数据作为重要的生产要素,今时今日正在参与到越来越多的生产业务场景中,数据安全风险也随之不断加剧。随着一系列数据安全法律法规从“立”而“行”,巩固数据安全能力,保障数据安全利用,对政府、企业和个体来说,都是重要和必然之举。
近日,宁波市大数据发展管理局组织开展周二夜学暨“大数据讲堂”活动,美创科技安全技术总监张建林受邀讲授《构建五大体系,实现全域数据安全治理》,对如何具体、有效地进行数据安全建设分享思路和实践。
宁波市大数据发展管理局局长戴云,副局长杜永华、尤波军,二级巡视员范世育及各处室负责人参加。
三法两条例一办法陆续发布出台,数据安全防护的重要性提至新的高度。2021 年 11 月,中共中央政治局会议审议的《国家安全战略(2021-2025 年)》,将数据安全与网络安全并列,国家顶层意志上已明确数据安全的战略地位。
数据安全有法可依,监管治理也在不断强化,但目前,组织单位开展数据安全建设工作遭遇多重棘手困境,想要做好数据安全并不容易:
过去的数据安全主要聚焦于数据静态存储的安全,而时至今日,数据高效流动成为常态,涉及众多参与主体,数据在采集、传输、存储、使用等各个节点存在着多样化的威胁挑战,数据不可知、流动不可控、风险难追溯,大大增加了安全保护难度。
那么,如何应对安全的复杂性,开辟一条合理、可行的数据安全建设路径?张建林表示组织应升级对数据安全的认知,既需要创新的理念,更需要创新思路和抓手:
一方面,组织单位应转变过去“堆产品”式的被动补救模式,升级对数据安全的认知,将数据安全作为一个组织、制度、技术结合的整理进行考虑,自上而下,以数据安全治理作为整个数据安全工作的龙头,统筹开展。
另一方面,以数据安全能力成熟度模型为抓手,以提高能力成熟度为工作主线,通过开展组织人员建设、制度流程建设、技术工具引入、专项项目、监督检查、考核度量等工作,实现体系化的数据安全建设。
结合美创科技数据安全建设经验,张建林介绍具体应通过五大体系的构建,实现全域数据安全治理,以全面加强数据安全、将威胁阻挡在数据和系统之外。具体包括:
制度规范体系建设
结合组织现状,基于《数据安全法》、《个人信息保护法》等要求,制定数据安全合规制度、数据安全管理规范、数据安全操作规范等标准规范健全制度体系。
数据安全合规制度
技术防御体系建设
基于数据分类分级和风险评估结果,建立相适应的安全管控策略,围绕数据采集、传输、存储、使用、交换等环节,构建以数据资产为中心的安全能力保障,同时,建立统一的数据安全能力集中管控平台,实现资产全局管理、身份全局管理、安全任务与策略集中管理能力。
具体从哪些产品技术进行防护,张建林表示,应以数据处理活动为主线,打造七种数据安全能力,即攻不进,看不见,看不懂,拿不走,毁不掉,可追溯和可恢复,实现系统化保护数据。
防控运营体系建设
即构建一体化的数据安全运营体系,对全域数据安全风险进行管理、监测、通报、处置、反馈。
态势感知是建立认知风险能力的核心,应以资产为中心,通过采集各种安全数据,基于专业的安全分析模型和大数据管理工具进行集中处理,通过风险态势、资产态势、威胁态势、设备态势、身份和资产画像、访问关系态势等态势呈现,实现一屏一域,全网管控。
安全监管体系建设
定期对现有的数据安全能力进行审视,发现不足及时处置,最终达到持续提升数据安全能力这一目标。
如:通过数据库敏感数据扫描工具,发现是否存在未加密、未脱敏的敏感数据,例如个人敏感信息数据;通过漏洞扫描工具对信息系统内的操作系统、应用系统、WEB 程序等进行安全漏洞识别等。
应急指挥体系建设
建立数据安全事件应急预案和应急演练机制,定期开展应急演练,总结并形成数据安全应急演练报告,持续优化应急预案。
组织单位应从业务需求出发,立足“以练促改、提思路,以练促建、强防护”,围绕演练前、演练中、演练后构建业务流程、细化业务场景,构建攻防演练方案。
