我的位置 态势感知  >  安全态势

构建企业数据资产保护的安全底座

来源:安全牛 时间:2021-11-26 阅读次数:

随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的正式实施,数据安全已经成为企业数据管理和开发利用过程中最核心的问题之一,其范围也扩大到安全和隐私两个层面。在更为严格的监管要求及数据安全规范化管理的驱使下,企业数据安全管理工作面临更高的管理要求及复杂度挑战。

数据资产管理新模式

 
高效的企业数据资产运营管理需要对数据资产进行分类分级,数据安全管理管控的基础也需要围绕数据分类分级来进行,因此数据分类分级的管理难免成了企业数据管理乃至数字化转型过程中非常重要的一环。
那如何从数据资产安全运营管理的角度来提升企业数据安全管理的能力呢?我们的建议是在企业清晰准确的数据资产清单的基础上,建立以数据安全为目标的分类分级管理体系,同时将数据安全运营所必须的数据安全权责管理和数据访问权限管理结合起来,形成企业数据安全防护策略的统一标准和接口,并把这些标准和接口作为数据资产安全运营管理的基础架构输出给企业的业务系统和安全管理软件。
通过数据资产的安全运营管理中心可以帮助数据安全的运营者满足数字资产的管理、数据安全的管理、数据权责的管理、数据安全策略的定制需求,同时又能把数据安全的能力作为一个公司统一的标准进行输出,赋能给需要进行权限查询的业务系统、安全软件、安全网关、数据库防火墙、终端管控软件等。
建设企业数据安全底座的最大价值在于,建立以数据资产安全为核心的平台,将数据安全最关键的安全管理信息汇总并统一管理后,可以连接所有业务平台、关联企业所有数据资产,并对所有的业务系统提供统一的数据资产安全管理基准。

数据安全底座的架构设计

 
通过对于数据资产安全属性以及用户账户访问权限的关联,可以准确识别企业任何一条数据资产的安全属性,如此就具备了企业数据安全底座的标准输出能力和赋能能力。
企业数据安全底座的功能主要包括资产管理、权限管理、权责认定、分类分级、安全策略、安全赋能。
资产管理:
数据安全治理关键是以数据资产为基础的安全管控,因此数据资产管理是进行治理的前提。通过数据资产管理工具自动采集将企业的结构化、半结构化以及非结构化的资产进行盘点,形成数据资产目录。
权责认定:
数据安全治理涉及安全专家、业务人员、数据管理人员等多种岗位的共同参与,如何能让不同的参与人员专注于自己的职责、同时又不影响整体工作开展,如何让多种角色的人员高效、简单的协同工作,如何在问题发生时快速、准确的找到相关负责人、并解决问题?随着数据安全治理管控的数据资产范围不断扩大、管控力度加深,这些问题严重影响安全治理的进度和效果。通过大量的实践经验来看,建立权责体系是解决这一问题的有效手段。通过工具快速建立人员、管控事项、管理职责的关系。同时支持权责关系的变更、预警等运营维护保证该关系持续有效。
分类分级:
分类分级是数据安全治理的核心,在企业的经验中通常人工标记的方式执行。但是人工标记的方式一方面会因为不同人的理解不同造成同一个资产标记等级不一样。另一方面随着企业的资产数在不断增加,人工标记的效率已经无法满足业务使用。因此在分类分级过程中要采用系统工具自动化的进行分类分级。在实践中,一种比较好的模式是分类分级工具根据数据资产目录信息分类定级,在定级过程中对于无法自动定级的数据资产结合权责关系人工定级。通过任务、模型驱动流程化的方式推动多方角色协同,共同完成分类分级、敏感数据资产的识别。
权限管理:
随着数据应用的场景日益增加,管理数据的使用权限成为数据安全治理的 关键。在数据安全治理过程中需要基于数据资产的分类分级结果进行统一数据 权限管理。保证管理人员可以给使用者进行数据授权,数据使用者可以申请数 据的使用权限。
安全策略:
对于数据资产,不同生命周期阶段需要不同的数据管控策略,同一阶段不同使用场景的管控策略也不相同。企业在管理过程中通常是采用不同的安全防护工具进行单独管理的管理方式,这容易造成管控力度不统一,同一个数据链路中部分环节过于严格,部分环节过于松懈。因此,安全策略管理中,需要充分利用分类定级的结果,以数据安全等级为基础进行管控,建立统一的数据管控标准,为各个环节的安全工具提供目标资产的标准。
安全赋能模块:
数据安全管控软件和产品在对企业组织的业务系统及相关业务流程进行管控时,都需要基于用户账户对于数据资产的访问权限和分类分级的管控要求进行识别,因此企业有必要建立统一的、基于数据资产和用户账户权限的数据安全标准,只有建立统一的识别标准和识别接口,企业的所有的业务系统和安全软件才可以具备精确的识别能力,从而实现精细化的数据安全管控效果,实现企业数据安全管控的最大价值。因此通过对企业业务系统、业务流程和安全软件的赋能,可以极大的提高企业的数据安全管控能力,从根本上解决企业数据安全管控过程中的落地难问题,解决企业安全软件使用效力不及要求的问题。

结语

 
企业建设数据安全底座后,数据资产安全管理运营中心可以更好地成为企业数据资产管理的核心平台,让企业更好的把握企业数据资产管理、企业数据分类分级管理、基于数据资产和访问权限的管理、企业数据资产的认责管理、数据安全策略的统一输出、安全赋能管理,形成围绕企业重要核心数据资产的统一化、标准化安全管理体系,提升数据安全部门的安全管理能力和企业数据资产的管理水平,保障企业业务系统的安全价值。
 
 

原文来源:安全牛

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论