《數據安全法》倒計時 奇安信發布業內首個“數據安全能力框架”
我國首部與數據安全相關的法律《數據安全法》將于9月1日正式實施。隨著DT(Data Technology)時代的到來,數據已成為數字經濟發展的核心生產要素,是國家重要資產和基礎戰略資源。
尤其在網絡攻擊威懾上升、數據安全風險與日俱增的新形式下,數據安全已成為數字經濟時代最緊迫和最基礎的安全問題,加強數據安全治理已成為維護國家安全和國家競爭力的戰略需要。
圖 奇安信集團董事長齊向東在BCS2021講解DT時代的復雜性挑戰
大數據DT時代,數據應用場景和參與主體的日益多樣化,數據安全體系建設必須拋棄傳統的單點防御模式,而要采用全局治理的體系化建設思路。為此,奇安信集團于8月30日正式發布“數據安全能力框架”(簡稱:能力框架),以及“數據安全運行構想圖”(數據安全ConOps),旨在為數字化轉型不斷深入的大型政企客戶以及業內伙伴,提供基于甲方視角的數據安全全面圖景,以及一條構建大數據安全體系的可行道路。
奇安信副總裁韓永剛表示,奇安信數據安全能力框架、ConOps及配套舉措建議,是數據安全建設的一套思路、方法與工具,幫助用戶去設計和構建業務場景的數據安全體系和解決方案,展現了“數據安全治理到技術體系落地如何去貫穿,以及安全能力在信息化各個層面的工程化落地方法”。
數據安全非單點技術
能力框架提供全面圖景
基于大量的行業建設實踐,奇安信總結出大數據安全建設的五條基本思路:
首先是數據安全并非單點技術,而是一個能力體系;
第二是數據安全與業務邏輯有更頻繁的交互,更需要實現安全內生;
第三是數據安全治理成果需與數據安全策略相結合,即數據安全治理的成果,從管理辦法制定到數據的分級分類,都需要與技術體系結合,才能指導安全建設,實現數據安全治理的技術與運營落地。
第四是“數據安全防護體系”需與“零信任架構”結合,做到“主體身份可信、業務訪問行為合規、數據實體有效防護”。
最后是雙視角的數據安全全流程防護,將數據生命周期視角與業務流轉視角相結合,進行數據流轉的精準控制。政企客戶要構建這樣綜合的數據安全體系,顯然需要一套能力框架進行指引。
圖 數據安全能力框架
奇安信推出的能力框架,是基于甲方視角、針對數據安全領域的全面圖景。該框架以數據安全治理體系的理論為邏輯推演依據,同時參考結合了Gartner DSG、DSMM、微軟DGPC中的有效的思路,保證數據安全建設的先進性;覆蓋數據安全治理體系的每一個階段,保證建設的有序性;覆蓋數據實體防護的全能力,確保數據的安全可控。
能力框架的縱軸從數據安全管理、技術和運行視角,覆蓋數據安全治理每一個階段;橫軸從數據實體防護角度出發,從基礎環境安全、身份安全與訪問控制 數據保護、監測與響應、審計定責,到數據備份恢復,覆蓋數據實體防護的全能力。
韓永剛強調,能力框架一是解決了如何從數據安全治理把數據安全策略層層具象化落實到具體產品能力的拉通方法問題;二是回答了在兼顧多重典型數據應用場景下在政企信息化環境中,什么區域需要哪些數據安全能力與產品部署的問題。
數據安全全流程防護需要基于數據脈絡做精準管控,同時結合數據全生命周期的安全防護。其中精準管控需要根據數據脈略,結合零信任架構和數據安全治理的成果(如分類分級、數據標簽,數據目錄,資源屬性等),動態評估主體的數字身份、安全狀態和信任等級,實現對客體資源的精準控制訪問;結合數據全生命周期,對數據實體做全方位的防護(如采集要過濾敏感數據,存儲安全加密,使用精準管控、訪問留痕交易采用數據沙箱等)。
奇安信數據安全能力框架中的每一個元素都是一種數據安全的能力組件,是數據安全治理與數據防護形成的交織點,每個組件代表著數據安全在不同階段、不同層面所需要的安全能力。能力框架共包含567個能力組件,不同行業可結合自己的業務特點進行適當的能力選擇,在數據安全的體系建設與運行過程中,將其有序的分布到每一層次里,進行相應的數據安全的管控與防護。這些組件結合起來,可實現彈性擴展、自適應和自生長,滿足政企客戶不斷變化的數據安全需求。
數據安全ConOps
貫穿治理先行、規劃設計到技術落地
為使政企機構能更容易理解,數據安全的有效運轉是從策略到流轉,再到應用組件控制與網絡計算環境的多層次結合的復雜系統,奇安信基于系統工程的方法,從數據安全運行視角,以新型數據中心的業務場景為依托,基于業務到技術實現的層次化視角,設計了數據安全ConOps。
圖 數據安全ConOps(以抽象脫敏的“健康碼”為示例)
數據安全ConOps呈現了數據安全應具備的三個狀態:
治理態、規劃態和運行態,
體現出數據安全從治理先行到規劃設計、技術落地的轉化過程。數據安全治理需要與技術體系相結合進行落地。
數據安全ConOps分為四個層次:
自下而上分別為是--數據中心和信息化層、業務應用和安全能力層、數據流轉與管控層、數據安全策略層。
這四個層次從支撐到抽象,涵蓋了產品部署、應用能力、業務流轉、邏輯規則四個層次,分別對應能力框架中的產品策略、能力策略、管控策略和業務策略,ConOps和能力框架結合,更直觀的為客戶提供數據安全全局治理的體系化建設思路。
除了發布數據安全能力框架和ConOps之外,奇安信還建議:面對大數據應用的數據安全防護,政企機構應基于數據應用場景、業務邏輯與數據的流轉,從“管理、技術、運行”來開展數據安全的治理與防護工作,以數據安全治理為前提,在進行數據安全組織建設、制度建設與數據資產梳理及分級分類的前提下進行數據安全防護設計,并通過數據安全態勢感知進行數據安全運營,從數據資產管理、數據流動態勢、數據風險分析、用戶行為分析等維度,促進數據安全治理的閉環形成,對數據安全能力進行持續演進。
分析人士認為,奇安信發布的“數據安全能力框架”與ConOps,適合了數據安全與業務邏輯不斷深度交互的趨勢,更深刻體現內生安全理念,可幫助在數字化轉型上不斷深入的大型政企客戶,以及業內伙伴,在大數據安全體系的構建上,提供更加清晰的全局思路,以及更具實操的完整方法和工具。
