【IT168 评论】提到数据安全,我们总会有说不完的话题,道不尽的辛酸教训。从数据泄露、勒索软件攻击我们看到了数据安全防护的紧迫性和必要性;从即将正式实施的数据安全法、国家互联网信息办公室会同有关部门修订的《网络安全审查办法》,以及近期以滴滴出行为代表的多家企业因违法违规收集使用个人信息问题,被国家网信办严令下架事件中,我们也看到了大家对网络安全、对数据防护的重视程度。
毫不夸张的讲,数据安全已经成为一个全民话题。但面对新的数据安全攻防形势,新的数据安全风险,传统的数据安全防护方式已逐渐失效,企业的传统数据安全产品在逐渐失去应有的效用,无法形成有效的防护,已如何有效保障企业用户的数据安全成为一大难题。
为了帮助用户实现有效的安全防护,郑州云智信安安全技术有限公司近期正式发布“ACCPER数据安全能力框架”。云智信安技术总监彭铭表示,本次发布的ACCPER数据安全能力框架是以《中华人民共和国数据安全法》为依据,结合DCAP、数据流动风险、数据安全生命周期安全管理等模型形成的一套数据安全治理和保护的能力模型。根据介绍,该框架主要由六大安全能力构成:
●全面梳理(A-Assort):通过对资产、身份、风险等要素的全面梳理了解组织内部到底有哪些数据资产、业务设备、身份账户信息以及数据库资产运行环境是否存在安全风险等,形成一张以数据为中心包含资产,身份、风险等安全要素的,清晰的、完整的、动态的数据资产地图,为数据的全生命周期安全管理提供支撑。
●分级分类(C-Classify):制定统一的分级分类管理制度,按照数据分级分类保护标准、规则,采用智能扫描识别和人工研判评定的方式对数据划分安全等级,形成数据保护目录,实施分级分类管控。
●深度管控(C-Contorl):根据《GBT22239-2019信息安全技术网络安全等级保护基本要求》第三级安全要求,建立数据访问控制体系,对各类人员、机构、应用配置细粒度的访问控制策略,根据敏感信息采用动态脱敏,对用户访问数据行为进行全面审计,防范数据丢失、泄露、未授权访问等安全风险。
●安全防护(P-Protect):根据数据使用场景制定相应防护技术措施,结合纵深防御、动态防御的原则,对关键业务应用和重要数据实施智能型的安全防护,隐藏真实数据资产,减少攻击暴露面,防止数据库Oday.防止数据泄露等;对敏感数据实施脱敏、加密,确保全生命周期数据安全。
●风险预警(E-Examine):通过全方位监控数据的使用和流动、结合行为分析、事件告警等建立一套以数据为中心的风险评估预警机制,掌握数据安全的整体态势。
●联动响应(R-Respond):对数据安全事件及时有效的响应,实施应急处置和实时封堵,形成数据保护的闭环;对数据泄露进行追踪溯源和责任认定,健全数据安全运营体系。
通过以上六大能力的加持,解决了“数据在哪-数据是啥-谁能访问-有无防护-风险在哪-如何处置”的问题,形成了数据安全能力的闭环。
开放、合作 助力ACCPER全面落地
正所谓没有哪家网络安全厂商能够做到对安全产品的全覆盖,作为一家成立仅仅不到两年的云智信安来讲,其目前产品和解决方案也远不足以对该数据安全能力框架实现完美支撑。根据介绍,目前云智信安的产品主要涵盖全面梳理、深度管控以及安全防护环节,在以上三个环节已经实现产品落地。但要想实现该数据安全能力框架的整体落地,还需要行业的共同合作探索。
目前云智信安已经和一些传统网络厂商达成良好合作,并在技术工程层面与一些高校、中国科学院计算技术研究所大数据研究院、信通院等机构实现不同程度的交流合作。除此之外,为了实现该数据安全能力框架的落地,云智信安也与网络安全领域友商展开合作,引进友商的强势产品,以开放的心态,安全生态的形式,共同完成数据安全能力框架的构建。
写在最后
如果对网络安全领域有所关注,你会看到各式各样的数据安全能力框架,但相比目前市场主流的数据安全能力框架来讲,“ACCPER数据安全能力框架”的提出,给用户和业界同行提供了更多数据安全管理的新思路。
正如发布会现场有网络安全专家指出的那般:目前还没有一个国内企业能提出一个类似的这种能力框架,因此他有一些指导性和创新性。他认为这个能力框架很明了清晰,可以用来作为指导数据安全实施工作,但其落地难度也相对较高,并非说学习了该框架,有了理念就可以搞定,还要有相关配套产品支撑。
相信通过云智信安和业界的相互合作探索,最终形成以全面梳理为起点,以分级分类为基础,以数据管控和保护为核心,以监控预警和联动响应为支撑,建立“数据安全运营”的全过程自适应安全保障能力,达到数据安全的可视、可知、可防、可管、可控、可查的安全目标!