国内《网络安全法》落地后威力初显,来自国际的GDPR法案即将落地。近期,facebook事件又给数据安全领域填了一把火,国际知名咨询机构Gartner预测数据安全市场迎来大爆发,2018年被定位为数据安全元年,不夸张。
5月17日,由安全牛主办的CS6 2018数据安全解决方案大会迎来深圳站。数据安全话题已经从国际权威报告落地到国内的企业建设方案,再到真正的安全实践。安华金和作为国内数据安全的行业翘楚,受邀参会分享数据安全建设思路以及宝贵的实践经验。
安华金和方案总监宣淦淼发表《构建数据库纵深安全防御体系》的主题演讲,站在产业高度,宣淦淼带领大家全局了解数据安全的标准化趋势,纵观当前数据安全市场现状,并提供应对当前现状与风险的数据安全建设思路与真实应用案例,传递用户视角的企业思考与实践。
随着数据安全市场的爆发,数据安全标准化趋势越来越突出。单2016年、2017年,已发布和报送审批的大数据安全国家标准制定项目就呈现出了方向细分、门类丰富的特点,《个人信息安全规范》、《大数据安全管理指南》、《数据安全能力成熟度模型》等等不一而足。
可见,数据安全的重要性越来越被看到,数据安全越来越受到重视,并从政策法规层面被驱动落实。
数据库“安全底子”不统一
尤其非关系型数据库存在安全问题,大数据安全的基础保障体系尚未建立。
互联网业务创新带来前所未有新风险
在万物互联,数据共享的互联网时代,各个行业的系统之间实现了紧密联结,业务的访问直达数据库,与此同时,安全防护体系的搭建却落后不止一步,一旦前端出现安全问题,后端数据将面临巨大风险。
共享交换时代数据去隐私化处理
在数据共享趋势下,数据安全问题凸显,数据的去隐私化成为焦点,因此,网安法对于网络运营者个人信息隐私的保护提出了明确要求。
上云后数据主管权问题
云计算时代,企业上云最担忧的莫过于云上数据的安全,云裳数据的主管权一刻没有厘清,这种担忧就一刻不会离开。
数据正在引领新的商业模式的变革,但显然,当前整体数据安全思路是缺乏的,数据的管理与安全使用未成体系。如何进行数据资产管理而确保数据的高效、安全使用被提上日程。
实际上,正是因为对现状的清晰把握,安华金和结合数据安全建设实践率先在国内提出了数据安全治理理念,并将企业全线数据安全产品列入“数据安全治理”框架,开启数据安全治理技术落地践行之路。
在上午的专家闭门会上,宣淦淼分享了数据安全治理的建设思路:完整的数据安全治理流程应该包括:
建组织(高层领导参与,建立大数据处、数据安全治理处)、
做评估(按照数据全生命周期评估问题和整改点)、
立制度(数据安全总纲领、分类分级、人员权限、流程管理)
设平台(1、摸底:风险核查与资产梳理;2、管控:基于人和业务,应用、开发、测试、运维、共享等落实技术措施;3、稽核:根据资产情况、人员、数据流动、行为画像,找出好人中的坏人)。
值得一提的是,闭门会议上能感受到用户企业的思路转变:由从前数据驱动价值到数据即价值的认知变化;从过去认为安全是可有可无的事,到如今意识到需要加大对安全的投入;从过去事后审计追责转向事先管控、事中实时风险阻断。
作为一家在数据库安全领域具备资深技术实力的安全厂商,我们更愿意向前走一步,直抵数据最核心的领地,IT系统的“金库”——数据库。现场,安华金和方案总监宣淦淼带着对上述现状的思考,分享了《构建数据库纵深安全防御体系》的主题演讲。
该防御体系覆盖DBMS、访问路径、核心数据,实现了从外到内全方位的纵深防御。而贯彻这套防御体系,需要依此走通这四步:
1、检查预警
1)自动分析数据库弱点和漏洞,实现数据资产风险核查。
2)摸清资产和数据底账,建立分类分级制度,实现敏感数据的识别定位。
2、主动防御
1)外部:通过虚拟补丁、权限防控、阈值控制,防范外部“坏人”、“坏事”。
2)内部:利用“工单+审批”的审批防控手段拿回数据控制权,杜绝好人中的“坏人”。
3、底线防守
1)数据脱敏技术:防止开发、测试、分析场景下的第三方生产数据泄漏。
2)数据加密技术:防止生产数据泄露,如数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成数据泄密。
4、事后追查
1)使用兼顾审计、溯源与分析的产品,实现数据库访问审计、事件溯源、业务系统故障分析。
2)建立一套完善的、有效的风险识别机制,做到识别、定位风险,并发出警告。
安华金和基于多年的实践积累,构建的这套纵深防御体系已经落地到无数客户案例之中。宣淦淼在现场也不吝分享了我们在各个行业、领域的案例应用,如省政务云大数据风险调查,省级政务云大数据平台解决方案,金融行业的数据库审计稽核等项目;以及在教育行业、运营商行业、人社行业等的防御体系思路应用。
与用户一起走出数据安全困境,让数据自由而安全的使用,是安华金和的使命所在。
产品咨询:4000 258 365 
