當前數字化發展,無論是國家機關、企事業單位,還是普通自然人,對數據安全的關注和重視都是空前的,可以說數據安全是當前的熱門話題、共性話題。國家、地方、企事業內部都在不斷的完善相關法律法規和審計機制,提升自身的數據安全防護能力。
在數據安全體系建設時
你可能面臨的困惑
-
當前所管理的數據資產是否與實際資產相符,敏感數據都在哪裏有,都在被誰訪問;
-
已建設有部分安全產品,並進行了相應的策略配置,不清楚做的夠不夠;
-
清楚數據的重要性,有意識整體提升數據安全防護能力,但不知道如何開展,如何迭代;
-
數據安全相關制度已具備一些,不知道是否還有遺漏,不知道貫徹執行情況如何,怎麼稽覈;
-
平臺建設方、運維方可能是同一團隊,擔心未來數據被濫用,如何形成制約;
-
現有的運行狀況都存在哪些泄漏點、風險點,影響有多大;
-
知道數據安全投入是持續的,但還是想盡量避免重複投入,通過利舊、精準投入而實現降本增效。
爲了使企事業單位在開展數據安全體系建設時有所參照,解決建設前、中、後的顧慮和困惑。通過調研數據安全領域的技術和產品,以及各行業top級企事業單位的管理經驗,騰訊安全結合自身的應用與實踐經驗,繪製併發布數據安全能力圖譜,助力企業規劃數據安全體系的建設、加強數據場景的安全管控能力、指導數據安全能力的評估等場景。
關注騰訊安全(公衆號:TXAQ2019)
回覆【數據安全能力圖譜】獲取原圖
騰訊數據安全能力圖譜提出了六大能力,即數據資產管控能力、數據安全運營能力、數據業務安全管控能力、數據支撐環境安全管控能力、數據運維安全管控能力和數據安全感知能力,覆蓋了數據全生命週期及重要的數據場景,在開展數據安全體系建設時具有很高的參考價值。
一. 數據資產管理能力
開展數據安全體系建設,首先要加強數據資產的管理能力,包括資產的變化情況、權限狀況和使用狀況,而非傳統的登記備案模式。
數據資產梳理是提升數據資產管理能力的基礎,也是建設數據安全體系的第一步。如果在資產狀況不完整、資產信息不準確的情況下開展數據安全防護,則會出現盲點,防護手段的價值不能充分發揮,甚至會影響安全方面人力、財力的決策。因此,在開展數據安全體系建設時,一定要先開展數據資產梳理工作。
傳統的梳理方式以訪談爲主,存在準確率低、人工投入大的弊端。藉助靜態掃描和協議解析技術,結合人工的方式,可有效提升效率和準確率。另外,在開展數據資產梳理過程中,還可以發現高頻資產、靜默資產、殭屍庫等,使得數據資產的管理水平也得到提升。
二. 數據安全運營能力
明確角色和義務、指定人員和責任、完善制度和規範、制定安全檢查機制和權限管理機制。
數據安全運營是近幾年逐漸被重視起來的。傳統的數據安全防護主要靠技術手段和管理制度進行約束,相對被動,很多制度也執行不起來,從業人員安全能力有限,一旦出現安全事件,響應速度和處理能力相對較弱。通過建立完善的數據安全運營體系,讓專業的人做專業的事,讓數據安全工作伴隨業務持續進行,提供實時的安全保障,可有效提升本組織的安全管理和防護能力,應對隨時可能發佈和執行的法律法規。
三. 數據業務安全管控能力
目前可用於數據安全管控的技術即成熟又全面,典型的有數據脫敏、數據加密、數據行爲管控等等。由於數據安全需要與業務進行關聯,甚至需要滲透到業務的流程中,數據安全類產品又相對獨立,存在同質化的情況,這種情況下的集成往往會對業務造成性能大幅下降、改造工作量大、重複投入,不利於數據安全體系的建設。因此,需要將數據安全技術進行融合,統一管理、統一調用,以服務的形式應用到數據生命週期的各個環節中去。
四. 數據支撐環境安全管控能力
主要是對數據庫本身和大數據組件進行安全加固,配合數據安全技術對數據資產進行訪問控制,定期開展安全掃描和配置覈查,確保數據資產的安全性和可用性。
五. 數據運維安全管控能力
數據運維角色一般是指DBA、數據運維工程師等相比應用權限範圍更廣泛的人員。目前數據安全領域出現的衆多數據泄露事件大多是由這類人員造成,另外,數據運維過程中不排除會出現誤操作造成的數據損毀現象。因此,高權限人員我們應該重點關注,對於高權限人員應從授權審批、違規識別與阻斷、高危操作提示與阻斷、數據遮蔽四個方面進行管控,並建立權限回收機制,支持靜態授權和動態授權,管控粒度達到操作語句級。
六. 數據安全感知能力
數據安全感知能力的核心價值是發現違規並調查取證、稽覈制度規範和安全策略的執行情況、趨勢分析輔助決策。
數據安全感知能力的建設一般是由數據安全管理員和日誌審計平臺組成,日誌審計平臺可以幫助數據安全管理員對大量的日誌進行進行運算和彙總,並從中自動發現觸碰規則的行爲,數據安全管理員可以從日誌信息中發現潛在的安全風險,不斷完善和增加安全規則,使得本組織的數據安全防護能力不斷提升。
日誌審計平臺應具備日誌信息採集、日誌彙總與分析、規則識別、告警和可視化展現五個功能。
騰訊安全基於20年數據安全運營經驗,整合輸出數據安全能力,助力企事業單位開展數據安全體系建設。騰訊安全秉承“讓數據遵規守序”的理念,聯合生態夥伴,共同讓數據管理遵循法規,讓數據流動遵守秩序。
歡迎業內人士加入【騰訊數據安全交流羣】,共同探討數據安全能力和技術實踐。
添加小助手微信號【Tencent-DataSecurity】
發送【數據安全】進羣