上述報(bào)告以數(shù)據(jù)安全態(tài)勢(shì)感知運(yùn)營(yíng)中心建設(shè)為核心,涵蓋特權(quán)賬號(hào)安全能力建設(shè)、零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)能力建設(shè)、API安全能力建設(shè)和個(gè)人信息保護(hù)合規(guī)建設(shè)四個(gè)重點(diǎn)方面。報(bào)告圍繞數(shù)據(jù)安全各領(lǐng)域現(xiàn)狀、風(fēng)險(xiǎn),分享研究成果與創(chuàng)新探索,配合“數(shù)據(jù)衛(wèi)士套件”,以期為政企組織數(shù)據(jù)安全建設(shè)提供參考和借鑒。
建設(shè)重點(diǎn)之一:守好核心數(shù)據(jù)資產(chǎn)關(guān)鍵之門(mén)
特權(quán)賬號(hào)作為直接接觸組織關(guān)鍵IT資產(chǎn)和數(shù)據(jù)資源的入口,是通往企業(yè)數(shù)據(jù)大門(mén)的“鑰匙”,但目前國(guó)內(nèi)對(duì)特權(quán)賬號(hào)安全的認(rèn)識(shí)仍處于早期階段。特權(quán)賬號(hào)分布散、數(shù)量多、權(quán)限大、風(fēng)險(xiǎn)高,內(nèi)部特權(quán)濫用問(wèn)題難以解決,特權(quán)賬號(hào)成為攻防演練中最大的弱點(diǎn)……日益復(fù)雜的IT環(huán)境和不斷增多的人機(jī)交互催生特權(quán)賬號(hào)管理新需求,種種因素推動(dòng)政企組織需要建立一套行之有效的特權(quán)賬號(hào)安全管理生態(tài)系統(tǒng),以減輕內(nèi)部和外部威脅。
對(duì)此,《桔皮書(shū)》強(qiáng)調(diào)特權(quán)賬號(hào)安全建設(shè)方案應(yīng)四步走:特權(quán)安全風(fēng)險(xiǎn)評(píng)估,特權(quán)訪問(wèn)治理與控制,特權(quán)行為記錄與審計(jì)和持續(xù)改進(jìn)。政企組織應(yīng)重視特權(quán)賬號(hào)的管理,通過(guò)管理機(jī)制和技術(shù)能力并重,將特權(quán)賬號(hào)的管理與組織的流程對(duì)接,重塑特權(quán)賬號(hào)管理機(jī)制,以實(shí)現(xiàn)數(shù)據(jù)與流程的聯(lián)動(dòng),完善特權(quán)訪問(wèn)管理的流程。
建設(shè)重點(diǎn)之二:構(gòu)建零信任動(dòng)態(tài)授權(quán)能力
“攻擊目標(biāo)從網(wǎng)絡(luò)轉(zhuǎn)向數(shù)據(jù)、遠(yuǎn)程辦公帶來(lái)數(shù)據(jù)泄露風(fēng)險(xiǎn)、邊界弱化和數(shù)據(jù)流動(dòng)性增加風(fēng)險(xiǎn)暴露面……”當(dāng)前,我國(guó)正處于“十四五”規(guī)劃實(shí)施階段,數(shù)據(jù)成為重要生產(chǎn)要素?梢灶A(yù)見(jiàn)到,未來(lái)數(shù)據(jù)流轉(zhuǎn)情況將更加開(kāi)放,業(yè)務(wù)生態(tài)將更加復(fù)雜,參與數(shù)據(jù)處理的角色將更多元,系統(tǒng)、業(yè)務(wù)、組織邊界將進(jìn)一步模糊。
圖:將“零信任架構(gòu)”和“數(shù)據(jù)安全防護(hù)體系”相結(jié)合
如何在日趨多元化、復(fù)雜化的背景下守好數(shù)據(jù)安全?這就需要基于零信任思路構(gòu)建數(shù)據(jù)安全防護(hù)體系,在“一中心兩體系”(即網(wǎng)絡(luò)安全態(tài)勢(shì)感知與管控中心、網(wǎng)絡(luò)安全防護(hù)體系以及零信任動(dòng)態(tài)授權(quán)體系)框架下構(gòu)建數(shù)據(jù)動(dòng)態(tài)授權(quán)能力!督燮(shū)》重點(diǎn)介紹了構(gòu)建零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)能力的幾個(gè)關(guān)鍵舉措:基于數(shù)據(jù)安全治理成果,構(gòu)建數(shù)據(jù)視圖;構(gòu)建身份視圖,明晰數(shù)據(jù)訪問(wèn)上下文;構(gòu)建以資源為中心的統(tǒng)一策略管控體系;持續(xù)的信任評(píng)估與策略治理。
建設(shè)重點(diǎn)之三:防住數(shù)據(jù)交互重要關(guān)口
公開(kāi)數(shù)據(jù)統(tǒng)計(jì),截至目前,全球有2000萬(wàn)以上的開(kāi)發(fā)者、超過(guò)百億的API。API是所有數(shù)據(jù)交互的關(guān)口,同時(shí)也是企業(yè)核心的數(shù)字資產(chǎn),是企業(yè)數(shù)據(jù)、服務(wù)輸出和獲取的唯一渠道。隨著API應(yīng)用場(chǎng)景越來(lái)越廣泛,近兩年來(lái)因其導(dǎo)致的數(shù)據(jù)泄露事件頻頻發(fā)生,API的爆發(fā)式增長(zhǎng)催生新的安全挑戰(zhàn)。
圖:API安全解決方案模型
《桔皮書(shū)》建議,數(shù)據(jù)安全中的API安全應(yīng)以零信任思想進(jìn)行整體的安全體系建設(shè),API安全解決方案應(yīng)按照持續(xù)“發(fā)現(xiàn)”、“檢測(cè)”、“防護(hù)”、“響應(yīng)”的安全模型進(jìn)行安全建設(shè)。企業(yè)應(yīng)著眼長(zhǎng)遠(yuǎn)構(gòu)建前瞻性的云原生架構(gòu),應(yīng)面向微服務(wù)和容器環(huán)境對(duì)API進(jìn)行管理與安全防護(hù),從實(shí)戰(zhàn)化角度進(jìn)行API安全防護(hù)體系的建設(shè),將安全落實(shí)到API全生命周期管理的各個(gè)環(huán)節(jié),構(gòu)建具有更好的API可見(jiàn)性和更好的API安全檢測(cè)與響應(yīng)體系。
建設(shè)重點(diǎn)之四:平衡合規(guī)與業(yè)務(wù)之秤
在合規(guī)監(jiān)管要求逐漸完善、監(jiān)管措施日趨全面多樣、監(jiān)管執(zhí)法強(qiáng)度持續(xù)提高的背景下,政企組織如何建立健全符合自身管理現(xiàn)狀及發(fā)展需求的個(gè)人信息保護(hù)管理體系?
圖:保障合規(guī)建設(shè)關(guān)鍵舉措
對(duì)此,《桔皮書(shū)》中提到了推進(jìn)企業(yè)個(gè)人信息保護(hù)合規(guī)建設(shè)應(yīng)“遵循合規(guī)原則、明確處理原則、落實(shí)主體責(zé)任、保障主體權(quán)益”。并提出6個(gè)關(guān)鍵舉措,建議企業(yè)應(yīng)注意以下幾個(gè)方面:識(shí)別監(jiān)管要求建立企業(yè)合規(guī)體系;嵌入全流程的個(gè)人信息合規(guī)管理;個(gè)人信息前端收集工具合規(guī)評(píng)估;個(gè)人信息使用過(guò)程中的風(fēng)險(xiǎn)管控;建立個(gè)人信息安全事件處置機(jī)制;通過(guò)個(gè)人信息安全影響評(píng)估持續(xù)改進(jìn)。
建設(shè)重點(diǎn)之五:建立全局化態(tài)勢(shì)感知中心
DT時(shí)代數(shù)據(jù)安全運(yùn)營(yíng)有“幾大難”,數(shù)據(jù)資產(chǎn)難梳理、數(shù)據(jù)流動(dòng)難監(jiān)測(cè)、安全風(fēng)險(xiǎn)難發(fā)現(xiàn)、常態(tài)化運(yùn)營(yíng)難……數(shù)據(jù)資產(chǎn)在流動(dòng)和使用過(guò)程中持續(xù)創(chuàng)造價(jià)值的同時(shí),也面臨著更大的風(fēng)險(xiǎn)挑戰(zhàn)。
以數(shù)據(jù)安全態(tài)勢(shì)感知為中心的數(shù)據(jù)安全運(yùn)營(yíng)該如何去做?《桔皮書(shū)》建議從“盤(pán)清家底、聯(lián)防聯(lián)控、流動(dòng)監(jiān)測(cè)、風(fēng)險(xiǎn)分析、安全評(píng)估、持續(xù)運(yùn)營(yíng)”層面入手,數(shù)據(jù)安全態(tài)勢(shì)感知運(yùn)營(yíng)中心應(yīng)該具備六大安全能力,即建立起以數(shù)據(jù)資源為核心的資產(chǎn)管理中心、以分類分級(jí)為核心的策略協(xié)同中心、以業(yè)務(wù)流程為核心的動(dòng)態(tài)監(jiān)測(cè)中心、以行為分析為核心的風(fēng)險(xiǎn)管理中心、以安全合規(guī)為核心的安全評(píng)估中心和以態(tài)勢(shì)感知為核心的安全運(yùn)營(yíng)中心。
當(dāng)前大多數(shù)政企組織已經(jīng)認(rèn)識(shí)到數(shù)據(jù)安全建設(shè)的重要性,但面對(duì)海量、多源、流轉(zhuǎn)關(guān)系復(fù)雜的數(shù)據(jù)處理場(chǎng)景,和多元化的業(yè)務(wù)需求,仍存在較大的安全挑戰(zhàn)。在1月17日的發(fā)布會(huì)上,奇安信還正式對(duì)外發(fā)布了“數(shù)據(jù)衛(wèi)士套件”,為數(shù)據(jù)安全建設(shè)提供了可落地、行之有效的解決方案。