5月16日,2017中国CIO信息安全高峰论坛在北京新世纪日航饭店举行,本次大会以“态势感知与风险管控”为主题,面向政企,讨论如何运用态势感知,提高企业基于环境的、动态、整体地洞悉以及主动防御安全风险的能力。通过专家指导、讨论方案,与广大用户交流经验,理清本单位信息安全的基本态势和网络环境安全状况,及时采取或完善安全保障措施,帮助企业构建全面的网络安全保障体系。
目前我国关键信息基础设施安全面临严峻威胁,针对政府、企业网络攻击致使数据泄露的事件层出不穷,个人信息泄露导致的网络诈骗持续高发。即将实施的《网络安全法》,进一步明确了部门、企业、社会组织和个人的权利、义务和责任,同时也给企业和个人带来难得的机遇和挑战。因此,建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制势在必行。
安华金和作为数据安全领域的专家,携《数据安全治理思路与体系探讨》主题参会演讲,安华金和高级方案专家张海涛与现场嘉宾分享数据安全理念,传递安华金和深厚的技术积累和专业思考。现场嘉宾对该演讲主题表现出了极高的关注度,现场前来安华金和展区热情交流的嘉宾让安华金和在信息安全行业推广数据安全治理解决方案有了更加坚定的信心。
值得一提的是,安华金和在大会现场评奖中一举摘得“中国数据库安全领导品牌奖”、“中国互联网金融信息安全领域值得信赖品牌奖”两项大奖,突显了安华金和在数据库安全领域的卓越领导地位,并且因为安华金和在短短半年时间已经帮助了数十家互金企业云上过等保而备受互金用户的信赖与肯定。荣誉与认可将激励安华金和更好地践行守护用户数据使用安全的企业使命。
针对网络信息安全建设,6月1日即将实施的《网络安全法》有着清晰明了的规定,简而言之,信息安全建设的目的主要有二:一避免业务中断;二保障数据安全。在做好网络基础设施建设,确保业务高效稳定运行的基础上,数据安全的保障工作是信息安全建设的重中之重,而安华金和提出的数据安全治理理念就是基于该目的展开的系统性数据安全防护工作。
数据只有在使用的时候才具有价值,安华金和针对数据使用的全过程提出针对数据的持续安全治理思路,有着一条清晰的技术路线,将治理思路分为三步走:
第一步:对现有数据资产做资产状况摸底和安全评估;
第二步:立足数据、人员、风险三大角度建立防御体系;
第三步:从合法合规角度,对目前体系进行动态检查和稽核。
具体到每一个步骤我们可以进行详细的拆解:
1、资产状况摸底
1)静态梳理——我们的数据在哪里?
大部分企业单位都会将数据存储于数据库中,因此,数据资产的状况摸底,重点针对的也是数据库,面对企业动辄上百个库,如何结合人工判断进行责任、归属确认,如何摸清数据库存储的资产内容,如何对数据分布、数据数量、数据定级、数据类别、数据属性做到了然于胸,这是静态梳理的意义。
2)动态梳理——我们的数据如何使用?
数据的价值在于使用,动态梳理的目的在于搞清楚数据是如何被使用的,这个考量的维度包含了数据热度、数据访问总分量、数据流转过程、数据关联关系等,然后结合人工判断了解数据访问瓶颈、数据访问性能、数据利用率等,进行敏感数据分级分类确认。
3)权限梳理——我们的数据安全吗?
权限梳理就是从主体访问权限、客体访问权限这两大维度进行梳理。掌握一个人能访问哪些数据,一个数据能被哪些人访问,这是梳理的实际现状,我们要梳理一个人的工作职责所允许他访问的数据有哪些,工作职责所允许他执行的动作有哪些,也就是为后续的权限剥离,权限最小化做准备。
4)安全评估——找出数据库安全弱点和风险。
安全评估的目的就是发现问题以及解决问题。
2、建立防御体系
1)数据角度
厘清数据的存储状态和使用状态,通过加密技术预防拖库带来的数据安全威胁,做好权控;通过脱敏技术应对数据在测试、开发、分析等使用场景下的安全防护需求。
2)人员角度
3)风险角度
3、数据治理稽核
数据治理稽核目的就在于调整防御策略,调整防护体系,识别异常行为。其主要内容包括四方面:行为审计与分析、权限变化监控、异常行为分析、建立安全基线。
数据安全治理是一条没有止境的路,安华金和作为该理念的开路先锋,愿意在这条道路上继续探索、前进,为数据使用安全而自由的愿景努力,为信息安全建设贡献自己的一份力量。
产品咨询:4000 258 365 
