奇安信數(shù)據(jù)安全運(yùn)行構(gòu)想圖詳解
摘要: 8月30日,奇安信集團(tuán)正式發(fā)布“數(shù)據(jù)安全能力框架”(簡(jiǎn)稱(chēng):能力框架)及“數(shù)據(jù)安全運(yùn)行構(gòu)想圖”(數(shù)據(jù)安全ConOps),將抽象的數(shù)據(jù)安全體系具象化、可視化,受到業(yè)內(nèi)廣泛關(guān)注。
8月30日,【奇安信(688561)、股吧】集團(tuán)正式發(fā)布“數(shù)據(jù)安全能力框架”(簡(jiǎn)稱(chēng):能力框架)及“數(shù)據(jù)安全運(yùn)行構(gòu)想圖”(數(shù)據(jù)安全ConOps),將抽象的數(shù)據(jù)安全體系具象化、可視化,受到業(yè)內(nèi)廣泛關(guān)注。本文應(yīng)廣大客戶(hù)要求,詳解數(shù)據(jù)安全運(yùn)行構(gòu)想圖,以饗讀者。
我國(guó)首部與數(shù)據(jù)安全相關(guān)的法律《數(shù)據(jù)安全法》已于9月1日正式實(shí)施,隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,數(shù)字化程度的不斷加深,數(shù)據(jù)安全直接關(guān)乎國(guó)家安全,也成為企業(yè)安全經(jīng)營(yíng)的生命線(xiàn)。筑牢數(shù)據(jù)安全防線(xiàn)成為維護(hù)國(guó)家安全和國(guó)家競(jìng)爭(zhēng)力的戰(zhàn)略需要,也成為全社會(huì)各行業(yè)組織、企業(yè)、機(jī)構(gòu)必須承擔(dān)的責(zé)任和義務(wù)。
《數(shù)據(jù)安全法》明確了幾個(gè)關(guān)鍵:一是國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度;二是開(kāi)展數(shù)據(jù)處理活動(dòng)以及研究開(kāi)發(fā)數(shù)據(jù)新技術(shù),應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展,增進(jìn)人民福祉,符合社會(huì)公德和倫理;三是建立健全數(shù)據(jù)交易管理制度,規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場(chǎng);四是不得竊取或以其他非法方式獲取數(shù)據(jù);數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)應(yīng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源、審核交易雙方身份;五是建立健全數(shù)據(jù)安全管理制度,保障政務(wù)數(shù)據(jù)安全。
奇安信發(fā)布的數(shù)據(jù)安全能力框架、數(shù)據(jù)安全運(yùn)行構(gòu)想圖及配套舉措建議,為客戶(hù)完整地提供了數(shù)據(jù)安全全局治理的體系建設(shè)方法論,以及落地思路與工具。能夠幫助用戶(hù)設(shè)計(jì)和構(gòu)建業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全體系和解決方案,全景展現(xiàn)了數(shù)據(jù)安全治理到技術(shù)體系落地的貫穿過(guò)程,以及安全能力在數(shù)據(jù)安全相關(guān)的信息化各層的工程化落地方法。
數(shù)據(jù)安全能力框架共包含567個(gè)能力組件,這些組件全面內(nèi)生于數(shù)字化環(huán)境的方方面面,是數(shù)據(jù)安全治理成果轉(zhuǎn)化落地到技術(shù)和管理實(shí)踐的承載點(diǎn),這些組件結(jié)合起來(lái),可實(shí)現(xiàn)彈性擴(kuò)展、自適應(yīng)和自生長(zhǎng),滿(mǎn)足政企客戶(hù)不斷變化的數(shù)據(jù)安全需求,不同行業(yè)在數(shù)據(jù)安全的體系建設(shè)與運(yùn)行過(guò)程中,都可以按需選擇、有序分布。
數(shù)據(jù)安全運(yùn)行構(gòu)想圖,則為政企機(jī)構(gòu)直觀、形象地展現(xiàn)了有效運(yùn)轉(zhuǎn)數(shù)據(jù)安全這個(gè)復(fù)雜系統(tǒng)的全貌:從策略到流轉(zhuǎn),再到應(yīng)用組件控制與網(wǎng)絡(luò)計(jì)算環(huán)境的多層次結(jié)合。
運(yùn)行構(gòu)想圖:貫穿治理先行、規(guī)劃設(shè)計(jì)到技術(shù)落地
目前業(yè)內(nèi)談到數(shù)據(jù)安全,普遍只提及了數(shù)據(jù)治理,或是細(xì)致的單一落地技術(shù)點(diǎn),缺乏一套真正將數(shù)據(jù)安全治理的結(jié)果轉(zhuǎn)化為技術(shù)落地,并真正運(yùn)行起來(lái)的體系建設(shè)全景。
數(shù)據(jù)安全運(yùn)行構(gòu)想圖采用系統(tǒng)工程的方法,從數(shù)據(jù)安全運(yùn)行視角,以新型數(shù)據(jù)中心的業(yè)務(wù)場(chǎng)景為依托,基于業(yè)務(wù)到技術(shù)實(shí)現(xiàn)的層次化視角,囊括了數(shù)據(jù)安全應(yīng)具備的三個(gè)狀態(tài):治理態(tài)、規(guī)劃態(tài)和運(yùn)行態(tài),細(xì)致展現(xiàn)了數(shù)據(jù)安全治理結(jié)果轉(zhuǎn)化到規(guī)劃設(shè)計(jì)、技術(shù)落地的過(guò)程。
四個(gè)層次:解決全周期全流程的數(shù)據(jù)安全需求
奇安信數(shù)據(jù)安全運(yùn)行構(gòu)想圖分為四個(gè)層次,分別是數(shù)據(jù)策略中心層、數(shù)據(jù)流轉(zhuǎn)管控層、數(shù)據(jù)應(yīng)用安全能力層和數(shù)據(jù)中心安全能力層,滿(mǎn)足全周期、全流程的數(shù)據(jù)安全需求。這四個(gè)層次涵蓋了業(yè)務(wù)規(guī)則、資源流轉(zhuǎn)、應(yīng)用能力、產(chǎn)品部署,并與能力框架中的各類(lèi)策略清晰對(duì)應(yīng)。
1)數(shù)據(jù)策略中心層 重點(diǎn)是健全數(shù)據(jù)安全管理制度,能根據(jù)數(shù)據(jù)安全治理的結(jié)果,構(gòu)建相應(yīng)的數(shù)據(jù)安全策略。數(shù)據(jù)的使用與安全策略,主要由如大數(shù)據(jù)主管部門(mén)、數(shù)字化主管部門(mén)、法務(wù)合規(guī)部門(mén)、審計(jì)部門(mén)等聯(lián)合制定。
數(shù)據(jù)策略中心層,能幫助機(jī)構(gòu)明確數(shù)據(jù)安全所需的組織、規(guī)范、制度、流程等;同時(shí)從業(yè)務(wù)場(chǎng)景、應(yīng)用邏輯出發(fā),基于數(shù)據(jù)在組件間的數(shù)據(jù)流轉(zhuǎn)和數(shù)據(jù)脈絡(luò)、主體身份視圖、客體數(shù)據(jù)資源視圖、主客體之間的訪問(wèn)關(guān)系、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)分類(lèi)分級(jí)等數(shù)據(jù)安全治理階段的成果,構(gòu)建基于“主客體”數(shù)據(jù)訪問(wèn)的業(yè)務(wù)權(quán)限策略以及數(shù)據(jù)的安全策略,并形成數(shù)據(jù)流轉(zhuǎn)管控策略、應(yīng)用安全能力策略、產(chǎn)品策略,并分發(fā)到數(shù)據(jù)流轉(zhuǎn)控制層、數(shù)據(jù)應(yīng)用安全能力層以及數(shù)據(jù)中心能力層。。
2)數(shù)據(jù)流轉(zhuǎn)控制層,重點(diǎn)是確保數(shù)據(jù)的流轉(zhuǎn)有序合規(guī),規(guī)范數(shù)據(jù)使用與交易行為,對(duì)數(shù)據(jù)進(jìn)行全面梳理和有效防護(hù)。通俗地解釋?zhuān)褪悄軇?dòng)態(tài)精準(zhǔn)地控制“什么部門(mén)的什么人,在什么地方、因?yàn)槭裁慈蝿?wù),訪問(wèn)什么數(shù)據(jù)里的什么字段”。
數(shù)據(jù)流轉(zhuǎn)控制層,能全面梳理數(shù)據(jù)資產(chǎn),確定適當(dāng)?shù)臄?shù)據(jù)安全等級(jí),并根據(jù)風(fēng)險(xiǎn)情況、威脅場(chǎng)景、業(yè)務(wù)分工、數(shù)據(jù)特征等設(shè)定多樣化的屬性標(biāo)簽,利用新型的數(shù)據(jù)屬性技術(shù)體系,全方位描述與數(shù)據(jù)安全管控可能相關(guān)的數(shù)據(jù)信息;結(jié)合數(shù)據(jù)流轉(zhuǎn),構(gòu)建數(shù)據(jù)脈絡(luò)和數(shù)據(jù)地圖;通過(guò)清晰管控?cái)?shù)據(jù)的流轉(zhuǎn),并結(jié)合數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、數(shù)據(jù)安全態(tài)勢(shì)感知等,發(fā)現(xiàn)非法用戶(hù)竊取數(shù)據(jù)等異常行為;根據(jù)數(shù)據(jù)流轉(zhuǎn)與管控策略,以“權(quán)限最小化”原則進(jìn)行授信,通過(guò)零信任體系進(jìn)行動(dòng)態(tài)評(píng)估,實(shí)現(xiàn)對(duì)數(shù)據(jù)的動(dòng)態(tài)、細(xì)粒度訪問(wèn)控制;對(duì)數(shù)據(jù)使用行為留痕,為實(shí)時(shí)的監(jiān)測(cè)響應(yīng)和審計(jì)提供支撐;依據(jù)數(shù)據(jù)交易制度,審核交易主體身份、客體資源,所有交易記錄留痕,利用數(shù)據(jù)沙箱的技術(shù),規(guī)范數(shù)據(jù)的交易行為。
3)數(shù)據(jù)應(yīng)用安全能力層, 重點(diǎn)是數(shù)據(jù)的防竊密、防泄密、防濫用,通過(guò)去標(biāo)識(shí)化、匿名化、脫敏等安全能力實(shí)現(xiàn)對(duì)個(gè)人隱私數(shù)據(jù)保護(hù),并對(duì)重要數(shù)據(jù)存儲(chǔ)進(jìn)行加密。
數(shù)據(jù)應(yīng)用安全能力層,基于業(yè)務(wù)系統(tǒng)的邏輯和應(yīng)用架構(gòu),將業(yè)務(wù)系統(tǒng)各應(yīng)用組件層和各組件之間的邏輯關(guān)系呈現(xiàn)出來(lái);同時(shí),將所需要的安全能力嵌入到每個(gè)組件中,實(shí)現(xiàn)安全能力與應(yīng)用的內(nèi)生融合,如:業(yè)務(wù)系統(tǒng)采用微服務(wù)架構(gòu),應(yīng)用與服務(wù)、服務(wù)與服務(wù)之間通過(guò)API通信,需要在業(yè)務(wù)系統(tǒng)中內(nèi)置API安全管控與防護(hù)能力;根據(jù)數(shù)據(jù)安全治理的成果做相關(guān)的安全保護(hù)(如加密、脫敏、去標(biāo)識(shí)化等)。
應(yīng)用安全能力策略的落地會(huì)集中在這一層。根據(jù)內(nèi)置的內(nèi)容識(shí)別引擎和數(shù)據(jù)密級(jí)進(jìn)行控制,對(duì)違規(guī)訪問(wèn)的數(shù)據(jù)進(jìn)行攔截,防竊密,防泄密,防止數(shù)據(jù)的濫用等;涉及到個(gè)人隱私數(shù)據(jù)訪問(wèn),進(jìn)行脫敏、去標(biāo)識(shí)化等保護(hù)個(gè)人信息;對(duì)重要數(shù)據(jù)的存儲(chǔ)進(jìn)行加密等。
4)數(shù)據(jù)中心安全能力層,重點(diǎn)是保障數(shù)據(jù)的載體和業(yè)務(wù)運(yùn)行環(huán)境的安全,包括安全區(qū)域劃分、邊界網(wǎng)絡(luò)安全棧、服務(wù)器加固、系統(tǒng)安全等。
數(shù)據(jù)中心安全能力層,以體系化的方式,保障數(shù)據(jù)運(yùn)行環(huán)境的安全,數(shù)據(jù)中心安全區(qū)域劃分,保證了不同安全等級(jí)業(yè)務(wù)在適合的區(qū)域運(yùn)行、不同安全等級(jí)數(shù)據(jù)的有效隔離;數(shù)據(jù)中心網(wǎng)絡(luò)安全棧防護(hù),做好邊界安全的防護(hù)抵御外部攻擊;服務(wù)器加固與防護(hù)并對(duì)應(yīng)用和中間件進(jìn)行持續(xù)監(jiān)控保護(hù),防止服務(wù)器遭受APT和0DAY攻擊;面向資產(chǎn)、配置、漏洞、補(bǔ)丁的系統(tǒng)安全,解決了資產(chǎn)不清、配置不明、漏洞分布不知、補(bǔ)丁修復(fù)緩慢等問(wèn)題。
數(shù)據(jù)安全運(yùn)行構(gòu)想圖中,各層級(jí)之間的有效聯(lián)系與運(yùn)轉(zhuǎn),可以從兩個(gè)方向上來(lái)理解:一是自上而下看,是策略的逐層實(shí)現(xiàn)與落地;二是自下而上看,是從產(chǎn)品部署到應(yīng)用能力,再到業(yè)務(wù)流轉(zhuǎn)及邏輯規(guī)則的支撐與提煉。
政企機(jī)構(gòu)可以按圖索驥,從“管理、技術(shù)、運(yùn)行”三方面來(lái)開(kāi)展數(shù)據(jù)安全的治理與防護(hù)工作,基于數(shù)據(jù)應(yīng)用場(chǎng)景、業(yè)務(wù)邏輯與數(shù)據(jù)的流轉(zhuǎn),以數(shù)據(jù)安全治理為前提,在進(jìn)行數(shù)據(jù)安全組織建設(shè)、制度建設(shè)與數(shù)據(jù)資產(chǎn)梳理及分級(jí)分類(lèi)的前提下,進(jìn)行數(shù)據(jù)安全防護(hù)設(shè)計(jì),并通過(guò)數(shù)據(jù)安全態(tài)勢(shì)感知進(jìn)行數(shù)據(jù)安全運(yùn)營(yíng),從數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)流動(dòng)態(tài)勢(shì)、數(shù)據(jù)風(fēng)險(xiǎn)分析、用戶(hù)行為分析等維度,促進(jìn)數(shù)據(jù)安全治理的閉環(huán)形成,讓數(shù)據(jù)安全能力與日俱增。
流轉(zhuǎn),構(gòu)想








郯城县|
曲麻莱县|
安新县|
余江县|
凤冈县|
荆门市|
连城县|
隆子县|
久治县|
东莞市|
札达县|
烟台市|
都江堰市|
清水河县|
涟源市|
通许县|
南乐县|
额敏县|
库伦旗|
彭水|
东辽县|
旌德县|
彭泽县|
迁西县|
磐石市|
连南|
绥德县|
常熟市|
莫力|
澳门|
贡嘎县|
中宁县|
蕲春县|
东辽县|
商城县|
榆中县|
松桃|
永泰县|
卢氏县|
谷城县|
石泉县|