建立以数据为中心的安全架构 保障数据依法有序地自由流动

首页 / 业界 / 资讯 /  正文
作者:荏珺
来源:安全419
发布于:2023-05-25
近30年来,随着经济全球化浪潮的到来,全球化运营、拓展新市场以及为全球客户群扩展 IT 系统成为企业重要发展战略。作为数字经济的关键生产要素,世界各国高度重视数据这一新型国家战略性资产,跨境数据流动已经成为新秩序竞争博弈的焦点,在极大提升跨国协作效率的同时,也面临着数据主权侵害、国家安全、数据监管、隐私保护等问题。
 
因此,建立国际数据流动、公开与共享的机制和标准成为亟需解决的共同课题。数据隐私法始于欧盟的《通用数据保护条例》(GDPR),该条例对个人数据收集、检索、使用等处理行为进行严格规制,并为涉及个人数据出境业务的企业或机构提供多种合规渠道和工具。而我国作为数据资源大国,顺应数据及个人信息出境需求的增长趋势,制定了《数据出境安全评估办法》、《个人信息出境标准合同办法》等法规条约,构建了我国数据出境安全评估的制度,防范数据出境安全风险,保障数据依法有序自由流动。
 
其实,云的产生基于一种假设,即位置并不重要。但因网络犯罪的无情性质,事实证明位置确实很重要。目前,许多国家都对公民个人信息提出本地化存储要求以及安全评估义务(例如俄罗斯等),对企业的涉外合规管理提出巨大挑战并大大增加了企业IT服务和安全策略的复杂性。
 
例如,对一家在 80 或 90 个国家/地区开展业务的企业而言,仅仅是了解这些国家/地区的最新法规就是一个巨大的挑战,更不用说确保企业在不同的系统或不同的复杂环境中遵守这些法规了。同时,随着处罚的愈加严厉(GDPR对涉及数据泄露的企业处以最高达年收入4%的罚款),企业需要提升数据治理能力,进行全面的安全评估以确保数据能够安全合规出境。
 


未来需要以数据为中心的安全架构

现如今,保护数据的方式必须改变。企业需要将数据置于现代安全计划的中心,而不是聚焦于硬件、网络、应用程序和身份等基础架构组件。
 
数据所有者和网络安全团队可以充分利用人工智能、机器学习和自动化以应对数据扩散及不断扩大的威胁面。数据极易被创建或使用并且在混合云环境中过于自由流动,手动工作无法及时且有效地实施保护。伴随新一轮科技创新,企业可以利用无监督机器学习来查找数据环境中的关系和关联。之后,受监督的 ML 可以根据专家建立和验证的信号来判断数据是否暴露或识别漏洞,以避免误报和漏报。还可以通过在自动化工作流程中插入相对应的措施来加速补救,企业安全团队可以利用对话式 AI ,使用自然语言模型更好地分析和询问结果以协助查询和研究。
 
当然,以上提到的所有措施都建立在企业已知数据位置及其价值之上。以下将提供四种关键措施以满足相关数据隐私法律和法规,供企业数据安全领导者参考。
 
1、识别敏感数据所在的位置。

可见性是保护数据最基础、最具挑战性的要素之一。现代企业需要投资于能够自动、持续识别数据的技术,包括结构化和非结构化数据、谁能够拥有和访问这些数据以及数据流向何处。

2、对敏感数据进行分类并建立深层上下文以确定处理措施

有效的数据安全防御措施需要首先了解其数据的价值及预期用途,同时数据安全应推动企业业务增长,而不是阻碍或减缓创新步伐。强大的 ML 和 NLP 算法可以解析结构化和非结构化数据、识别独立的敏感数据以及需要给定安全级别或策略治理的具有可识别性的数据组合。该系统能够不断从环境(元数据、设置、用户和应用程序)中提取信号,以维护有用的敏感数据清单包括足够的数据上下文等,最终制定出数据保护策略。
 
3、执行自动化修复流程,与企业业务时刻保持同步。

在如今这个云时代中,人工决策和执行已经无法跟上数据移动和变化的速度,因此根据企业对现有数据及其价值和风险的深入了解,可以通过自动化流程实现及时补救。同时,鉴于当前的经济环境,有效投资相关工具和员工培训也至关重要。
 
4、为数据保护奠定基础。

数据安全领导者需要通过自定义数据保护控制措施,减少攻击面、保持安全团队的运营弹性和相关准备工作并优化成本。同时,也要考虑安全、隐私和其他监管框架、数据备份和管理策略,以及基于数据对业务的敏感度和价值而存在的环境。如果企业在AI、ML 和自动化方面使用得当,可以从专注于减少攻击面转变为在不断增长的数据环境中降低影响范围。
 
当然,如果企业没有足够的安全资源建立数据安全防护体系及无法落地实施数据出境合规管理,那么借助服务商的相关技术也是不二之选。安全419长期关注数据安全领域,并结合技术创新、应用实践等多个维度筛选出了几家代表性厂商,为企业提升数据安全保障能力提供一定的参考。
 
美创科技——通过数据分类分级 深挖数据价值、加强信息安全防护

基于对数据的充分认知,美创科技研究落实分类分级国标及行标,打造出暗数据发现和分类分级平台,推动数据透明化、有序化、价值最大化、流程自动化,帮助用户将不可理解的数据自动化、智能化地转化为可认知的、分类有序的数据。同时,聚焦“敏感数据”,创新实践“零信任”安全理念,围绕数据产生、传输、存储、使用、共享、销毁的全生命周期,构建由内到外主动式纵深防御体系。
 
数安行——搭建数据运营安全平台 实时感知数据违规使用及流转风险

不同于传统数据防护思维,数安行关注于多类型、多格式、多形态的数据内容深度解析和流转跟踪标注,提出了DataSecOps数据运营安全理念,在数据运营中内嵌数据安全属性。以零信任数据安全架构为基础,以人工智能技术为核心驱动,对数据业务全流程进行无改造映射,并提供自动化的数据多源发现、全流程数据流动治理、以及风险感知和自适应精准化防护的全能力搭建。
 
云集至——基于数据安全赋能 释放数据资产价值

云集至以全数据安全为核心,率先提出了数据安全“数据运行环境层安全保护+数据使用层安全防护+集中管理层”的三层防护体系,覆盖数据安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据的安全防护和安全合规。同时,其的云集全数据安全集中管控平台能够构建标准化的安全管控策略和安全能力,实现数据安全合规管控流程化、自动化和标准化,解决专业人员不足问题。
 
熠数信息——提供场景化的数据安全解决方案

熠数信息以数据为对象,围绕账户、应用、资产、接口、行为,构建数据流转的全息画像,提出了EDMC数据安全能力模型,实现数据安全能合规、有抓手、查得出、防得住。还能够针对网络上可能出现的数据安全事件做出预警和研判,评估数据安全的风险状况。该模型能够梳理企业网络内的业务、资产和数据的分布,对数据进行分类分级,针对级别高的数据重点监测其流转的过程,分析各业务账户对数据的行为与操作,真正起到数据安全治理对企业发展目标的赋能作用。
 
由于愈加严苛的立法和愈加严峻的安全问题,全球化和本地化已经走到了十字路口,企业的下一步战略将对未来许多年的世界贸易和全球经济产生重大影响。虽然保护消费者个人信息安全的相关措施可能会以增加法规或立法的形式持续进行,但企业可以通过优先考虑数据安全,更加主动地保护敏感信息和关键资产,逐步实现从满足合规性要求到追求有效性目标的转变。