数据安全工作太抽象?分享一种业务开展思路(一)思路篇
2024-9-18 09:32:10 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

数据安全工作的必要性

数据安全这个词很大,又很小。小到几乎每一个人都知道数据很重要,它关乎每个人的隐私权和财产权,大到数据已经成为国家和国际层面,成为影响国与国之间竞争与合作的新维度。

企业在数字化快速发展的当下,在探讨数据资产入表、数据资产创新应用、数据资产估值、数据要素交易与流通等数据价值场景,都离不开数据要素的核心“数据”,不仅是企业运营的核心,更是企业竞争力的关键。然而,随着网络环境的日益复杂,数据安全威胁层出不穷。如何确保数据的安全性、完整性和可用性,让“数据”不能沦为负资产,成为了企业面临的重要挑战。

数据安全工作的定义

数据安全工作是指通过实施一系列的管理和技术措施,确保数据在存储、处理和传输过程中的机密性、完整性和可用性。其核心目标是保护数据免受未经授权的访问、使用、泄露、破坏、修改或丢失。

数据安全工作面临的问题

行业合规监管趋严,多地陆续开展了数据安全专项检查工作,在形势要求下,与怎么合理有效的数据安全建设思路互斥。特别是数字化成熟度和网络安全工作还没达到,就盲目开展数据安全工作,常见如开展全量的数据分类分级,输出了一大堆数据服务目录文件,但却无法在业务场景中应用,无法创造业务价值,陷入为了合规而合规的工作惯性。

1723173977_66b58c59104217e4db9f6.png!small?1723173982541

以前的数据安全工作开展方式:

  • 通过等保合规指导数据安全工作

等保作为合规的基线,数据安全是等保2.0建设的核心内容之一,等保制度在等保1.0对数据安全的要求基本不变的情况下,根据新网络环境和业务场景对数据安全保护能力,对数据的审计、访问控制、加密都有更明确的要求。也有以防御为主,在演进到等保2.0中,调整为事前、事中、时候的整体性防护,不仅要做好审计,还要再出现问题的时候可以溯源。

以下挑选跟数据安全相关的要求,对比差异看是否当前数据安全工作内容已经覆盖:

1723103306_66b4784a9b42da7e83e3a.png!small?1723103315098

1723103869_66b47a7d94c9bab9e1303.png!small?1723103878186

1723104268_66b47c0c7227e39868c96.png!small?1723104277421

1723104472_66b47cd8871fd0f45d72f.png!small?1723104481242

1723105027_66b47f038a86bd55389b9.png!small?1723105036217

1723105307_66b4801b41809ad558c4b.png!small?1723105316140

1723106261_66b483d59bc22aadf6fc6.png!small?1723106270671

1723106308_66b484043c786ccf4ebc7.png!small?1723106318662

基于等保2.0的控制点,通过上图可以看出大致可以分为四层,主要:

发现响应层:通过安全设备或安全组件,作为技术手段实现管控,重点可通过堡垒机并设置独立的管理网络实现 ;

分析层:通过IDS、态势感知对安全事件进行汇聚、识别、关联分析和报警;

热数据(缓冲层):主要是提供有效、可用的数据格式;

管理层:基于安全控制场景进行展示,提供辅助决策支持。

1723168094_66b5755ef323b9fa3d237.png!small?1723168099438

从数据安全管理体系,技术工具只是实现手段,组织建设、制度体系及人员能力意识是基础保障。这些保障分别映射到数据生命周期管理的各个阶段,才能保障数据安全工作目标的达成。

现在的数据安全工作开展方式:

当下数据安全工作已经不仅仅基于《网络安全法》的等级保护制度,还需兼顾其他法规如《数据安全法》《个人信息保护法》《密码法》及其他管理条例。

1723172708_66b5876479b86fb005cbc.png!small?1723172713598

从企业视角,对数据安全工作的开展,也发生了趋势及变化,总结如下:

  1. 数字化转型的深入,让已经有基础数据安全建设条件的企业期望体现价值和效果,更加深入关注使用数据活动中的行为可视和数据流转的风险识别。
  2. 内外部的压力让用户更关注风险管理,数据安全体系难以直接落地也使得用户与监管部门更优先关注发现风险、遏制风险
  3. 数据安全合规评估(数据安全检查、数据安全风险评估、数据跨境评估等)、合规补齐建设等明显提上日程
  4. 许多过去未启动数据安全建设的用户,从此前的观望、犹豫态度逐步进入调研评估、找场景落地的阶段
  5. 对数据资产入表、数据资产创新应用、数据资产估值、数据要素交易与流通等数据价值场景,储备和着手数据资产培训能力

特别是第5项,是数据资产间接或直接产生价值的主要表现形式,也是驱动数据安全工作的主要抓手。

1723173219_66b589639d9f22d02368c.png!small?1723173226852

如何用科学的姿势开展数据安全工作

通过几次服务国央企、金融、医疗卫生和政府民生类数据安全工作的实践,抽象出一个整体数据安全工作开展框架和路线图。

1723175419_66b591fb430745989f3db.png!small?1723175425742

  • 数据安全管理体系建设

组织架构完善,相关的数据安全制度和流程完善,是保障数据安全第一步。数据安全也号称是“一把手工程”,只有领导重视了,数据安全管理体系起来了,那么数据安全就会慢慢的建设的。

  • 数据安全技术体系建设

基于数据全生命周期进行建设,从数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁等六个阶段,全面的分析各个阶段的风险,根据各个阶段的风向,制定数据安全技术手段来解决的。

  • 数据安全运营体系建设

只有管理和产品,无运营体系,那么数据安全建设也是空谈的,只要从运营的体系的建设,更好的检验数据安全管理的效果,数据安全技术体系的作用,全方位的建设数据安全。

1723176961_66b5980158345e0800f71.png!small?1723176967348下一篇主题为:数据安全工作太抽象?分享一种业务开展实践(二),把上图的里程碑和具体工作如何开展分享给大家。

如果反馈较好,会持续分享这个系列,把踩过的坑和服务落地过程中的有趣事进行分享。

也希望认识更多从事这个领域工作的朋友,共同探讨如何在数据安全工作中实现价值,欢迎私信交换联系方式。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/database/408211.html
如有侵权请联系:admin#unsafe.sh