数据安全-整体解决方案

背景介绍

数据安全面临的风险和压力

企业内部监管：
目前企业缺少数据安全方面的技术手段和有效的管理制度，增加数据泄漏风险。
另一个就是由于内部员工安全意识不足造成数据信息泄漏。

外部法律和合规要求：
随着国内外政府和行业对信息安全的重视，提出相关法律规定和管理制度，不断要求增强数据安全性且安全要求趋细化。例如我国在2017年6月正式生效的《中华人民共和国网络安全法》、欧盟2018年5月生效的《GeneralData Protection Regulation》(简称GDPR)、中国2018年5月生效的GB/T 35273《信息安全技术个人信息安全规范》等等

数据泄漏风险：
随着IT技术不断迭代，造成数据泄漏懂的风险途径不断增加，增加数据泄漏风险。
恶意攻击风险不断增加也是一个方面。

数据安全现状和问题

分析各行业和自身企业在数据安全方面面临的一些安全问题:

1.数据资产管理问题，主要体现在如下三个方面：
1）资产状况不清
2）访问状况不清
3）权限状况不清

数据资产梳理是一个持续的过程，数据和业务是不断发生变化的，因此需要借助自动化工具来开展数据资产管理工作。准确掌握数据资产安全状况，是开展数据安全体系建设的基础条件。如：存储位置，管理人，部门，分级，分类等

2.数据管理责任问题，主要体现在如下两个方面：
1）数据资产未认责
2）管理角色的职责边界模糊

数据安全管理角色一般情况会由研发、运维、安全、运营人员来兼任，没有独立的团队或虚拟团队，导致权责不清，不利于整体提升数据安全防护能力。建立数据安全管理角色至关重要：数据资产管理员、数据库管理员、安全审计员、安全检测工程师、数据运维工程师、权限管理员等。

3.数据制度不完善问题，主要体现在如下两个方面：
1）制度规范未落实或难落实
2）缺少稽核手段

数据管理制度通过数据安全咨询规划建立一套切实可行的制度规范，同时制定出数据安全管控措施与SLA评价指标，避免由于缺少稽核手段，导致数据安全管理部门无法及时掌握执行情况。

4.数据交换管理混乱问题，主要体现在如下两个方面：
1）交换共享的方式和接口不标准
2）运维人员和应用系统负责人的数据管控压力大

数据会向外部、内部和合作伙伴进行交换共享，随着开放的接口越来越多，交换关系越来越复杂，将交换共享的方式和接口标准化，将会避免出现功能重复、调用复杂、多点登录等现象，且不会影响数据应用的发展。

5.安全技术措施零散问题，主要体现在如下两个方面：
1）数据安全产品功能分散
2）安全能力孤岛

数据安全能力的建设也会以组织为单位开展，避免各组织分散建设，从数据生命周期的统一建立防御体系。

6.数据审计能力不足问题，主要体现在如下两个方面：
1）安全规则有效的差异
2）非法的事情、合规的操作无审计

可通过审计对攻击的操作轨迹和规律从而发现安全隐患，建立相关动态信任机制。

风险点

简单罗列一些数据安全方面的风险点，如下：

早期自建的治理方式：

目的

类比DSMM，从多维度的方向去治理数据安全，如：

组织管理建设：
结合自身企业的组织架构从上而下，定义管理层、业务部门、实施部门、合规监控和审计部门、运营部门等的相关职责。

标准制度和规范建设：
建设或完善数据放泄漏的总体策略、管理办法、应急方法以及具体操作流程。从制度体系上支撑数据放泄漏工作。

技术工具建设：
采用专业、成熟的技术，落地管理层认可的细化策略，通过平台实现数据外泄行为，并记录、告警以及阻断。从技术上实现放泄漏目标。

整体实现核心技术

数据资产管理，分类分级，数据权限管理和审计，KMS+CA，零信任，数据安全网关，数据画像，DLP，区块链隐私，水印，TEE，联邦学习，同态加密