2021年12月22日,中国软件测评中心、国家信息中心联合编制的《数据安全复合治理与实践白皮书》、蚂蚁集团正式发布release。白皮书在充分调研和深入分析当前全球数据安全产业发展格局和治理形势的基础上,从引导企业构建和升级数据安全治理体系的角度出发,以“战略要点、实操以“技术破局”为核心指导思想,强调数据安全“复合式”治理,即:在治理框架的构建中规划设计策略、管理和技术,形成基线设定、心智运营、原创设计、安全衡量、可证明溯源、红蓝对抗、评估认证等丰富的治理环节,加强治理过程的联动,将安全与业务、管理、技术有机结合,形成有机结合整体,发挥复合协同效应,构建系统、精准的质量体系uantification,持续优化数据安全复合治理模型。此次,蚂蚁集团联合国家权威机构,结合自身丰富的业务应用场景和实践经验,深度参与了白皮书的研究和撰写。面对我国数据安全法制元年的政策背景,鉴于数据安全产业规模快速增长,应对敏感数据泄露、非法数据贩卖、数据泄露等安全风险滥用,总结提出“复合数据安全治理模型”,旨在为企业开展数据安全治理工作提供更多有价值的参考和建议,为数据安全治理的构建、优化和升级提供实践路径系统和技术能力。【图1《数据安全复合治理与实践白皮书》复合治理模型】企业在开展数据安全治理工作时,如何评估安全治理的有效性是一个比较普遍的痛点和难点问题。白皮书创新性地提出了多视角的安全度量体系。由于安全治理是一项系统的风险管理工程,安全度量需要从多个评估视角入手,全面衡量治理效果。一方面,要准确衡量员工安全意识教育、防护建设覆盖率等治理过程,以反映安全工作的进展和成果;同类风险主体的风险程度和严重程度,围绕风险评分开展场景化应用、公开排名等运营模式,提高主体的风险重视程度。最终需要从攻防角度,运用红蓝演练等实战手段,验证治理体系的薄弱环节,发现风险盲点,真实客观地评估实战效果的安全治理体系。总的来说,在多视角安全度量体系的驱动下,企业可以清晰地看到当前的安全水平,对安全风险进行精细化管理,不断提升安全水平,保证自身系统的健壮性。【图2《数据安全复合治理与实践白皮书》多视角安全度量】数据安全治理技术从系统能力、算法能力、数据能力、产品能力四个维度阐述如何构建和完善数据安全治理技术体系。系统能力包括安全并行方面、密码学基础设施、安全可信环境、终端安全等,旨在构建安全可信的系统和环境支撑,为数据安全治理提供底层环境支撑。算法能力重点构建数据资产识别、数据谱系图谱、异常访问检测等智能算法,解决数据安全“看得见数据”、“看得清数据”、“清风险”三大难题治理。数据能力主要提供准实时精准检索、压缩索引、异构数据抽取等数据处理能力,实现大规模数据的准实时快速定位。产品能力旨在从全息资产画像、深度安全防护、智能安全运营、隐私保护、隐私计算等领域入手,构建从数据资产识别到动态安全管控、智能安全的全面系统解决方案操作和数据价值利用。满足不同数据安全治理场景技术需求的产品能力。【图3《数据安全复合治理与实践白皮书》数据安全治理技术】复合治理模型强调全员参与、原生安全、智能安全运行机制。每个人都参与其中。数据和业务密切相关。正是基于这一特点,蚂蚁集团在数据安全风险管理上始终坚持一个理念:“数据安全不仅仅是安全团队的事情,而是每个公司员工都需要高度重视的事情。”.因此,如何构建全员参与的风险治理体系显得尤为重要。蚂蚁集团充分调动全体员工的积极性,积极参与设计了“啄木鸟”行动等丰富生动的脑力运算活动,有效实现了对不同特征人群的精准触达。本质安全。将数据安全的理念和要求融入到研发过程中,确保产品在发布前有充分必要的数据保护措施,而不是在数据安全问题发生后被动修复和管理。同时,对数据处理产品组件进行内部认证,推荐并确保研发团队使用安全可靠的组件,督促使用不符合内部认证标准的组件的产品和系统进行整改。及时,从而提升产品和系统。自然免疫”。构建智能安全运行机制,进一步提升数据安全治理的自动化水平和效率。以红蓝演练为例,通过积累自动化、模块化、组件化的红蓝演练能力,制定演练科学投放策略,构建全链路风险跟踪能力,形成常态化的红蓝演练机制,从从攻防角度,更高效、更及时地识别和修复安全隐患,实现“以攻促防、攻防结合”的目标。【图4《数据安全复合治理与实践白皮书》自动化红蓝钻平台】《数据安全复合治理与实践白皮书》完整版下载地址:https://pan.baidu.com/s/1xEaVzUZcf42gkulP5cCA-Q提取码:epfj
