《數據安全復合治理與實踐白皮書》正式發布,構建“復合治理”安全觀【附全文下載】
2021年12月22日,由中國軟件評測中心、國家信息中心《信息安全研究》、螞蟻集團聯合編寫的《數據安全復合治理與實踐白皮書》正式發布。
白皮書在對現階段全球數據安全產業發展格局及治理態勢進行充分調研與深度剖析的基礎上,從引導企業建設與升級數據安全治理體系的視角出發,以“戰略要位、實戰牽引、全員參與、技術破局”為核心指導思想,強調數據安全的“復合”治理,即:對治理框架搭建中戰略、管理和技術進行統籌規劃與設計,形成基線設定、心智運營、原生設計、安全度量、可證溯源、紅藍對抗、測評認證等豐富的治理環節,強化治理過程的聯動,將安全與業務復合、管理與技術復合,形成有機整體,充分發揮復合協同效能,構建體系化、準確量化、持續優化的數據安全復合治理模式。
此次螞蟻集團與國家權威單位聯合,結合自身豐富的業務應用場景與實踐經驗,深度參與白皮書的調研與編寫工作。面對我國數據安全法制元年的政策背景,針對數據安全產業規模快速激增,應對敏感數據泄露、數據非法販賣、數據濫用等安全風險,總結性提出“數據安全復合治理模式”,旨在為企業開展數據安全治理工作提供更加有價值的參考與建議,并為數據安全治理體系與科技能力的建設、優化與升級提供實踐路徑。
【圖一 《數據安全復合治理與實踐白皮書》復合治理模式】
企業在開展數據安全治理工作時,如何評估安全治理效果是一個比較普遍的痛點、難點問題。白皮書創新性地提出了多視角安全度量體系,由于安全治理是個體系化的風險管理工程,安全度量需要從多個評價視角入手才能全面衡量治理效果。一方面要對員工安全意識教育、防護建設覆蓋等治理過程進行準確度量以體現安全工作進展與成果,另一方面從風險主體視角,以安全規范、安全基線等合規要求為輸入,來衡量各類風險主體的風險程度與嚴重性,并圍繞風險分數開展場景化應用和通曬排名等運營模式,以提高主體的風險重視度。最終,還需要用攻防視角的紅藍演練等實戰手段,對于治理體系的薄弱環節進行驗證、對風險盲區進行發現,以真實客觀評價安全治理體系的實戰有效性。總體上,在多視角安全度量體系的驅動下,企業得以看清當前安全水位,落實安全風險的精細化管理,持續提升安全水位,并保證自身體系的健壯性。
【圖二 《數據安全復合治理與實踐白皮書》多視角安全度量】
數據安全治理科技從系統能力、算法能力、數據能力和產品能力四大維度闡述了如何建設與完善數據安全治理的技術體系。系統能力包括安全平行切面、密碼基礎設施、安全可信環境、終端安全等,旨在構建安全可信的系統和環境支持,為數據安全治理提供底層環境支撐。算法能力重點關注數據資產識別、數據血緣圖譜、異常訪問檢測等智能算法建設,應對數據安全治理中的“看見數據”、“看清數據”和“理清風險”三大難題。數據能力主要提供準實時精準檢索、壓縮索引、異構數據提取等數據加工能力,實現大規模數據的準實時快速定位。產品能力旨在從全息資產畫像、深度安全防護、智能安全運營、隱私保護與隱私計算等領域出發,構建從數據資產識別到動態安全管控到智慧安全運營到數據價值利用的全方位、體系化的產品能力,滿足不同數據安全治理場景下的技術需求。
【圖三 《數據安全復合治理與實踐白皮書》數據安全治理科技】
復合治理模式強調全員參與、原生式安全以及智能化安全運營機制。
全員參與。數據與業務緊密交織,正是基于這一特點,螞蟻集團在數據安全的風險管理上一直秉承一個理念:“數據安全不僅是安全團隊的事情,而是每個公司員工都需要高度重視的事情”。因此,如何構建一個全員參與的風險治理體系就顯得格外重要。螞蟻集團通過“啄木鳥”行動等豐富、活潑的心智運營活動設計,充分調動全員主動參與積極性,有效實現不同特點人群的精確觸達。
原生式安全。將數據安全的理念和要求融入到研發的過程中,保證產品在發布前已具備充分必要的數據保護措施,而不是出現數據安全問題以后,被動地修復和治理。同時可針對數據處理產品組件開展內部認證,推薦、保障研發團隊使用安全、可靠的組件,對使用不符合內部認證標準的組件的產品和系統,督促其及時進行整改,以增強產品和系統的“天然免疫力”。
建設智能化的安全運營機制,以進一步提升數據安全治理的自動化水平和效率。以紅藍演練為例,通過沉淀自動化、模塊化、組件化的紅藍演練能力,制定演練科學投放的策略,并建設全鏈路風險跟蹤能力,形成常態化的紅藍演練機制,從攻防視角更加高效、及時地識別和修復安全風險,實現“以攻促防、攻防相長”的目標。
【圖四 《數據安全復合治理與實踐白皮書》自動化紅藍演練平臺】
《數據安全復合治理與實踐白皮書》完整版下載鏈接: https://pan.baidu.com/s/1xEaVzUZcf42gkulP5cCA-Q提取碼: epfj