国模一区二区三区,久国产精品下载

首頁 > 新聞資訊 > 行業(yè)新聞

天暢技術(shù)園地 | 數(shù)據(jù)驅(qū)動管理，提升數(shù)據(jù)資產(chǎn)安全管理

2023-3-10 0:00:00瀏覽量：1557編輯：管理員來源：天暢

在數(shù)字信息技術(shù)日新月異的發(fā)展趨勢下，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素，是國家重要資產(chǎn)和基礎(chǔ)戰(zhàn)略資源。隨著數(shù)據(jù)價(jià)值的愈加凸顯，數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)販賣等數(shù)據(jù)安全事件頻發(fā)，為個(gè)人隱私、企業(yè)商業(yè)秘密、國家重要情報(bào)等帶來了嚴(yán)重的安全隱患。

當(dāng)前，數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時(shí)代最緊迫和最基礎(chǔ)的安全問題，加強(qiáng)數(shù)據(jù)安全治理已成為維護(hù)國家安全和國家競爭力的戰(zhàn)略需要。為此，國家高度重視數(shù)據(jù)安全的頂層設(shè)計(jì)：在相繼發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》（2015）、《科學(xué)數(shù)據(jù)管理辦法》（2018）、《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》（2020）以及“十四五”規(guī)劃（2021）中，均提出發(fā)展數(shù)字經(jīng)濟(jì)、加快培育發(fā)展數(shù)據(jù)要素市場，應(yīng)把保障數(shù)據(jù)安全放在突出位置的重要思想內(nèi)涵。同時(shí)，2021年6月10日，十三屆全國人大常委會第二十九次會議表決通過了《中華人民共和國數(shù)據(jù)安全法》。

2023年3月7日

提請十四屆全國人大一次會議審議的國務(wù)院機(jī)構(gòu)改革方案披露，中國擬組建國家數(shù)據(jù)局。負(fù)責(zé)協(xié)調(diào)推進(jìn)數(shù)據(jù)基礎(chǔ)制度建設(shè)，統(tǒng)籌數(shù)據(jù)資源整合共享和開發(fā)利用，統(tǒng)籌推進(jìn)數(shù)字中國、數(shù)字經(jīng)濟(jì)、數(shù)字社會規(guī)劃和建設(shè)等，由國家發(fā)展和改革委員會管理。

金融行業(yè)數(shù)據(jù)安全發(fā)展與挑戰(zhàn)

銀行業(yè)是典型的數(shù)據(jù)密集型行業(yè)，資產(chǎn)數(shù)字化和鏈路數(shù)字化已經(jīng)相對成熟，數(shù)據(jù)可謂是銀行業(yè)發(fā)展的根基，有效利用數(shù)據(jù)并發(fā)揮出數(shù)據(jù)的價(jià)值已成為銀行機(jī)構(gòu)的核心競爭力之一。強(qiáng)監(jiān)管下，保障數(shù)據(jù)的安全是銀行業(yè)務(wù)發(fā)展的底線，但是當(dāng)前銀行業(yè)數(shù)據(jù)安全仍然面臨一些挑戰(zhàn)。

重點(diǎn)建設(shè)方向不清晰

一般意義上來講，分類分級普遍都是數(shù)據(jù)安全建設(shè)的基礎(chǔ)和前提工作，但很多銀行都面臨著“分類分級之后做什么”的難題，數(shù)據(jù)安全涉及的領(lǐng)域范圍紛繁復(fù)雜，應(yīng)該從哪個(gè)緯度著手，如何體系化開展數(shù)據(jù)安全建設(shè)工作，成為很多銀行關(guān)注的焦點(diǎn)。

合規(guī)和業(yè)務(wù)需求相沖突

《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》、《金融數(shù)據(jù)安全數(shù)據(jù)安全評估規(guī)范（征求意見稿）》等相關(guān)法律法規(guī)中，對于不同級別數(shù)據(jù)的保護(hù)均提出了明確且稍顯“嚴(yán)苛”的要求，例如“3 級及以上的數(shù)據(jù)導(dǎo)出應(yīng)使用加密、脫敏等技術(shù)手段防止數(shù)據(jù)泄露，國家及行業(yè)主管部門另有規(guī)定的除外�！比欢趯�(shí)際業(yè)務(wù)開展中，特定業(yè)務(wù)人員經(jīng)常需要明文使用3級或更高級別的數(shù)據(jù)，這樣就造成了安全合規(guī)與業(yè)務(wù)的沖突。如何平衡或者是否有好的技術(shù)手段能夠有效的解決，也是銀行亟待解決的難題。

安全合規(guī)的成本高、周期長

在實(shí)現(xiàn)監(jiān)管要求過程中，不可避免需要涉及系統(tǒng)相應(yīng)的改造工作。例如，審計(jì)日志的要求，監(jiān)管明確指出“操作日志應(yīng)至少包含明確的主體、客體、操作時(shí)間、具體操作類型、操作結(jié)果等”，但很多應(yīng)用系統(tǒng)都存在日志記錄不全的問題。另外，不同數(shù)據(jù)脫敏的要求也不同等，都需要大量的定制化開發(fā)才能實(shí)現(xiàn)合規(guī)要求。這樣所需要的改造成本以及周期，是很多銀行無法承受的。

數(shù)據(jù)安全管理持續(xù)開展難

數(shù)據(jù)安全的管理通常是一個(gè)比較麻煩的命題，原因在于承擔(dān)管理職責(zé)的部門往往是安全或者數(shù)據(jù)管理團(tuán)隊(duì)，并不是真正的業(yè)務(wù)使用部門。然而，數(shù)據(jù)權(quán)限往往又是基于業(yè)務(wù)需要來制定的，也就是說管理人員對于業(yè)務(wù)的了解必然是局限的，安全人員很難判斷業(yè)務(wù)系統(tǒng)的權(quán)限設(shè)置是否合理，但是卻又肩負(fù)著安全管理的職責(zé)，這就導(dǎo)致了數(shù)據(jù)安全運(yùn)營管理的工作沒有依托和抓手，很難持續(xù)開展下去。

呼喚數(shù)據(jù)安全治理

在探討如何開展數(shù)據(jù)安全建設(shè)之前，我們從《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》的安全框架中不難發(fā)現(xiàn)，“數(shù)據(jù)使用安全”是全生命周期防護(hù)的重中之重。數(shù)據(jù)安全的核心就是解決數(shù)據(jù)使用安全的問題。

數(shù)據(jù)安全治理即是以數(shù)據(jù)的安全使用為目的的綜合管理理念。數(shù)據(jù)安全治理理念，首先需要成立數(shù)據(jù)安全治理的組織機(jī)構(gòu)，確保數(shù)據(jù)安全治理工作在組織內(nèi)能真正地落地；其次，完成數(shù)據(jù)安全治理的策略性文件和系列落地文件；再次，通過系列的數(shù)據(jù)安全技術(shù)支撐系統(tǒng)應(yīng)對挑戰(zhàn)，確保數(shù)據(jù)安全管理規(guī)定有效落地。

數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機(jī)構(gòu)，以明確數(shù)據(jù)安全治理的政策、落實(shí)和監(jiān)督由誰長期負(fù)責(zé)。該機(jī)構(gòu)通常是虛擬機(jī)構(gòu)，可稱為數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組，成員由數(shù)據(jù)的利益相關(guān)者和專家構(gòu)成。其成立，標(biāo)志著組織的數(shù)據(jù)安全治理工作正式啟動，使組織內(nèi)數(shù)據(jù)安全規(guī)范制定、數(shù)據(jù)安全技術(shù)導(dǎo)入、數(shù)據(jù)安全體系建設(shè)得以不斷完善。該機(jī)構(gòu)成立后，履行以下職責(zé)：

A．?dāng)?shù)據(jù)的分級分類原則的制定

B．?dāng)?shù)據(jù)安全使用（管理）規(guī)范的制定

C．?dāng)?shù)據(jù)安全治理技術(shù)的導(dǎo)入

D．?dāng)?shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行

E．?dāng)?shù)據(jù)安全治理的持續(xù)演進(jìn)

數(shù)據(jù)安全治理步驟

（一）數(shù)據(jù)梳理分類分級

隨著數(shù)據(jù)安全法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的落地，夯實(shí)符合當(dāng)下中國國情和行業(yè)發(fā)展方向的基于分類分級的數(shù)據(jù)防護(hù)共識。數(shù)據(jù)分類分級是數(shù)據(jù)安全治理和數(shù)據(jù)分類分級保護(hù)的基礎(chǔ)，促進(jìn)數(shù)據(jù)充分利用、有序流動和安全共享的重要前提。

數(shù)據(jù)使用部門和角色梳理

數(shù)據(jù)資產(chǎn)梳理中，明確數(shù)據(jù)如何被存儲、數(shù)據(jù)被哪些對象使用、數(shù)據(jù)被如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用，需要通過自動化的工具進(jìn)行；對于部門、人員角色梳理，更多在管理規(guī)范文件中體現(xiàn)；對于數(shù)據(jù)資產(chǎn)使用角色的梳理，關(guān)鍵要明確不同受眾的分工、權(quán)利和職責(zé)。

數(shù)據(jù)的存儲與分布梳理

清楚敏感數(shù)據(jù)分布，才能知道需要對什么樣的庫實(shí)現(xiàn)何種管控策略；對該庫運(yùn)維人員實(shí)現(xiàn)怎樣的管控措施；對該庫的數(shù)據(jù)導(dǎo)出實(shí)現(xiàn)怎樣的模糊化策略；對該庫數(shù)據(jù)的存儲實(shí)現(xiàn)何種加密要求。

數(shù)據(jù)的使用狀況梳理

明確數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能準(zhǔn)確地制訂業(yè)務(wù)系統(tǒng)工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

（二）評估咨詢

通過“訪問主體”、“訪問客體”、“訪問行為”三方面現(xiàn)狀調(diào)研，查看現(xiàn)有數(shù)據(jù)安全管理制度和規(guī)范，梳理出企業(yè)數(shù)據(jù)資產(chǎn)的管理需要遵循哪些外部的國家政策法規(guī)及行業(yè)內(nèi)的數(shù)據(jù)安全政策，綜合統(tǒng)計(jì)問題和風(fēng)險(xiǎn)排列優(yōu)先級，結(jié)合具體業(yè)務(wù)場景分析評估數(shù)據(jù)安全風(fēng)險(xiǎn)并給出整改建議，構(gòu)建企業(yè)數(shù)據(jù)使用全流程的安全治理體系。

（三）規(guī)劃實(shí)施

組織架構(gòu)

設(shè)立數(shù)據(jù)安全管理委員會，其組成包括：

領(lǐng)導(dǎo)小組：黨委書記和董事長（數(shù)據(jù)安全負(fù)責(zé)人）、分管信息科技、風(fēng)險(xiǎn)的行領(lǐng)導(dǎo)；

委員：科技、業(yè)務(wù)、風(fēng)險(xiǎn)管理等部門主要負(fù)責(zé)人；

建立自上而下的覆蓋決策、管理、執(zhí)行、監(jiān)督四個(gè)層面的數(shù)據(jù)安全管理體系。

制度規(guī)程

根據(jù)自身風(fēng)險(xiǎn)與監(jiān)管要求定期修訂數(shù)據(jù)治理制度規(guī)程。

技術(shù)體系

數(shù)據(jù)安全狀況梳理的技術(shù)支撐

1、數(shù)據(jù)靜態(tài)梳理技術(shù)

靜態(tài)梳理完成對敏感數(shù)據(jù)的存儲分布狀況、數(shù)據(jù)管理系統(tǒng)的漏洞狀況、數(shù)據(jù)管理系統(tǒng)的安全配置狀況的信息采集技術(shù)。

2、數(shù)據(jù)動態(tài)梳理技術(shù)

動態(tài)梳理技術(shù)實(shí)現(xiàn)對系統(tǒng)中的敏感數(shù)據(jù)的訪問狀況的梳理。

3、數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)

通過可視化技術(shù)將靜態(tài)資產(chǎn)和動態(tài)資產(chǎn)梳理技術(shù)梳理出的信息以可視化的形式呈現(xiàn)，比如敏感數(shù)據(jù)的訪問熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務(wù)系統(tǒng)內(nèi)的分布、系統(tǒng)的賬號和權(quán)限圖、敏感數(shù)據(jù)的范圍權(quán)限圖：

4、數(shù)據(jù)資產(chǎn)的管理系統(tǒng)支撐

基于靜態(tài)梳理、動態(tài)梳理和可視化展現(xiàn)技術(shù)，建立數(shù)據(jù)資產(chǎn)的登記、準(zhǔn)入、準(zhǔn)出和定期核查。

數(shù)據(jù)訪問管控的技術(shù)支撐

1、數(shù)據(jù)庫運(yùn)維審批技術(shù)

數(shù)據(jù)庫的專業(yè)運(yùn)維管控工具可以控制到表、列級及各種數(shù)據(jù)庫操作；可精確控制到具體的語句、語句執(zhí)行的時(shí)間、執(zhí)行閾值；滿足事前審批，事中控制的模式。

2、防止黑客攻擊的數(shù)據(jù)庫防火墻技術(shù)

除管理內(nèi)部人員對敏感數(shù)據(jù)的訪問行為，也要對付黑客攻擊和入侵或第三方外包人員突破常規(guī)的權(quán)限控制，因此需要數(shù)據(jù)庫防火墻技術(shù)實(shí)現(xiàn)防御漏洞攻擊。

3、數(shù)據(jù)庫存儲加密技術(shù)

數(shù)據(jù)庫的存儲加密保證數(shù)據(jù)在物理層得到安全保障，加密技術(shù)的關(guān)鍵是解決幾個(gè)核心問題：

a) 加密與權(quán)控技術(shù)的整合；

b) 加密后的數(shù)據(jù)可快速檢索；

c) 應(yīng)用透明技術(shù)；

4、數(shù)據(jù)庫脫敏技術(shù)

數(shù)據(jù)庫脫敏技術(shù)，是解決數(shù)據(jù)模糊化的關(guān)鍵技術(shù)，通過脫敏技術(shù)來解決生產(chǎn)數(shù)據(jù)中的敏感信息在測試環(huán)境、開發(fā)環(huán)境和BI分析環(huán)境的安全。在脫敏技術(shù)中的關(guān)鍵技術(shù)包括：

a)數(shù)據(jù)含義的保持；

b) 數(shù)據(jù)間關(guān)系的保持；

c) 增量數(shù)據(jù)脫敏；

d) 可逆脫敏；

5、數(shù)據(jù)水印技術(shù)

數(shù)據(jù)水印技術(shù)是為了保持對分發(fā)后的數(shù)據(jù)的追蹤，在數(shù)據(jù)泄露行為發(fā)生后，對造成數(shù)據(jù)泄露的源頭可進(jìn)行回溯。在分發(fā)數(shù)據(jù)中摻雜不影響運(yùn)算結(jié)果的水印數(shù)據(jù)，水印中記錄分發(fā)信息，當(dāng)拿到泄密數(shù)據(jù)的樣本，可追溯數(shù)據(jù)泄露源。

數(shù)據(jù)安全稽核的技術(shù)支撐

數(shù)據(jù)安全稽核保障數(shù)據(jù)治理的策略和規(guī)范被有效執(zhí)行和落地，快速發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為。但面對超大規(guī)模的數(shù)據(jù)流量、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量，數(shù)據(jù)稽核面臨著很大技術(shù)挑戰(zhàn)。

1、數(shù)據(jù)審計(jì)技術(shù)

數(shù)據(jù)審計(jì)技術(shù)是對工作人員行為是否合規(guī)進(jìn)行判定的關(guān)鍵，是基于網(wǎng)絡(luò)流量分析技術(shù)、高性能入庫技術(shù)、大數(shù)據(jù)分析技術(shù)和可視化展現(xiàn)技術(shù)：

2、賬戶和權(quán)限變化追蹤技術(shù)

賬號和權(quán)限總是動態(tài)被維護(hù)，如何快速了解在已完成的賬號和權(quán)限基線上增加了哪些賬號，賬號權(quán)限是否變化，變化是否遵循合規(guī)性保證，需要通過靜態(tài)的掃描技術(shù)和可視化技術(shù)完成賬號和權(quán)限的變化稽核。

3、異常行為分析技術(shù)

很多數(shù)據(jù)入侵和非法訪問掩蓋在合理的授權(quán)下，因此需要通過一些數(shù)據(jù)分析技術(shù)，對異常行為發(fā)現(xiàn)和定義。定義異常行為，一是通過人工的分析完成；一是對日常行為進(jìn)行動態(tài)的學(xué)習(xí)和建模，不符合日常建模的行為予以告警。很多異常訪問行為，都與頻次有密切關(guān)系，引入StreamDB這種以時(shí)間窗體為概念，對多個(gè)數(shù)據(jù)流進(jìn)行頻次、累計(jì)量和差異量進(jìn)行分析的技術(shù)，用于對大規(guī)模數(shù)據(jù)流的異常發(fā)現(xiàn)：

（四）持續(xù)運(yùn)營

通過數(shù)據(jù)治理，實(shí)現(xiàn)對各個(gè)接入系統(tǒng)的全面動態(tài)風(fēng)險(xiǎn)監(jiān)控，結(jié)合數(shù)據(jù)類型、安全等級、人員角色、操作類型、所處環(huán)境等因素，實(shí)現(xiàn)更加精細(xì)的權(quán)限管控，靈活適應(yīng)多種復(fù)雜場景下的數(shù)據(jù)使用風(fēng)險(xiǎn)。用統(tǒng)一的脫敏、水印以及針對不同安全風(fēng)險(xiǎn)的告警和控制能力，實(shí)時(shí)響應(yīng)，最大程度降低損失，管控風(fēng)險(xiǎn)。使統(tǒng)一的數(shù)據(jù)安全管理成為可能。

當(dāng)今社會，數(shù)字資源、數(shù)字經(jīng)濟(jì)對經(jīng)濟(jì)社會發(fā)展具有基礎(chǔ)性作用，對于構(gòu)建新發(fā)展格局、建設(shè)現(xiàn)代化經(jīng)濟(jì)體系、構(gòu)筑國家競爭新優(yōu)勢意義重大，必須加強(qiáng)對數(shù)據(jù)的管理、開發(fā)、利用。面對數(shù)據(jù)安全威脅日益嚴(yán)峻的態(tài)勢，著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，有效提升數(shù)據(jù)安全治理能力迫在眉睫。

上一篇：信息安全速覽 | 警惕AI詐騙保護(hù)個(gè)人隱私數(shù)據(jù)

下一篇：天暢信息受邀參加廣州城建職業(yè)學(xué)院企業(yè)精英課堂交流演講會

快分享給好友吧！

资源县| 肥西县| 嘉兴市| 灵川县| 自贡市| 长海县| 西藏| 砚山县| 杂多县| 遵义市| 汉阴县| 南丰县| 车致| 当阳市| 吉隆县| 彰化市| 长乐市| 西充县| 明星| 舟山市| 女性| 镇巴县| 辽阳市| 巫溪县| 会泽县| 喀喇| 定边县| 保山市| 达拉特旗| 枣庄市| 广灵县| 兴安县| 嘉义市| 肥东县| 上饶县| 陆川县| 华亭县| 伊金霍洛旗| 白山市| 班戈县| 新化县|

<style id="ufng5"></style>

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

天暢技術(shù)園地 | 數(shù)據(jù)驅(qū)動管理，提升數(shù)據(jù)資產(chǎn)安全管理

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

天暢技術(shù)園地 | 數(shù)據(jù)驅(qū)動管理，提升數(shù)據(jù)資產(chǎn)安全管理

天暢技術(shù)園地 | 數(shù)據(jù)驅(qū)動管理，提升數(shù)據(jù)資產(chǎn)安全管理