過(guò)程數(shù)據(jù)泄密如何回溯定位�?
使用風(fēng)險(xiǎn)4——數(shù)據(jù)主管權(quán)是我們?cè)谡瓶貑幔勘热鐢?shù)據(jù)上云之后�,云服務(wù)商對(duì)數(shù)據(jù)掌控的界限在哪里?
解決上述問(wèn)題���,不能止步于使用某些技術(shù)手段的空談,而是要能基于人員�����、制度��、產(chǎn)品����、流程設(shè)計(jì)�����、工具等進(jìn)行實(shí)踐落地����。
今天�,安華金和方案總監(jiān)宣淦淼帶來(lái)《共享開(kāi)放時(shí)代——大數(shù)據(jù)安全治理體系實(shí)踐
》的主題演講,結(jié)合過(guò)往積累的項(xiàng)目經(jīng)驗(yàn)�����, 直抵數(shù)據(jù)安全保障核心需求��,談大數(shù)據(jù)安全治理實(shí)踐����。
實(shí)踐之初,要對(duì)接下來(lái)的一系列動(dòng)作有個(gè)整體把控���,因此需要建立數(shù)據(jù)安全治理總體保障思路:即組織建立→能力評(píng)估→制度設(shè)計(jì)→治理技術(shù)這4個(gè)遞進(jìn)的過(guò)程中貫穿數(shù)據(jù)的采集�、存儲(chǔ)���、傳輸����、處理/使用、交換��、銷(xiāo)毀這六個(gè)環(huán)節(jié)�。
首先,建立層次分明的安全組織���。
這個(gè)組織既要有能夠全局把握數(shù)據(jù)安全風(fēng)險(xiǎn)��,明確數(shù)據(jù)安全職能范圍����,并制定數(shù)據(jù)安全管理策略方向的決策層����;又要有能夠根據(jù)安全策略方向制定詳細(xì)數(shù)據(jù)安全制度流程體系����、人員能力培養(yǎng)體系、產(chǎn)品體系并負(fù)責(zé)落地實(shí)踐和日常數(shù)據(jù)安全運(yùn)營(yíng)的控制層����;還要有根據(jù)實(shí)際要求落地執(zhí)行的執(zhí)行層�。
安全組織的層次劃分
第二����,運(yùn)用模型進(jìn)行能力評(píng)估。
運(yùn)用覆蓋數(shù)據(jù)全生命周期32個(gè)安全域的數(shù)據(jù)安全能力成熟度模型��,幫助數(shù)據(jù)組織構(gòu)建數(shù)據(jù)安全管理框架�、評(píng)估組織的數(shù)據(jù)安全能力水準(zhǔn)、衡量數(shù)據(jù)安全能力提升的進(jìn)展���、建立自己的數(shù)據(jù)安全能力提升路線���。
第三,基于業(yè)務(wù)流程全生命周期進(jìn)行制度設(shè)計(jì)���。
基于法律法規(guī)��、國(guó)家/行業(yè)標(biāo)準(zhǔn)等合規(guī)要求�����,進(jìn)行組織制度規(guī)范體系的建立���。該體系包含數(shù)據(jù)安全管控的總體規(guī)范����,覆蓋采集管控�、傳輸管控、存儲(chǔ)管控��、處理管控�����、共享管控��、銷(xiāo)毀管控等數(shù)據(jù)生命周期六大流程���。
第四�,有技術(shù)工具支撐的治理技術(shù)落地����。
治理技術(shù)運(yùn)用覆蓋全生命周期的技術(shù)工具,實(shí)現(xiàn)安全狀況摸底����、數(shù)據(jù)流動(dòng)管控、數(shù)據(jù)治理稽核的落地目標(biāo)�����。
安全狀況摸底如何開(kāi)展呢���?第一步�,對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)掃描���,找出數(shù)據(jù)平臺(tái)自身的安全問(wèn)題���,提出修復(fù)建議,進(jìn)行安全加固��。第二步�,運(yùn)用數(shù)據(jù)資產(chǎn)梳理工具進(jìn)行資產(chǎn)底賬的梳理和數(shù)據(jù)的分級(jí)分類,找出敏感數(shù)據(jù)��,進(jìn)行重點(diǎn)防護(hù)���。
數(shù)據(jù)流動(dòng)管控覆蓋數(shù)據(jù)存儲(chǔ)����、傳輸、處理/使用等環(huán)節(jié)的安全����。數(shù)據(jù)存儲(chǔ)環(huán)節(jié)做到內(nèi)外兼顧:使用數(shù)據(jù)加密技術(shù)做好底線防守,防止數(shù)據(jù)存儲(chǔ)介質(zhì)丟失����、DBA權(quán)限泄露、乃至拖庫(kù)等帶來(lái)的數(shù)據(jù)泄密風(fēng)險(xiǎn)���;對(duì)外要使用數(shù)據(jù)庫(kù)防火墻技術(shù)阻止覬覦數(shù)據(jù)庫(kù)的黑客攻擊����;對(duì)內(nèi)則使用數(shù)據(jù)運(yùn)維管控工具做好訪問(wèn)控制和審批管理�,拿回?cái)?shù)據(jù)主管權(quán);數(shù)據(jù)傳輸環(huán)節(jié)��,利用數(shù)據(jù)水印技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)外發(fā)的溯源���,保障數(shù)據(jù)外發(fā)過(guò)程的安全����;數(shù)據(jù)處理/使用環(huán)節(jié),無(wú)論是動(dòng)態(tài)場(chǎng)景還是靜態(tài)場(chǎng)景都可以使用數(shù)據(jù)脫敏技術(shù)對(duì)數(shù)據(jù)去隱私化脫敏處理����,保障數(shù)據(jù)在開(kāi)發(fā)�、測(cè)試、分析等場(chǎng)景下的數(shù)據(jù)安全��。
數(shù)據(jù)稽核則可以利用數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和數(shù)據(jù)態(tài)勢(shì)感知做好數(shù)據(jù)的安全稽核與風(fēng)險(xiǎn)預(yù)警����,
以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地,保障能夠快速發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為���,實(shí)現(xiàn)全流程的數(shù)據(jù)安全治理閉環(huán)����。
數(shù)據(jù)態(tài)勢(shì)感知——全生命周期感知
產(chǎn)品咨詢:4000 258 365 
