实现可视、可管、可控的数据安全体系化防护
日期:2022年02月22日 阅:128
数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,数据逐步成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。国家在《十四个五年规划和2035年远景目标纲要》等重要文件中,提出发展数字经济战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。针对上述行业背景,为帮助更多企业用户落实《数据安全法》《个人信息保护法》等法律法规要求,提供数据安全规划、建设,数据安全可持续运营,发布本期牛品推荐——迪普科技:数据安全运营解决方案。该方案从数据安全的“识别、防护、监测、处置、恢复”维度出发,旨在帮助客户在满足《网络安全法》、《数据安全法》等合规要求的基础上,进一步提升数据安全核心管理能力、实现“数据安全可视、可管、可控”的保障目标。
标签
数据分类分级、数据流动监测、API风险监测、数据安全防护、数据安全运营
用户痛点
1、数据安全运营缺少整体性
在业务系统更新迭代、系统业务功能增加、业务数据类型激增以及数据资产重要性、安全性提升的多重原因影响下,导致企业内部数据安全运营管理杂乱,整体缺少可持续性数据规则梳理与调优。
2、数据资产测绘难
企业业务系统涉及的数据资源数量大、类型多、分布离散,且更新周期短,难以形成清晰全量数据资源台账,重要数据台账无法区分;无法形成内部可动态调优数据分类分级规则,进而对数据安全业务评估与建设、数据可持续价值与安全运营造成消极影响,且无法明确数据资源归属。
3、数据安全防护体系建立不完善
部分企业具备一定数据安全防护能力,但缺少顶层数据安全规划,数据安全防护能力无法完全覆盖所有业务系统,不能适应数据开放共享等场景,对数据在流通过程中安全管控,安全策略、管理制度和操作规程等未能落实到数据生命周期各个环节,导致在实际业务中,数据安全过程缺少规范和相关流程,具体能力建设无规可依。
4、数据风险难发现
传统信息化建设重点是实现数据流通,保障业务正常运转,这也导致了数据流关系、数据访问权限错综复杂,难以构建行之有效的敏感数据流转权限策略以及管控措施等问题。同时,过去只重点关注数据高效流动,却忽视数据安全,导致数据泄露、数据篡改、数据越权访问等风险事件频频发生,数据资源在采集、传输、存储、处理、交换过程中缺乏安全风险发现能力。
解决方案
1、数据安全三大组成要素
数据安全不仅仅是购买和部署一批数据安全设备就能解决问题,而应该通过人员、技术、管理三大要素推进数据安全建设。
2、数据安全五大能力
通过数据安全五大核心能力建设,做到数据安全风险事件管理,实现“事前、事中、事后”的全过程覆盖。
3、数据安全生命周期六大阶段
从采集、传输、存储、处理、共享、销毁数据生命周期六大阶段,完善数据安全治理体系。
4、形成数据安全运营体系
安全即服务,服务即运营。安全设备、安全平台需要真正用起来才能充分发挥出它的价值,为更好的落实服务效果,用运营的思路去主动持续服务客户,就是服务即运营的观点。
通过安全技术(平台体系、产品工具)、安全管理(运营流程与组织管理)、人员(服务团队)三大核心要素的共同组合,在企业数据安全体系建设不同阶段,提供IPDRR五大核心能力提升的建设支持,结合数据生命周期六大阶段,在网络与数据安全领域,提供整体安全解决方案,具备行业化的数据安全运营交付能力。
逐步实现持续数据安全运营的智能化、闭环化、指标化。确保安全运营服务可执行、可度量。
5、迪普科技数据安全运营解决方案
通过数据分类分级与风险评估系统,让数据所有者认识自己数据资产的过程,采用规范的数据分类分级方法,帮助用户理清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。通过API风险监测系统,被动发现API数据资产、数据安全问题等。通过数据库审计,被动发现边缘数据资产,数据库层面所产生的数据风险问题。
根据数据安全识别阶段发现的数据资产与数据风险问题,建设数据防护体系,根据数据分类分级规则,重要数据规则,通过数据库防火墙、数据防泄漏、数据库脱敏、数据库加密、数据库水印等,重点防护重要数据、核心数据风险问题。
为解决数据安全防护阶段被动防守模式,通过建设数据安全管控平台7*24实时监测数据流动风险,通过SOAR联动数据安全防护体系,主动阻挡数据在流动中产生的数据安全问题。
通过数据安全服务,解决数据安全最后一公里。通过融合数据安全三大要素人员、技术、管理,数据安全五大能力、以及数据生命周期六大阶段,形成数据安全运营体系。
用户反馈
在落实工信部数据安全标准方面,迪普对分类分级标准、重要数据识别指南、数据安全评估等内容,从专业维度做到了核心与重要系统全覆盖、数据分类分级自动打标、重要数据自动标签、以及评估标准平台化,切实满足考评要求。
—-来自运营商用户
从传统防护体系到主动监测体系转变,迪普在数据安全领域重点对数据识别、数据检测、数据监测与分析、数据流转分析、异常行为分析、API接口风险等有着深入技术沉淀,能真正落实数据分类分级规则,解决在数据流转过程中的问题。
—–来自金融客户
政府单位数据集中化,以及数据超市形成,为数字经济发展提供新动力。但在监管视角,数据集中、交易、共享过程中所产生的数据风险问题是网信部门未来的关注重点。迪普在数据流转、交互、共享过程中进行实时监测和风险发现,有利于网信部门对数据安全风险防范于未然,处置与下发数据安全事件,形成闭环管理,履行监管责任。
—-某网信客户
安全牛评
迪普数据安全运营体系将独立的数据安全组织、管理制度、数据生命周期策略、以及数据安全产品相互融合,解决了过去甲方用户以购买产品为核心,到以五大能力建设为目标的思路转变。实现了技术、人员、管理三大要素构成,识别、防护、监测、响应、恢复五大能力建设,落实了数据全生命周期管理与技术闭环。