数据安全治理是数据价值释放的首要保障

2018-05-24 10:24:00 作者:李代丽 出处 : 比特网

  很多企业都在掘金大数据,但是数据资产要想正常使用,数据安全是前提。

  此种背景下,第二届中国数据安全治理高峰论坛在京举行。本次会议以“共享数据价值·共担安全责任”为主题,由公安部网络安全保卫局指导,中国(中关村)网络安全与信息化产业联盟、北京网络信息安全技术创新产业联盟、中国保密协会产业分会联合主办,北京安华金和科技有限公司承办,炼石网络协办,可信华泰、亿赛通、中睿天下、国网思极、九州腾企业进行了重点参与支持。

  理解数据安全治理的正确姿势

  那么,什么是数据安全治理?

   安华金和创始人&CEO刘晓韬

  2016年,安华金和全国首家提出“数据安全治理”理念与技术框架,不违背数据的业务价值释放,以数据使用的全场景角度提供体系化的数据安全建设思路和方法;2017年首届中国数据安全治理高峰论坛召开,将这套理念与框架传递给政府、企业等各行业用户及伙伴,引发思考与关注;沉淀一年,2018年第二届峰会,围绕数据安全治理框架的整体解决方案、技术支撑以及用户实践初见规模,开始真正为组织与企业交付使用,发挥价值。

  综合来看,此次会议干货满满,其中《数据安全治理白皮书》首次正式亮相。

  《数据安全治理白皮书》,由中国网络安全与信息化产业联盟数据安全治理委员会(简称数据安全治理委员会)起草编著,通过对国内外当下的数据安全情势与市场趋势进行解读与前瞻,结合国际相关标准与框架,提出符合中国信息化建设阶段和需求的数据安全治理理念与框架,旨在帮助政府与企业进行数据安全建设的整体思考与规划,为数据安全建设的设计与实施者提供具有参考价值的数据安全治理整体方案及案例实践。

  数据安全建设需要系统化建设思路

  数据治理或者数据安全概念,对于大多数IT和安全从业者来说,认知度比较高,但数据安全治理,是个新名词。实际上,对于拥有重要数据资产的政府部门或企业,对于数据资产的保护,涉及到数据安全治理方面,或多或少都有实践,只是尚未体系化、标准化。在国外,Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance缩写),就是专门强调隐私、保护与合规的数据治理技术框架;Gartner研究中2015年提出了数据安全治理这一概念和相应的原则与框架,2017年Gartner全球安全大会中多位分析师在数据安全、信息安全治理、安全治理的相关研究报告中,多次提及并强调,认为数据安全治理已成为了数据安全中的 “风暴之眼”,2018年,Gartner首次专门推出研究报告《如何使用数据安全治理》,以此为CDO、CSO、CISO提供数据安全价值。本次白皮书编著,希望系统化针对数据安全治理的概念、规范、技术和相关实践进行介绍,将数据安全治理视作为一种系统化解决数据安全问题的合理方法论和实践工具加以推广应用。

  随着数据安全的重要度提升,用户投资在增大,据KVB Research 2017年大数据安全报告预测,大数据安全2017年全球投资达到102亿美金,并且以17%的年复合增长率扩大,到2023年将达到309亿美金,即2000亿人民币。

  在我国,随着网络安全法的出台,数据资产价值得到确认,政府机构和企业在这个方向的投资也在加大,以数据审计、脱敏和加密为目标的数据安全投资正在成为采购的热点。

  数据安全治理的思路,将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。

  关于数据安全治理原则与框架,Gartner对此进行专属领域的研究,Microsoft从数据隐私合规角度也曾向市场提出隐私,保密和合规性的数据治理方案。从国际视角对此理解的基础上,我们在中国提出了数据安全治理理念与技术路线,填补了该理念在中国的空白,更有效推动实现该理念在国内的执行落地。

  数据安全治理需要方法论

  本白皮书,综合国际相关框架模型和我国一些具体的安全实践后,提出一套在中国易于落地的数据安全建设的体系化方法论。

  数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:

  (1)满足数据安全保护、合规性、敏感数据管理三个需求目标;

  (2)核心理念包括:分级分类、角色授权、场景化安全;

  (3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;

  (4)核心实现框架为数据安全人员组织、数据安全使用的策略和流程、数据安全技术支撑三大部分。

  数据安全治理框架

    数据的分级分类:对数据进行不同类别和密级的划分;根据类别和密级制定不同管理和使用原则,对数据做到有差别和针对性的防护。

  角色授权:在数据分级和分类后,了解数据在被谁访问,这些人如何使用和访问数据,针对不同角色制定不同安全政策。常见角色:业务人员(需进一步细分)、数据运维人员、开发测试人员、分析人员、外包人员、数据共享第三方等。

  场景化安全:针对不同角色在不同场景下,研究数据使用需求;满足数据被正常使用的目标下,完成相应安全要求和安全工具选择。比如对于运维人员,在备份和调优场景下,并不需要对真实数据的直接访问能力,提供行为审计、敏感数据掩码能力即可。

  数据安全治理组织建设与规范

  数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。

  DGPC框架中,该机构一般称之为DGPC团队,或Data Stewards,负责制定数据分类、保护、使用和管理的原则、策略和过程:

 某运营商的数据安全治理的相关组织和角色结构图

  (注:深色是部门,浅色是角色,结构中覆盖了业务、安全、运维和企业的相关管理支撑部门)

  在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制订,在企业或行业内经常被作为《某某数据安全管理规范》发布,所有的工作流程和技术支撑都是围绕着此规范来制订和落实。

  数据安全治理技术支撑框架

  实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。

  数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

  数据资产梳理有效地解决企业对资产安全状况摸底及资产管理工作,提高工作效率,保证了资产梳理工作质量。合规合理的梳理方案,能做到对风险预估和异常行为评测,很大程度上避免核心数据遭破坏或泄露的安全事件。

  1)静态梳理技术

  2)动态梳理技术

  3)数据状况的可视化呈现技术

  4)数据资产存储系统的安全现状评估

    数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:

  。通过业务系统访问数据

  。在数据库运维时调整数据

  。开发测试时使用数据

  。BI分析时使用数据

  。面向外界分发数据

  。内部高权限人员使用数据

 在数据使用的各个环节中,需要通过技术手段有效规避各个场景下的安全风险:

  数据使用安全控制示意图

  值得一提的是,数据的安全审计和稽核机制由四个环节组成:行为审计与分析、权限变化监控、异常行为分析、建立安全基线。

    其中,数据安全稽核是为保障数据安全治理的策略和规范被有效执行和落地,以确保快速发现潜在的风险和行为,从而明确防护方向,进而调整防护体系,优化防御策略,补足防御薄弱点,使防护体系具备动态适应能力,真正实现数据安全防护。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。