前言当今数据时代,随着云计算、大数据、人工智能等技术的不断发展,“数据”已经深入到今天的每一个行业和业务功能领域,并成为重要的生产要素。数据的计量单位至少是PB级的计算。这个时代不仅赋予“数据”以“价值”属性,同时赋予“法律”属性,促使国家和企业重视数据和数据安全。数据安全状况根据IBM《2019年全球数据泄露成本报告》的数据,恶意数据泄露给受访公司造成的平均损失为445万美元。2019年,CNCERT共发现我国重大数据泄露风险和事件3000多起。数据泄露不仅对企业造成经济损失,在国家层面也会面临巨额罚款;例如,Facebook因不当泄露8700万用户数据被罚款50亿美元,英国航空公司因不当泄露50万乘客数据被罚款2.3亿美元;国内大量公司号称拥有数百万、数千万甚至上亿的用户,但是你是否具备相应的数据安全能力来保证用户数据不被泄露,或者你是否有能力应对庞大的用户数据?合规水平的罚款?.国际层面的数据安全标准,各国出台了GDPR、CCPA、COPPA、LGPD等。国内层面,《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》先后发布。与数据安全相关的定义(1)数据定义:任何以电子或非电子形式存在的信息记录。(2)了解数据的种类:a.根据数据的性质区分结构化数据:即行数据,存储在数据库中,可以用二维表结构进行逻辑表达。非结构化数据:包括所有格式的工作文档,半结构化数据,如文本、图片、XML、HTML、各种报表、图像和音视频信息:介于完全结构化数据(如关系数据库中的数据、对象-面向数据库)和完全非结构化数据之间的数据(如声音、图像文件等),HTML文档是半结构化数据b.静态数据按数据状态区分:任何存储在磁盘、硬盘、SAN等上的数据动态数据:通过网络传输的任何使用中的数据数据:应用程序使用内存或临时缓冲区中的数据(3)数据活动的定义:数据的收集、存储、处理、使用、提供、交易、披露等。(四)数据安全的定义:通过采取必要措施确保数据得到有效保护和合法利用,并保持安全状态的能力。数据安全挑战(一)业务系统灵活多变,需求复杂互联网+时代,市场瞬息万变,业务运营快速调整,企业可能会经历系统上线、功能调整、接口第三方接入等问题每天。数据的线上线下分布等,面对这些变化和场景,我们如何应对?(二)新技术新挑战新技术带来新风险。云、物联网、大数据、人工智能等新技术的广泛应用,给企业带来了巨大的生产力,同时也改变了传统网络的数据保护思维。我们如何应用新型网络威胁?(3)数据量大随着互联网的兴起,数据最初的计量单位至少变成了PB级,甚至EB级。面对如此海量的数据,如何对其进行有效管理,如何对数据进行快速识别、监控、检测、处置和响应?(4)安全威胁的增加和数据价值的增加导致外部威胁的目的性、隐蔽性和破坏性呈上升趋势。如何减少威胁暴露,应对什么样的系统防护?数据安全的目标:满足合规性,契合业务,将数据风险降低到可接受的水平,让数据使用更安全。解决办法总是比困难多。面对数据安全挑战,数据安全从业者必须对数据安全保护体系有自己的想法,善于学习新技术、新经验,总结自己的套路和打法。更新和进步。在商业面前,安全并不是他们的对立面。我们必须采用双赢思维,建立信任关系。经营的目的是盈利,安全是保证经营稳定盈利、规避风险的最佳帮手。它们相互补充,相互依赖。数据安全模型框架的实施和管理数据安全需要以数据为中心。宏观上,在满足合规的基础上,依托组织建设,采取技术手段和管理手段。在执行层面,“识别”、“保护”、“监控”、“检测”、“响应”、“恢复”六大安全功能保障了数据认证周期的安全。数据安全构建框架在数据安全模型框架的基础上,梳理出数据安全构建过程中需要的基本功能和关键功能,制定如下数据安全构建框架:从框架描述的角度,数据安全构建框架可以分为三个层次。(1)最底层是组织建设层:数据治理团队负责总体决策工作,如数据安全方案的定位、战略、政策和组织机构的制定等;数据安全团队负责整体战术和执行工作。具体安全计划的管控,如合规管理、风险管理、计划管理、进度管理、指标管理等;执行层负责数据安全整体方案的实施,包括专业的数据安全人员和各业务团队的安全人员。接口人。(2)中间是能力实现层:通过“识别”、“防护”、“监控”、“检测”、“响应”、“恢复”六大功能,数据安全得到落实。(3)最上层是目标和愿景层:通过组织建设和数据安全能力实现,保障用户数据、业务数据和公司数据的组织,最终实现让数据使用更安全的愿景。数据安全实施框架数据安全工作纷繁复杂,如何有序实施?基于数据安全建设框架,我们制定如下数据安全实施框架:先制定计划,再实施,实施过程中进行审查和测试,再完善等,分步完成,形成一个PDCA循环。(1)计划:要做好计划,确定范围,明确目标。识别的重点工作是:范围和边界识别、账户识别、权限识别、数据识别、系统识别、操作识别、流程识别和数据分类分级。(2)Do&Act:对Plan中的结果进行处置,事前进行维护,事中监控检测,事后响应恢复。重点工作是落实合规;安全基线的实施;建立对数据生命周期中敏感信息的控制、处置和审计的管理制度,如敏感数据的标识、传输的加密、存储的加密或脱敏、使用脱敏、操作日志记录等。注:对于一些合规问题,可以参考我的另外两篇文章《数据安全怎么做——合规篇之CCPA》《数据安全怎做——合规篇之数据安全法》资产整理可以参考我的另一篇文章《企业安全建设之资产库篇》其他细节正在编写中,稍后会一一发布,比如数据安全治理,管理、技术等各个子章节,敬请期待。(3)Check:用于审查和检测Do的结果,提出问题和要求,由Act层跟进和解决。综上所述,数据安全是企业安全中与业务契合的最新工作。好的实施必然会对业务产生影响。因此,获得管理团队是关键因素。把数据治理的帽子戴在数据安全工作上,安全带头,拉动所有数据相关方共同执行、共同承担责任,将大大提高工作效率和效果。此外,还有大量的数据安全任务。数据安全从业者需要结合公司业务,对很多事情进行优先排序。风险最大的不一定要先做。优先考虑公司当前业务状况下最需要解决的燃眉之急,制定好工作计划,摸清家庭背景,各项工作有条不紊地开展。
