查看原文
其他

实用分析 | 数据安全运营管控的体系化建设

平台化产品创新 安华金和 2022-07-03
近年来,伴随移动网络、数字经济、电子政务等领域的持续高速发展,数据的价值和作用日益彰显,成为世界各国新兴、重要的生产资料,攸关国家安全与社会稳定。


然而,面对因黑客攻击、内鬼泄密、操作失误、违规使用等导致的数据安全事件及各类隐患、风险、问题,过去市面上常见的数据安全方案大都通过提供单一化的功能解决客户在某个方面的问题和需求,这让不同安全产品间的数据“孤岛”现象突显,继而影响到数据安全建设在落地执行过程中的效率、质量乃至成本投入等诸多层面。


可预见的,从当前到未来很长一段时期内,对数据的价值利用与安全防护将持续并行,因而需要一套成体系、可持续运营的平台化数据安全产品,为客户在日常工作中提供更加便捷、可靠的技术手段。


为帮助广大客户解决上述问题和困难,安华金和现已正式推出数据安全运营管控平台(DSP-Pro)新品以“平台化、体系化、可视化、实用化”为出发点,为各行业客户提供具备“统一部署、统一监控、统一管理、统一运营”的一站式数据安全治理解决方案与技术支撑!


聚焦客户实用价值

DSP-Pro是一套更为复杂且系统的产品与解决方案,可提供多个功能集合体解决客户数据使用场景中的一系列安全问题;同时,新品摈弃了以往从单品能力去解决单点问题的思路,转而从数据使用的真实业务场景出发,根据参与数据安全建设各方角色的不同关注要点,形成“管理、技术、运营”三大体系相结合的综合性解决方案。


该方案通过建立闭环、可持续优化的数据安全管理、安全监控和安全运营体系,实现数据在安全汇聚、安全使用与安全共享等多个目标业务场景的安全运营管控需求,帮助客户在符合监管要求的同时,满足其对数据安全使用的真实需要。


提供整体解决方案

相对于传统的以安全技术能力建设为主要目标的数据安全平台化管理方案,DSP-Pro将管理体系和运营体系建设提升至与技术能力建设同等重要的高度。在设计一款综合性、平台化的数据安全解决方案时,须知参与数据安全建设的各方角色也是多样的。除了传统意义上通过技术工具执行相关操作的数据使用者外,还包括数据安全管理者、数据安全运营监管者等也需要借助相应手段完成自身角色所承担的任务。为此,DSP-Pro将“管理、技术、运营”三个体系有机融合,共同构成一套整体解决方案,从而令各方工作均可有的放矢:


1

 管理体系建设

管理体系建设的首要目标是符合国家法律、法规的监管要求,保障数据被安全使用;其次,需要做到对自身数据资产的全面可知,具备一套完整、可行的数据安全管理制度和流程体系,用以规范对数据的使用及相关操作,并基于管理体系为后续技术体系和运营体系提供与制度及流程有关的框架性指导。此外,通过适合的工具与咨询服务,完成对数据资产的梳理、登记,形成数据资产的备案清单;通过对行业监管与业务场景的分析,建立符合业务场景管理要求的分类分级标准;通过对数据资产元数据的分类分级和标签管理,形成元数据的分类分级清单;同时,建立符合自身业务场景的管理制度与规范要求等等。综上,管理体系建设的重点是完成对数据资产的梳理、评估、定级、定规以及检查稽核制度。



2

 技术体系建设

技术体系建设是将适合的安全技术手段融入到数据使用流程之中,实现对数据使用过程进行全面监控及有效管理的目标。技术体系建设为数据安全的最终落实提供了关键能力支撑,即通过对数据使用场景的分析,明确该类场景下所需使用的数据安全工具;结合数据安全管理制度与规范,在管理工具上设置行之有效的数据安全策略,并将其应用于数据资产;同时,将数据安全工具与管理流程融入到日常工作之中,切实做到从监管要求到实际业务场景下的落地执行。



考虑到技术体系建设对业务场景的强依赖性,一方面从数据生命周期的角度来看,技术体系建设应将对数据的采集、存储、传输、处理、交换、销毁等各个环节纳入到监控与管理的范围,以确保数据在其全生命周期内的可监、可控;另一方面从数据使用场景的角度来看,又可分为对数据的分析、加工、分发、测试、运维、应用等不同场景。而针对不同的角度和场景,所需要的技术手段和流程管理也不尽相同,这正是基于业务场景的DSP-Pro区别于传统平台类产品“以产品、技术能力为主要建设内容”的最核心差异。



3

 运营体系建设

运营体系建设是以实现可持续化的数据安全运营能力为目标,将数据安全管理体系建设与数据安全技术体系建设以有效运营的方式持续推行并使用下去。区别于以技术建设为主的数据安全平台类产品与解决方案,“运营”在DSP-Pro中占据了相当大的比重。那么问题来了,为什么在已将大量安全技术能力交付给客户后,还要投入如此多的精力去做运营呢?


结合数据安全前面建设的两大体系可以发现,落实管理体系的规范和流程,以及发挥技术体系的安全监测与安全防护能力,是在解决关于数据安全措施“有和无”的问题;但除此之外,仍需要完善且常态化的运营能力来解决“能用和好用”的问题,这也会让管理体系和技术体系建设发挥更大的效用。


通过数据安全策略的持续优化、数据安全规范要求结合业务的持续改进,以及对已发生数据安全事件的处理与后续风险整改措施等,实现从制度指导与策略制定,到事件识别与风险处置,再回归到优化改进制度及策略的闭环持续化运营。



DSP-Pro可通过“数据资产、安全策略合规、安全事件、安全风险”四大维度的运营手段,量化每个维度的数据安全管控建设指标,明确哪里做的好、好到什么程度,又有哪些做的不足、哪里需要改进和优化等等,不断丰富和提升数据安全建设的完整性和成熟度。同时,通过“管理、技术、运营”三个体系的建设,为客户带来如下价值:



此外,DSP-Pro还可根据参与数据安全建设的各方角色来定义体系建设及方案的价值,从而为如下角色解决在数据安全上的问题:



数据安全管理部门:针对平台经营者、数据管理者、数据业主单位等角色,提供数据资源监督制度和管理手段,助其能够总览数据资产全局,实现整体布局调配和总体效益评价;同时符合国家及行业相关安全监管要求,保障数据被安全使用。


数据安全运营方:针对数据安全管理员、安全专责等岗位角色,明确数据管控终端和管控要求,助其实现对重要数据、重要人员、重要应用的过程监管,例如数据使用过程有没有违规、变化的数据资产是否得到合理保护、已发生的数据安全事件是否被合理处置、潜在的安全风险能否被及时发现等。


数据使用方:针对数据库运维人员、数据分析人员、软件开发人员、业务系统使用人员等角色,助其在数据使用过程中符合相关安全管理要求,即安全、合规的使用数据。


作为中国数据安全治理理念的提出者和践行者,安华金和基于多年来对大量行业客户在数据使用场景及防护需求方面的深入调研分析与实践经验积累,推出以“可实用、可持续”为出发点,“一站式、体系化”的数据安全运营管控平台(DSP-Pro)——可集合包括数据资产梳理、数据库防火墙、数据库审计、数据脱敏、数据库运维管理、数据库加密等在内的各类数据安全产品优势于一体,通过可视化的信息呈现与工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全日常化、可持续运营管控目标,成为当前乃至未来很长一段时期内数据安全治理工作的优选方案,让数据使用自由而安全!


了解更多


专访 | 36氪对话「安华金和」CEO刘晓韬

专访 | 安全419对话「安华金和」孙惟皓

高危 | DBSec Labs发现Oracle重大漏洞

解读 | 如何让DBA不能“删库”也无法“跑路”

卫冕 | 安华金和获2020年杰出安全实验室

重磅 | 安华金和完成约2亿人民币D轮融资

足迹 | 安华金和2020年度大事件盘点回顾


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存