大數據產業規模超萬億 《數據安全法》為網安行業帶來空前利好
近年來,我國大數據產業規模正在高速發展。根據工信部發布的統計數據顯示,“十三五”期間,我國大數據產業年均復合增長率超過了30%,2020年產業規模超過了1萬億元人民幣。數據安全將很快形成千億級的產業風口。
今年6月,十三屆全國人大常委會第二十九次會議表決通過包括《數據安全法》在內的多項法案及兩項決定。《數據安全法》第四條提出,維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。這標志著數據安全已經上升到國家總體安全觀層面,與國家安全掛鉤。
網絡安全領軍企業奇安信集團副總裁韓永剛認為,《數據安全法》給安全行業帶來了空前機遇,也給企業帶來更高要求。安全企業需為客戶盡快開展數據安全治理和建立數據安全保護體系,尤其在身份安全、零信任、行為審計、數據敏感地圖等領域加速技術創新。日前,奇安信對外發布了“數據安全治理與保護體系建設路徑圖”,為數據安全治理和保護勾勒了面向未來的體系化建設路線。
數據安全須治理先行
“數據安全治理包括跨‘部門’管理、數據使用、數據交易等環節,它們好像土地、生產資料、勞動力、技術和知識產權一樣,都需要規則,而現在亟需針對數據這種新的生產資料制訂規則,我們把它叫數據治理體系,就像城市治理一樣,該規則應包括體系、方法、政策以及法律。”韓永剛認為。
據介紹,目前企業普遍缺乏對數據資產的清晰梳理,沒有建立明確的數據安全治理組織和工作機制,更缺乏有效的數據安全治理管控策略和執行能力,導致“核心數據使用場景不明確、數據安全治理價值不清晰”等結果。
針對數據安全治理的現狀,奇安信此前發布了安全能力治理框架2.0,它具有覆蓋數據全流程、具有可持續性的四大核心點,包括了組織標準流程、合規指引、制定相關制度和相關治理流程,以及識別治理優先級、數據分類分級、數據風險評估(DRA),數據風險評估等,助力政企機構構建數據安全體系,并形成可持續的檢測與響應機制。
數據安全體系建設的幾大關鍵措施
數據是驅動業務發展的核心動力,數據集中導致風險集中,數據流轉產生更多攻擊面,因此,數據安全體系建設涉及的領域非常廣闊。奇安信推出了精準防護、基于數據流轉的安全保護、數據安全態勢感知、數據要素數據交易安全、等幾大關鍵舉措,涵蓋了體系建設的各個方面:
在精準防護方面,奇安信零信任身份安全解決方案基于對網絡所有參與實體的數字身份,對默認不可信的所有業務與數據訪問請求進行認證和強制授權,匯聚關聯各種數據源進行持續信任評估,并根據信任的程度動態對權限進行調整,從而在訪問主體和訪問客體之間建立一種動態的信任關系,確保任何人、使用任何設備的每一次對數據的訪問,都是安全的。
奇安信還針對特權賬號推出特權訪問安全解決方案,它能夠提供特權安全風險評估、特權訪問治理與控制、特權行為記錄與審計與特權管理的持續運營等多項能力,幫助客戶管理好特權賬號這把通往數據大門的“鑰匙”。
在基于數據流轉的安全保護方面,通過數據安全治理,自動化發現敏感數據并集中展示,通過數據打標技術、數據匯聚,構建數據脈絡,全面跟蹤數據使用過程,進而及時發現內部人員異常訪問行為并自動分析,然后基于業務流程及安全策略進行自動處置,幫助政企單位第一時間避免大規模數據泄露。
同時,在個人信息保護方面,針對目前廣泛存在的信息過度采集,奇安信隱私衛士可對個人信息采集的方式(自身采集/第三方采集)、使用權限(自身使用/第三方使用)、采集頻率、是否出境、是否與隱私政策描述實質符合等進行合規檢測,覆蓋收集規則、使用規則、條款狀態、用戶權益等7個類別,50多個檢測項,并且具備可擴展的檢測能力。
在數據要素的數據交易安全方面,奇安信“數據交易沙箱”秉承“數據不動程序動”、“數據可用不可見”的安全理念,以安全分離學習技術為核心,具備開放式機器學習工作臺、數據操作追溯審計、數據置換、沙箱計算容器和反隱私隱藏等多種核心功能,支持對接多種數據源,嚴格化管控數據訪問權限,真正做到分享數據價值不分享數據。
“聰者聽于無聲,明者見于未形。” 隨著業務合作的加深和數據使用場景的復雜化,數據的流動性極大增強。奇安信推出數據安全態勢感知系統,圍繞數據梳理與風險檢測,通過數據掃描、數據操作關聯分析、用戶行為分析和大數據可視化,構建了敏感數據分布態勢、敏感數據流動態勢、數據安全風險態勢,并對數據安全威脅及時預警和處置,實現企事業數據安全的全方位態勢感知與動態防護。
安全運行是數據安全的常態化保障
數字化時期的威脅瞬息萬變,按次開展的安全檢查與測評模式,無法達到對抗與業務安全保障要求,只有面向實戰的安全運行,才能最大化發揮安全技術能力,持續提升安全保障能力,滿足業務需求。尤其是數據竊密和安全攻擊的頻次越來越多,開展數據安全運行服務保障勢在必行。
奇安信基于數據安全的運行服務保障體系中,包括數據安全治理機構、日志監測與響應、審計與定則、數據可用性保障、維護數據保護聲明、數據安全應急事件響應等多個方面,該體系依托安全運行團隊、安全運行流程、安全操作規程、安全運行支撐平臺和安全工具等,從治理、監測響應、審計、可用性、應急響應等層面,持續保障企業的數據安全。
結束語:
《數據安全法》的出臺,將成為繼《網絡安全法》實施后,網絡安全行業的又一個里程碑,勢必驅動政府、機構和企業增加在數據安全領域的投資,用以完善安全防護體系,從而促進網絡安全行業在數據安全領域的技術、產品加快創新步伐,推動數據安全產業創新發展。
在《數據安全法》的風口效應帶動下,更多的新賽道、新技術和創新企業將不斷涌現,其中,以奇安信等為代表的龍頭企業,將迎來重大發展機遇。
