8月30日,奇安信集团正式发布"数据安全能力框架",以及"数据安全概念运行图"(数据安全ConOps),旨在为数字化转型不断深入的大型政企客户以及业内伙伴,提供基于甲方视角的数据安全全面图景,以及一条构建大数据安全体系的可行道路。
数据安全风险与日俱增,成为数字经济时代最紧迫和最基础的安全问题。大数据DT时代,数据应用场景和参与主体的日益多样化,数据安全体系建设必须抛弃传统的单点防御模式,而要采用全局治理的体系化建设思路。
数据安全体系要在有效保护数据计算环境与实体的同时,精准控制数据的访问使用与流转,实现对数据行级别、列级别、甚至单元级别的精准安全访问。构建综合的数据安全体系显然需要一套能力框架进行指引。
奇安信数据安全能力框架、ConOps及配套举措建议,是数据安全建设的一套思路、方法与工具,可以帮助用户去设计和构建业务场景的数据安全体系和解决方案,展现了"数据安全治理到技术体系落地如何去贯穿,以及安全能力在信息化各个层面的工程化落地方法"。
数据伴随着业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节。作为非单点防御技术的安全体系,数据安全建设是个复杂的过程,既要考虑数据全生命周期的视角,还要考虑业务与数据流转视角,确保安全能力和举措深入到应用和业务中,与系统、应用和业务的每个层级全面覆盖和深度结合。
数据安全洞察与思路:
基于大量行业建设实践,我们总结出大数据安全建设的基本思路:
数据安全并非单点技术,而是一个能力体系:数字化大集成带来数据应用场景和参与主体的日益多样化,数据安全的外延不断扩展。数据本身的价值性、跨平台性和流动性促使数据安全体系建设必须抛弃传统的单点防御模式,而要采用全局治理的体系化建设思路。
数据安全需要实现安全内生:数据安全建设需要与应用数字化改造同步开展,通过三同步,将安全能力和举措植入到应用架构及数据平台中,与系统、应用和业务的每个层级深度融合。与传统端、网、云的安全防护不同,数据安全与业务逻辑有更多的交互,甚至将安全策略、安全控制融入业务逻辑,更能深刻体现内生安全的理念。
数据安全治理成果需与安全策略相结合:数据治理的成果,从组织机构设立到管理办法制定,都需要与技术体系结合,才能指导安全建设,实现数据治理的技术与运营落地。
"数据安全防护体系"需与"零信任体系"结合:构建大数据安全防御体系,还要将基于零信任体系的动态细粒度访问控制能力与业务应用结合,实现对数据流转的精确控制,做到"主体身份可信、业务行为操作合规、计算环境与数据实体有效防护"。
双视角的数据安全全流程防护:结合"业务流转"与"数据生命周期",做到在数据生命周期的关键环节进行防护,如采集过滤、存储加密脱敏,使用精准控制;同时基于应用场景、业务逻辑和数据流转,梳理数据脉络,对数据使用进行动态细粒度权限精准管控,并对数据使用进行行为审计,加强数据访问行为与防护状态的监测、预警、响应处置。
在有效保护数据计算环境与实体的同时,精准控制数据的访问使用与流转,实现对数据行级别、列级别、甚至单元级别的精准安全访问。这样综合的数据安全体系构建,显然需要一套能力框架进行指引。
能力框架的纵轴从数据安全管理、技术和运行视角,覆盖数据安全治理每一个阶段。横轴从数据实体防护角度出发,从基础环境安全、身份安全与访问控制 数据保护、监测与响应、审计定责,到数据备份恢复,覆盖数据实体防护的全能力。
奇安信数据安全能力框架中的每一个元素都是一种数据安全的能力组件,其所包含的567个能力组件在数据安全的体系建设与运行过程中,将有序的分布到每一层次里,进行相应的数据安全的管控与防护。
数据安全能力框架解决了如何从数据安全治理把数据安全策略层层具象化落实到具体产品能力的拉通方法问题;回答了在兼顾多重典型数据应用场景下在政企信息化环境中什么区域需要哪些数据安全能力与产品部署的问题。