美創科技以資料為中心的安全治理實踐

當前數字經濟已成為構建新發展格局、推動經濟復甦和科技創新的新動能。隨著數字經濟的加速發展，各行業數字化轉型步伐也開始提速，但數字經濟新動能迅猛發展的背後，資料安全也將面臨新的挑戰，急需多維化、體系化、實戰化的資料安全治理方案：

l   技術更新迭代快：人工智慧安全AI Security、敏感資料的精準靶向監控、資料水印溯源技術、資料鑑權技術、UEBA使用者實體行為分析、隱私增強計算等安全技術更新迭代速度之快，企業一定要做到未雨綢繆。

l   熱點安全事件頻：近兩年來，勒索病毒等外部攻擊手段逐漸呈現出從普通使用者轉向大型企業使用者，勒索贖金定製化、勒索傳播場景多樣化，高頻次的整體特徵，另一方面，由內部人員引發的資料洩露和丟失事件更加頻發，且逐步情緒化、多樣化。

l   標準制度規範多：當前我國高度重視資料安全和個人資訊保護立法工作，一些列法律法規相繼出具，資料安全頂層制度設計的加速推進促使資料安全合規性、規範性要求不斷提高。全球範圍內，國家性、區域性關於資料安全和隱私保護的法規各有側重，企業如何在參與全球經濟的合作與競爭中，滿足國內外合規要求是很大的挑戰。 

l   合規處罰力度大：今年1月，中國銀保監會開出2021年第一張罰單，某大行因涉及發生資料安全管理粗放存在資料洩露風險等問題，被罰420萬人民幣。此外，《資料安全法》、《個人資訊保護法》、《通用資料保護條例》（GDPR）等相關法律法規的處罰力度均十分嚴厲。

 

資料安全治理多維化、體系化、實戰化

數字化浪潮下，資料流轉環境發生了顛覆性轉變，資料不僅打破了原有安全域內流動的約束，且與資料相關的應用、人員等更為複雜且快速變化，這些原因都在導致傳統基於靜態邊界保護的網路安全和資料安全保護措施不斷弱化，甚至失效。

在新的安全形勢下，零信任成為最佳實踐，美創科技基於零信任的資料安全防護思路，以資料為核心，從資產、入侵和風險三個視角出發，透過以人為中心的身份管理、動態訪問控制、持續的信任評估，實現讓資料時刻處於保護之中。

美創科技經過多年在資料安全領域的專注研究和不斷探索實踐，總結出要做好新形勢下的資料安全治理體系建設，離不開五大保障。

資料安全治理體系建設

資料安全治理體系建設“五大保障”

l   資料安全戰略保障：做好資料安全，離不開法律法規、人員管控以及行業標準的保障，只有頂層設計的密集佈局和加碼，促使資料安全合規性、規範性要求不斷提高。

l   資料安全管理保障：對於資料安全，多陣列織單位依然採用傳統的安全合規應對做法，建設方法並不體系。這種低效、粗放的建設存在諸多不足，並不能讓資料安全治理得到實質的提升，因此，需要建立完善的制度流程、組織架構，同時包保障合理的人員配備。

l   資料安全技術保障：從物聯感知層到智慧應用層，基於資料流動的特徵，提供一些列技術支撐，完成資料安全防護。

l   資料安全建設運營保障：快速的檢測、評價資料安全治理成果。

l   資料安全基礎支撐保障：資料安全服務提供者，提供身份鑑別、入侵檢測、入侵防禦、高危操作防護等一些列底層技術，為安全保障體系賦能。

 

實踐一：資料安全諮詢服務

資料安全建設不同於以往的網路安全建設有章可循，因此，以從傳統網路安全防護思路開始著手於資料安全體系建設時，經常會充滿疑問，不知道從何做起：資料安全風險在哪裡？建設投入如何分配？因此，諮詢是發現問題、評估現狀相對較好的切入點。

美創科技資料安全諮詢採用敏捷諮詢規劃和方案設計，涵蓋現場調研、分類分級、差距分析、安全評估、加固建議等一整套“體檢”流程，最終形成基於資料流向的資料安全諮詢報告。同時基於現狀，有針對性、有側重點構建以資料為核心的風險安全建設體系規劃方案。並且會在過程中根據現狀，補充內控合規管理所需的材料，包括制度規範技術規範以及崗位培訓等。

 

實踐二：資產梳理形成資料流向圖

當前，各行業在進行資料安全建設時往往面臨資料資產分佈情況不明朗，保護物件不清晰等一些列問題，且對自身的資料資產狀況知之甚少，因此，進行資料安全建設之前，應首先將自家的資料資產狀況梳理清楚，形成完整的資料資產流向圖，消除安全隱患。

 

資料流向圖

美創科技基於自研的暗資料發現與分類系統和人工方式對目標環境中資料資產分佈情況進行梳理，形成資料資產清單，明確資料資產到底在哪裡、資料資產許可權管理狀況，得到基礎的資料資產清單和分佈和管理現狀，以便更加體系化地分析和設計資料資產涉及的角色和訪問控制體系。

實踐三：資料分類分級

當前政企、醫療等機構資料分類分級主要面臨無標準難規範、有標準難落地、已落地難應用等現狀，整體難以實現分級管控和精細化的安全防護。

針對以上現狀，美創暗資料發現和分級分類系統按照分類標準和對應業務模板以及重要敏感程度對資料進行分級（低敏感-中敏感-高敏感-極高敏感），並生成完整、視覺化的分析報告，方便使用者篩選和檢視不同敏感程度的資料分佈和資訊，對敏感資料採取相應的安全防護措施（包括敏感資料訪問審計、資料脫敏等），從而減少資料安全風險，對資料資產實現規範化管理。

 

實踐四：量化風險評估

資料安全風險評估是對資料資產面臨的威脅、存在的弱點、造成的影響以及三者綜合作用所帶來風險可能性的評估環節。美創科技基於資料安全能力成熟度模型，按照資料全生命週期分階段，採用不同的能力評估等級，從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量，並劃分等級。

資料安全能力評估

對於評估過程中所識別的風險，美創專家團隊將充分結合合規要求和風險現狀，為客戶設計一套資料安全保護物件框架，並提供帶有加固建議的專業報告。

 

實踐五：以問題為導向的資料安全規劃路徑

從安全諮詢到風險評估，均是資料安全建設的前提，最終落地併發揮作用的無疑還是經過實踐檢驗的技術和產品。美創科技圍繞資料安全全生命週期，基於新一代安全中臺，快速孵化資料安全能力，針對資料管理、應用能力，從運維端、到業務端，透過資料安全管控平臺實現六個統一（統一賬戶、統一監控、統一展示、統一分析、統一告警、統一配置），變被動防護為主動防護，變單點防護為整體防護，全域性安全防護手段整體管理運營，精準掌控資料安全狀態，最終實現資料全域可管，風險全域性可視。

美創科技安全態勢感知

它山之石可以攻玉——美創以十六年在資料安全領域沉澱的方法論、架構、產品及服務能力為底座，以資料安全治理體系建設的五大最佳實踐為藍本，為各行各業的資料安全建設提供嚮導，為即將到來的資料安全法的落地建立實踐路徑，為數字化轉型和數字化改革保駕護航!

以上內容來源於美創科技副總裁蔡毅在2021資料安全與資料治理高峰論壇期間的《以資料為中心的安全治理實踐》主題演講。