BCS 2022大灣區(qū)網絡安全峰會 | 美創(chuàng)CTO周杰分享數(shù)據(jù)安全風險治理實踐

  • 人閱讀
  • 2022-08-22 16:34:19

  • 來源:西盟科技資訊

  • 相關關鍵詞

8月17-8月18日,BCS 2022大灣區(qū)網絡安全峰會在深圳成功舉辦。會上,多位嘉賓圍繞數(shù)字時代網絡安全建設,網絡安全產業(yè)發(fā)展等議題,共謀發(fā)展思路、建設新規(guī)劃。

美創(chuàng)科技CTO周杰應邀出席,并在零信任安全論壇發(fā)表《基于零信任的數(shù)據(jù)安全風險治理》主題演講。

數(shù)字經濟的時代,數(shù)據(jù)要素正在發(fā)揮越來越大的作用,數(shù)據(jù)的作用和價值越來越高,但也帶來了不勝枚舉的安全風險和挑戰(zhàn)。《數(shù)據(jù)安全法》、《個人信息保護法》、《網絡數(shù)據(jù)安全管理條例》等法規(guī)條例的陸續(xù)出臺實施,標志著數(shù)據(jù)安全建設必要性提至新的高度。

周杰表示,組織機構做好數(shù)據(jù)安全,首先需要充分認知數(shù)據(jù)所面臨的風險。一方面移動辦公、業(yè)務上云等新的環(huán)境安全風險、一方面數(shù)據(jù)需要跨業(yè)務、跨系統(tǒng)、跨部門,多跨場景下的數(shù)據(jù)風險。如何開展面對數(shù)據(jù)風險的感知、理解、計算、預測、防護全過程變得更為迫切。

以某政數(shù)局數(shù)據(jù)匯聚、共享、交換為例:省、市、縣三級,需要逐層數(shù)據(jù)匯聚,當省級單位把數(shù)據(jù)匯總之后處理之后還要分流給市單位、縣單位。在此過程中,數(shù)據(jù)打破原有安全域內流動的約束,接觸面迅速擴大,與數(shù)據(jù)相關的應用、人員等更為復雜且快速變化,這些原因都在導致傳統(tǒng)基于靜態(tài)邊界保護的網絡安全和數(shù)據(jù)安全保護措施不斷弱化,甚至失效。

美創(chuàng)認為數(shù)據(jù)安全風險治理首先需要在零信任理念和思想的指導下,建立合規(guī)認知、數(shù)據(jù)資產梳理、數(shù)據(jù)安全風險管控、持續(xù)監(jiān)管運營的數(shù)據(jù)安全理念,在數(shù)據(jù)安全建設過程中把握從身份、資產、行為三個層面,結合風險治理六大維度實現(xiàn)切實有效的數(shù)據(jù)安全防護。

2020年美創(chuàng)發(fā)布新一代數(shù)據(jù)安全架構,提出了零信任2.0架構,通過以人為中心的身份管理、訪問控制、動態(tài)防護及持續(xù)的信任評估,在數(shù)據(jù)安全建設中以資產構建防護邊界,建立從內到外的防護鏈,讓數(shù)據(jù)時刻處于保護之中。

周杰介紹,美創(chuàng)基于十余年數(shù)據(jù)安全建設經驗,主張從六大維度來進行數(shù)據(jù)安全風險治理和評估,并且按照嚴重程度、發(fā)生概率構建風險評分系統(tǒng),這六大維度分別是:資產、身份、合規(guī)、行為、訪問上下文、入侵生命周期。

第一,資產維度是風險治理最好的出發(fā)點

第二,身份維度,身份維度定義了信任度和作用域

第三,合規(guī)維度,任何違規(guī)行為都是風險

第四,行為維度,行為固有模式

第五,訪問上下文,環(huán)境上下文和操作上下文

第六,入侵生命周期,特征就是風險治理素材

并通過風險賦能動態(tài)身份調整、資產重要度、敏感度識別、訪問控制系統(tǒng)管理及充分可視化讓用戶直觀感受安全問題。

風險作為人和技術的界面,讓人可以從風險的可視化感知安全問題。風險治理、身份治理以及資產治理是安全體系中的三大支柱。通過風險評估暴露組織的安全問題,通過風險治理降低組織面臨的安全問題。讓數(shù)據(jù)在安全可控的前提下進一步釋放價值。

最終以DSMM數(shù)據(jù)安全能力成熟度模型、以及零信任2.0數(shù)據(jù)安全架構等為參考模型,通過脫敏、加密、水印、審計、訪問控制等數(shù)據(jù)安全技術能力,構建體系化數(shù)據(jù)安全建設,落實數(shù)據(jù)安全相關制度,數(shù)據(jù)全生命周期各階段的安全運營常態(tài)化,建立良好的數(shù)據(jù)安全運營機制和動態(tài)協(xié)同能力,將數(shù)據(jù)安全風險控制在可接受范圍,實現(xiàn)數(shù)據(jù)在哪里安全就在哪里。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )