在当前的数字化发展中,无论是国家机构、企业,还是普通自然人,对数据安全的关注和重视都是空前的。可以说,数据安全是当前的热门话题,也是老生常谈的话题。国家、地方、企事业单位不断完善相关法律法规和审核机制,增强自身数据安全保护能力。
在数据安全体系建设时
你可能面临的困惑
当前管理的数据资产与实际资产是否一致、敏感数据在哪里、谁在访问;已经搭建了一些安全产品,并进行了相应的策略配置,但尚不清楚做得是否足够;明确数据重要性,自觉整体提升数据安全防护能力,但不知道如何开展、如何迭代;一些数据安全相关的制度已经到位,不知道是否还有遗漏,不知道执行情况如何,审核如何;平台建设者、运营维护团队可能在同一个团队,他们担心未来数据被滥用,如何形成约束;现有工况下存在哪些泄漏点和风险点,影响有多大;明知数据安全投资是持续的,但还是希望尽可能避免重复投资,通过旧材利用和精准投资实现降本增效。为了让企事业单位在开发数据安全体系时有参考,解决建设前、建设中、建设后的疑虑和困惑。通过对数据安全领域技术和产品的考察,以及各行业顶级企事业单位的管理经验,腾讯安全结合自身的应用与实践经验,绘制并发布数据安全能力图谱,助力企业规划数据安全体系的建设、加强数据场景的安全管控能力、指导数据安全能力的评估等场景。
腾讯数据安全能力图提出了数据资产管控能力、数据安全运营能力、数据业务安全管控能力、数据支撑环境安全管控能力、数据运维安全管控能力和数据安全感知能力,六大能力,覆盖数据全生命周期和重要数据场景,对于数据安全体系建设具有很高的参考价值。
一.数据资产管理能力
开展数据安全体系建设,首先要加强数据资产的管理能力,包括资产变更、权限状况、使用状况等,而不是传统的登记备案模式。
数据资产梳理是提升数据资产管理能力的基础,也是构建数据安全体系的第一步。如果在资产状况不完整、资产信息不准确的情况下进行数据安全保护,就会出现盲点,保护方法的价值得不到充分发挥,甚至会影响人力、财力的决策。安全条款。因此,在开发数据安全系统时,首先需要对数据资产进行梳理。
传统的排序方法主要基于访谈,存在准确率低、人工投入大的缺点。借助静态扫描和协议分析技术,结合手工方法,可以有效提高效率和准确性。另外,在梳理数据资产的过程中,还可以发现高频资产、沉默资产、僵尸数据库等,提高了数据资产的管理水平。
二.数据安全运营能力
明确角色和义务、指定人员和责任、完善制度和规范、制定安全检查机制和权限管理机制。
近年来,数据安全运营逐渐受到重视。传统的数据安全保护主要受到技术手段和管理制度的限制。比较被动,很多制度无法实施。从业者的安全能力是有限的。一旦发生安全事件,响应速度和处理能力都比较弱。通过建立完善的数据安全运营体系,让专业的人做专业的事,让数据安全工作与业务一起持续,提供实时的安全保障,可以有效提升组织的安全管理和防护能力,处理企业面临的问题。可能随时被释放。执行法律法规。
三.数据业务安全管控能力
目前可用于数据安全控制的技术已经成熟且全面,通常包括数据脱敏、数据加密、数据行为控制等。由于数据安全需要与业务相关联,甚至需要渗透到业务流程中,数据安全产品相对独立,存在同质化的情况。在这种情况下,整合往往会导致业务绩效大幅下降,使转型工作变得困难。金额大、重复投入不利于数据安全体系建设。因此,需要整合数据安全技术,统一管理,统一调用,以服务的形式应用到数据生命周期的各个环节。
四.数据支撑环境安全管控能力
主要是加强数据库本身和大数据组件的安全,配合数据安全技术控制数据资产的访问,定期进行安全扫描和配置检查,保证数据资产的安全性和可用性。
五.数据运维安全管控能力
数据运维角色一般指DBA、数据运维工程师等权限范围比应用更广的人员。目前,数据安全领域的许多数据泄露事件大多是由此类人员造成的。另外,在数据运维过程中,也不排除因误操作而导致数据损坏的情况。因此,我们应该重点关注高权限人员。对于高权限人员,应从授权审批、违规识别与屏蔽、高危操作提示与屏蔽、数据脱敏四个方面进行管控。应建立权限恢复机制,支持静态授权和动态授权,控制粒度达到操作语句级别。
六.数据安全感知能力
数据安全感知能力的核心价值是发现违规并调查取证、稽核制度规范和安全策略的执行情况、趋势分析辅助决策。
数据安全感知能力的建设一般由数据安全管理员和日志审计平台组成。日志审计平台可以帮助数据安全管理员对大量日志进行计算和汇总,自动发现违反规则的行为。数据安全管理员可以从日志信息中发现潜在的安全风险,并不断完善和增加安全规则,使组织的数据安全防护能力不断提高。
日志审计平台应具备日志信息采集、日志汇总与分析、规则识别、报警和可视化展示五种功能。
腾讯安全基于20年数据安全运营经验,整合输出数据安全能力,帮助企事业单位开发数据安全体系。腾讯安全秉承“让数据遵规守序”的理念,联合生态伙伴,共同让数据管理遵循法规,让数据流动遵守秩序。
欢迎业内人士加入【腾讯数据安全交流群】共同探讨数据安全能力和技术实践。
扫描二维码进群
或者添加小助手微信账号【腾讯-数据安全】
发【数据安全】进群