数据安全工作太抽象?分享一种业务开展思路(一)

2024-08-31 123 0

数据安全工作的必要性

数据安全这个词很大,又很小。小到几乎每一个人都知道数据很重要,它关乎每个人的隐私权和财产权,大到数据已经成为国家和国际层面,成为影响国与国之间竞争与合作的新维度。

企业在数字化快速发展的当下,在探讨数据资产入表、数据资产创新应用、数据资产估值、数据要素交易与流通等数据价值场景,都离不开数据要素的核心“数据”,不仅是企业运营的核心,更是企业竞争力的关键。然而,随着网络环境的日益复杂,数据安全威胁层出不穷。如何确保数据的安全性、完整性和可用性,让“数据”不能沦为负资产,成为了企业面临的重要挑战。

数据安全工作的定义

数据安全工作是指通过实施一系列的管理和技术措施,确保数据在存储、处理和传输过程中的机密性、完整性和可用性。其核心目标是保护数据免受未经授权的访问、使用、泄露、破坏、修改或丢失。

数据安全工作面临的问题

行业合规监管趋严,多地陆续开展了数据安全专项检查工作,在形势要求下,与怎么合理有效的数据安全建设思路互斥。特别是数字化成熟度和网络安全工作还没达到,就盲目开展数据安全工作,常见如开展全量的数据分类分级,输出了一大堆数据服务目录文件,但却无法在业务场景中应用,无法创造业务价值,陷入为了合规而合规的工作惯性。

数据安全工作太抽象?分享一种业务开展思路(一)插图

以前的数据安全工作开展方式:

  • 通过等保合规指导数据安全工作

等保作为合规的基线,数据安全是等保2.0建设的核心内容之一,等保制度在等保1.0对数据安全的要求基本不变的情况下,根据新网络环境和业务场景对数据安全保护能力,对数据的审计、访问控制、加密都有更明确的要求。也有以防御为主,在演进到等保2.0中,调整为事前、事中、时候的整体性防护,不仅要做好审计,还要再出现问题的时候可以溯源。

以下挑选跟数据安全相关的要求,对比差异看是否当前数据安全工作内容已经覆盖:

数据安全工作太抽象?分享一种业务开展思路(一)插图1

数据安全工作太抽象?分享一种业务开展思路(一)插图2

数据安全工作太抽象?分享一种业务开展思路(一)插图3

数据安全工作太抽象?分享一种业务开展思路(一)插图4

数据安全工作太抽象?分享一种业务开展思路(一)插图5

数据安全工作太抽象?分享一种业务开展思路(一)插图6

数据安全工作太抽象?分享一种业务开展思路(一)插图7

数据安全工作太抽象?分享一种业务开展思路(一)插图8

基于等保2.0的控制点,通过上图可以看出大致可以分为四层,主要:

发现响应层:通过安全设备或安全组件,作为技术手段实现管控,重点可通过堡垒机并设置独立的管理网络实现 ;

分析层:通过IDS、态势感知对安全事件进行汇聚、识别、关联分析和报警;

热数据(缓冲层):主要是提供有效、可用的数据格式;

管理层:基于安全控制场景进行展示,提供辅助决策支持。

数据安全工作太抽象?分享一种业务开展思路(一)插图9

从数据安全管理体系,技术工具只是实现手段,组织建设、制度体系及人员能力意识是基础保障。这些保障分别映射到数据生命周期管理的各个阶段,才能保障数据安全工作目标的达成。

现在的数据安全工作开展方式:

当下数据安全工作已经不仅仅基于《网络安全法》的等级保护制度,还需兼顾其他法规如《数据安全法》《个人信息保护法》《密码法》及其他管理条例。

数据安全工作太抽象?分享一种业务开展思路(一)插图10

从企业视角,对数据安全工作的开展,也发生了趋势及变化,总结如下:

  1. 数字化转型的深入,让已经有基础数据安全建设条件的企业期望体现价值和效果,更加深入关注使用数据活动中的行为可视和数据流转的风险识别。
  2. 内外部的压力让用户更关注风险管理,数据安全体系难以直接落地也使得用户与监管部门更优先关注发现风险、遏制风险
  3. 数据安全合规评估(数据安全检查、数据安全风险评估、数据跨境评估等)、合规补齐建设等明显提上日程
  4. 许多过去未启动数据安全建设的用户,从此前的观望、犹豫态度逐步进入调研评估、找场景落地的阶段
  5. 对数据资产入表、数据资产创新应用、数据资产估值、数据要素交易与流通等数据价值场景,储备和着手数据资产培训能力

特别是第5项,是数据资产间接或直接产生价值的主要表现形式,也是驱动数据安全工作的主要抓手。

数据安全工作太抽象?分享一种业务开展思路(一)插图11

如何用科学的姿势开展数据安全工作

通过几次服务国央企、金融、医疗卫生和政府民生类数据安全工作的实践,抽象出一个整体数据安全工作开展框架和路线图。

数据安全工作太抽象?分享一种业务开展思路(一)插图12

  • 数据安全管理体系建设

组织架构完善,相关的数据安全制度和流程完善,是保障数据安全第一步。数据安全也号称是“一把手工程”,只有领导重视了,数据安全管理体系起来了,那么数据安全就会慢慢的建设的。

  • 数据安全技术体系建设

基于数据全生命周期进行建设,从数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁等六个阶段,全面的分析各个阶段的风险,根据各个阶段的风向,制定数据安全技术手段来解决的。

  • 数据安全运营体系建设

只有管理和产品,无运营体系,那么数据安全建设也是空谈的,只要从运营的体系的建设,更好的检验数据安全管理的效果,数据安全技术体系的作用,全方位的建设数据安全。

数据安全工作太抽象?分享一种业务开展思路(一)插图13下一篇主题为:数据安全工作太抽象?分享一种业务开展实践(二),把上图的里程碑和具体工作如何开展分享给大家。

如果反馈较好,会持续分享这个系列,把踩过的坑和服务落地过程中的有趣事进行分享。

也希望认识更多从事这个领域工作的朋友,共同探讨如何在数据安全工作中实现价值,欢迎私信交换联系方式。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论