4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

博采众议:专家共话数据安全治理

作者:安华金和 发布时间:2019-01-18

回首2017-2018年,不难发现在数据安全领域有一个重要变化:数据安全治理理念经历萌芽,开始传播开来,并逐渐被客户和行业认可。

数据安全治理是安华金和在2016年在国内率先提出来的,彼时,在全球范围内只有Gartner对这个概念做了初步研究。2017年开始,随着安华金和由数据库安全朝着数据安全厂商的转型,提出“数据安全治理”框架,提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体安全思路与方案。2017-2018年,作为数据安全治理工作组组长单位安华金和主导发起首届中国数据安全治理高峰论坛,率先将数据安全治理理念在全国推广开来。

于是,我们在这两年也听到了数据安全生态下更多组织、机构、企业发出了关于“数据安全治理”的声音。比如,像阿里这样的企业,也开始谈数据安全治理。同时,国网网安处专门成立了数据安全治理的工作组,在税务侧也有专门的组织,这些都说明这个理念既是被数据安全生态所认可的,也是符合客户认知的。乐观预计,在客户、安全企业、组织研究机构等各方的共同努力下,数据安全治理会加快从启蒙到逐渐被社会广泛认可的步伐,到2021年实现在全国大型企业中数据安全治理体系的构造。

安华金和CEO刘晓韬在谈及数据安全未来前景的文章中就将数据安全治理作为数据安全3.0时代的中心内容。他认为3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。而数据安全治理正是是这样一个体系化的安全解决思路。

2019年起始,在京举行的数据安全治理专委会专家研讨会上,来自网安、部委客户、高校、安全厂商的领导、学者、专家们就结合各自领域针对数据安全治理各抒己见,提供了视角丰富的认知和看法。

安华金和作为数据安全治理专委会重要践行方,在研讨会上分享了在数据安全治理领域的技术思路和实践案例。数据安全从以DBMS资产为中心的1.0时代到以数据为中心的2.0时代,再到以数据安全治理为中心的3.0时代,是数据安全建设的必然需求和发展趋势。因为,随着数据共享时代的到来,再来重新审视数据安全这一概念,我们谈的就是数据环境下流动数据的安全。

现场,安华金和通过对某政务云数据安全治理案例的分享,总结了遵循“数据摸底→数据管控→行为稽核”这一数据安全治理技术路线开展数据安全项目建设所带来的价值表现:

数据全面梳理:针对政务云平台,同步规划、同步建设,摸清建设过程中数据安全风险问题。

促进政务数据交换共享:摸清各委办局数据底账,并进行分类分级,促进数据共享交换。

保障政务数据安全有效使用:针对数据归集、清洗、分发、共享开发等环节进行不同层次的防护。

全周期监控政务数据流转问题:从数据进入到流动到流出,全站审计不留死角。

公安部网络安全保卫局范春玲处长以《网络安全等级保护新条例解读》为主题,结合等保条例制度重要工作目标之一数据安全展开解读分享,她指出,等保制度在接下来重点工作目标就是关键信息基础设施保护和大数据安全,将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等保监管,保障重点领域、重点应用能够在投入运行之前,风险能得到有效管控。其中,与公民个人隐私相关的数据保护是公安部的工作重点之一。在数据成为国家基础战略资源和社会基础生产要素的今天,数据安全将成为新一代信息安全体系竞争的制高点。

来自教育部信息中心平台运行处专家赵京则结合教育部具体的数据安全治理实践进行了分享。首先,他通过ITRC数据泄露调查报告呈现了自2013年以来的全球教育数据泄露情况,逐年攀升的趋势图让人不容乐观。在全球范围内,2017年半年事件已曝光的数据泄漏事件高达974起,数据泄漏记录总数超过了5.54亿条,而去年下半年数据泄漏事件和数据泄漏记录总数分别为844起和4.24亿条。而对原因进行分析,无外乎两大问题:①没有对数据的共享使用进行安全防护,内鬼作案;②利用了用户对数据库漏洞没有防御措施,入侵拖库。

面对严峻的形势,教育部积极举措,出台数据管理办法,采取数据安全防护措施来遏制数据泄露事件的发生。赵京通过分享教育部采取的数据安全治理解决思路和方案实践,遵循①安全状况摸底→②数据使用管控→③数据治理稽核为教育部的数据安全建设项目呈现了如下价值:

让资产清晰化,将多年信息化建设过程中产生的数据进行了详细的资产分析,提高数据管理水平;

数据安全可控,依据数据资产结果制定数据库相关安全防护措施,整体提升数据安全能力;

集中审计管理,实时获取安全风险并做出应对,针对业务特殊性制定符合业务逻辑安全策略,使数据安全落地更有针对性。

01.jpg

以上两个分享分别从等保政策、项目实践角度来看待数据安全和数据安全治理,北师大教授吴沈括则站在学术研究和国内外法规的视角来分享了自己对于数据安全治理的见解。他首先针对新一代信息技术与数据安全治理相关机遇和风险态势做了分享,他认为,在数据共享时代,围绕各类数据的利用,在新一代信息技术的普及应用过程中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,我们也面对着来源更为广泛、程度更为深刻的安全风险。然后,他分别详细介绍了欧盟、美国、中国三个不同背景环境下的政策制度、保护法案予以分析和解读,最后,梳理了数据安全治理的风控合规启示。为我们提供了一个看待数据安全治理的全球视角。

中国计算机学会计算机安全专业委员会主任严明在研讨会的圆桌论坛环节对数据安全治理这种系统化的数据安全建设思路予以了肯定。他认为,数据安全治理应该是一个很专业很系统的大方案的概念,它一定是一个专业的领域,而治理得第一步也一定是要侧重安全人员和组织的搭建与管理。只有先做好这一步,下面的技术落地才有保证。而从国家政策层面看,2019年了,距离我们一直期待的《关键信息基础设施安全保护条例》的颁布肯定已经不远了。近些年,无论从政策、制度、标准层面以及打造网络安全强国的需求层面,都能看得出国家越发关注数据安全、关注大数据的安全,所以,数据安全将成为未来信息安全发展的重要领域。而数据安全治理则会施展其用武之地。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号