數據安全應該怎么做?專項運營是王道!

發布時間 2020-03-10

大數據時代,數據是最重要的資產。面對頻發的數據安全事件,讓我們不禁思考,對于數據資產尤為重要的服務商、企業或政府單位來說,數據安全應該怎么建設呢?本文以近期發生的刪庫跑路案件為例,分析了目前現有的三種數據安全保障思路,并提出啟明星辰數據安全專項運營解決方案,幫助用戶解決數據安全難題。


大數據時代,數據是最重要的資產。


從個人角度來看,衣食住行都會產生數據,包含著最基本的個人信息以及歷史消費記錄等。如果數據被盜,會對個人造成財產損失甚至會對社會造成嚴重的后果。


從企業來看,數據,尤其是業務數據,是市場競爭的關鍵部分,而保護用戶的數據安全是最基本的責任,事關企業發展與信譽。


因此,無論從哪個角度來看,做好數據安全防護都是必須要做的事。


近日,某面向電商零售、餐飲、外賣、美業、酒旅的SaaS服務商,本應在新冠肺炎疫情帶給線上服務商機遇之中逆勢而生,由于沒有做好數據安全防護措施,遭遇內部員工刪庫,導致數據大量丟失,并向他的用戶提供1.5億元賠付并致歉。而在資本市場上,其蒸發市值超過20億元,潛在損失更無法估量。


我們不禁思考

對于數據資產尤為重要的

服務商、企業或政府單位來說

數據安全應該怎么建設呢?


現有的數據安全保障思路分析


近幾年,數據安全漸漸走向人們的視野,被大家所重視,數據安全解決方案也層出不窮。根據數據安全解決方案提供商們所提供的數據安全保障思路,總結得出大致有三種:


1、以數據生命周期為基準進行數據安全建設


數據生命周期,是數據治理層面的一個術語,表示數據從生產、采集、歸檔、銷毀的全過程?,F在有很多數據安全的建設也在提基于數據全生命周期的安全管控。然而數據生命周期的數據安全建設更適合于以文件為單位的管理,當應用到業務數據、數據共享領域后,很難落地,極有可能為了解決一個點的問題,牽涉到整個業務流程和業務系統的改造,這就造成了用戶投入產出比不高、過程繁瑣難以把控等問題。當然,如果對數據生命周期各階段安全做好,數據的安全也就有了較好的保障。




數據全生命周期


2. Gartner數據安全治理框架


Gartner在2017年開始關注數據安全治理,提出了數據安全治理框架,分為5步:


1)業務需求與安全(風險、威脅 、 合規性)之間的平衡;

2)數據優先級,進行數據分類分級,以此對不同級別數據實行合理的安全手段;

3)制定策略,降低安全風險;

4)實行安全工具,部署安全控制點(包括Crypto加密、DCAP以數據為中心的審計和保護、DLP數據防泄漏、CASB云訪問安全代理、IAM身份識別與訪問管理、UEBA用戶和實體行為分析);

5)策略配置同步。


Gartner的數據安全治理框架,雖從合規、風險和策略上面對數據安全進行了體系化的規劃,但忽略了時間對數據安全風險帶來的影響,數據的安全隨著業務情況變化而變化。因此,我們在注重整體保障設計的同時,還應注重持續性的風險防控監測。


Gartner數據安全治理框架


3. 從空間角度解決數據安全問題


目前,很多數據安全解決方案提供商為了避免生命周期解決方案所帶來的復雜度及落地性問題,都會從其他的角度去解決問題,這樣的解決方法,我們稱為以空間換時間,從場景和身份解決數據安全問題。


將數據安全的場景從不同的角色和使用場景進行區分,包括運維場景、數據導出場景、數據使用場景等,對應不同的身份角色,制定不同的管控策略,以空間換時間,保障數據場景化安全。


這種方式既吸納了Gartner數據安全的精髓,又很好的解決了生命周期思路無法落地的問題,對于用戶來說,也能夠起到很好的數據安全管控作用,不過依然存在無法適應業務發展的問題。




空間角度數據安全


啟明星辰數據安全專項運營解決方案


作為信息安全行業領軍企業,啟明星辰擁有比較完善的數據安全產品體系,通過在安全運營領域深耕細作,總結了一套數據安全專項運營解決方案。此方案面向用戶業務數據,以敏感信息及數據資產治理為基礎,以數據安全風險防控為目標,以場景化數據安全管控為手段,兼顧數據生命周期各階段審查,進行的閉環式的數據安全管控。


此次刪庫事件,實際上就是人員權限管理及管理制度等層面的問題,我們應當在場景化(運維場景/研發場景)的數據安全之上做好更細粒度的安全管控,并且對數據安全風險進行持續監測和預警,以便迅速進行異常行為操作的阻斷及快速響應。


啟明星辰數據安全專項運營解決方案具備啟明星辰產品的優勢(如4A、數據脫敏系統、數據加密系統、數據防泄漏、數據庫審計等產品)和數據安全治理相關解決之道,又融合了安全運營的思想,從合規、資產摸底、敏感追溯、時間或空間維度風險管控及持續風險監測運營等方面出發,幫助用戶解決數據安全難題。


啟明星辰數據安全專項運營解決方案價值


查合規:安全合規是前提,確保業務數據的安全合規;

曉資產:以用戶業務數據為核心,明晰自身數據資產,確保敏感信息發現和分類分級;

溯血緣:以流量及行為分析為方法,追溯并分析異常數據訪問行為,保障敏感數據可溯源;

控風險:以空間及時間策略做維度,防控數據安全風險;

恒運營:以數據安全運營為手段,保障業務數據持續性的風險監測。


目前,此次遭遇刪庫事件的企業已經在內部系統進行自查,并且邀請外部數據安全專家一起來評估,制定了數據安全的保障方案,具體措施包括數據安全管理機制全面加固與整改,運維平臺的強化治理等內容。啟明星辰數據安全專項運營解決方案,切實符合用戶業務,精準數據安全治理與管控,有效防控數據安全風險,是值得信賴的選擇。