國(guó)內(nèi)《網(wǎng)絡(luò)安全法》落地后威力初顯�����,來(lái)自國(guó)際的GDPR法案即將落地�。近期,facebook事件又給數(shù)據(jù)安全領(lǐng)域填了一把火���,國(guó)際知名咨詢機(jī)構(gòu)Gartner預(yù)測(cè)數(shù)據(jù)安全市場(chǎng)迎來(lái)大爆發(fā)����,2018年被定位為數(shù)據(jù)安全元年�����,不夸張�。
5月17日��,由安全牛主辦的CS6 2018數(shù)據(jù)安全解決方案大會(huì)迎來(lái)深圳站�。數(shù)據(jù)安全話題已經(jīng)從國(guó)際權(quán)威報(bào)告落地到國(guó)內(nèi)的企業(yè)建設(shè)方案,再到真正的安全實(shí)踐����。安華金和作為國(guó)內(nèi)數(shù)據(jù)安全的行業(yè)翹楚����,受邀參會(huì)分享數(shù)據(jù)安全建設(shè)思路以及寶貴的實(shí)踐經(jīng)驗(yàn)��。
安華金和方案總監(jiān)宣淦淼發(fā)表《構(gòu)建數(shù)據(jù)庫(kù)縱深安全防御體系》的主題演講���,站在產(chǎn)業(yè)高度��,宣淦淼帶領(lǐng)大家全局了解數(shù)據(jù)安全的標(biāo)準(zhǔn)化趨勢(shì)��,縱觀當(dāng)前數(shù)據(jù)安全市場(chǎng)現(xiàn)狀���,并提供應(yīng)對(duì)當(dāng)前現(xiàn)狀與風(fēng)險(xiǎn)的數(shù)據(jù)安全建設(shè)思路與真實(shí)應(yīng)用案例,傳遞用戶視角的企業(yè)思考與實(shí)踐���。
一�����、瞄準(zhǔn)趨勢(shì):觀數(shù)據(jù)安全標(biāo)準(zhǔn)化趨勢(shì)
隨著數(shù)據(jù)安全市場(chǎng)的爆發(fā)�,數(shù)據(jù)安全標(biāo)準(zhǔn)化趨勢(shì)越來(lái)越突出����。單2016年���、2017年,已發(fā)布和報(bào)送審批的大數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目就呈現(xiàn)出了方向細(xì)分���、門類豐富的特點(diǎn)�����,《個(gè)人信息安全規(guī)范》�����、《大數(shù)據(jù)安全管理指南》�、《數(shù)據(jù)安全能力成熟度模型》等等不一而足��。
可見(jiàn)�����,數(shù)據(jù)安全的重要性越來(lái)越被看到���,數(shù)據(jù)安全越來(lái)越受到重視,并從政策法規(guī)層面被驅(qū)動(dòng)落實(shí)。
二�����、認(rèn)清現(xiàn)實(shí):看當(dāng)前數(shù)據(jù)安全市場(chǎng)現(xiàn)狀
數(shù)據(jù)庫(kù)“安全底子”不統(tǒng)一
尤其非關(guān)系型數(shù)據(jù)庫(kù)存在安全問(wèn)題�,大數(shù)據(jù)安全的基礎(chǔ)保障體系尚未建立。
互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新帶來(lái)前所未有新風(fēng)險(xiǎn)
在萬(wàn)物互聯(lián)���,數(shù)據(jù)共享的互聯(lián)網(wǎng)時(shí)代��,各個(gè)行業(yè)的系統(tǒng)之間實(shí)現(xiàn)了緊密聯(lián)結(jié)�����,業(yè)務(wù)的訪問(wèn)直達(dá)數(shù)據(jù)庫(kù)�,與此同時(shí)���,安全防護(hù)體系的搭建卻落后不止一步��,一旦前端出現(xiàn)安全問(wèn)題����,后端數(shù)據(jù)將面臨巨大風(fēng)險(xiǎn)�。
共享交換時(shí)代數(shù)據(jù)去隱私化處理
在數(shù)據(jù)共享趨勢(shì)下��,數(shù)據(jù)安全問(wèn)題凸顯����,數(shù)據(jù)的去隱私化成為焦點(diǎn)�,因此,網(wǎng)安法對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者個(gè)人信息隱私的保護(hù)提出了明確要求���。
上云后數(shù)據(jù)主管權(quán)問(wèn)題
云計(jì)算時(shí)代���,企業(yè)上云最擔(dān)憂的莫過(guò)于云上數(shù)據(jù)的安全,云裳數(shù)據(jù)的主管權(quán)一刻沒(méi)有厘清�,這種擔(dān)憂就一刻不會(huì)離開(kāi)。
數(shù)據(jù)正在引領(lǐng)新的商業(yè)模式的變革����,但顯然,當(dāng)前整體數(shù)據(jù)安全思路是缺乏的����,數(shù)據(jù)的管理與安全使用未成體系。如何進(jìn)行數(shù)據(jù)資產(chǎn)管理而確保數(shù)據(jù)的高效����、安全使用被提上日程��。
實(shí)際上,正是因?yàn)閷?duì)現(xiàn)狀的清晰把握��,安華金和結(jié)合數(shù)據(jù)安全建設(shè)實(shí)踐率先在國(guó)內(nèi)提出了數(shù)據(jù)安全治理理念��,并將企業(yè)全線數(shù)據(jù)安全產(chǎn)品列入“數(shù)據(jù)安全治理”框架�����,開(kāi)啟數(shù)據(jù)安全治理技術(shù)落地踐行之路���。
在上午的專家閉門會(huì)上����,宣淦淼分享了數(shù)據(jù)安全治理的建設(shè)思路:完整的數(shù)據(jù)安全治理流程應(yīng)該包括:
建組織(高層領(lǐng)導(dǎo)參與��,建立大數(shù)據(jù)處��、數(shù)據(jù)安全治理處)����、
做評(píng)估(按照數(shù)據(jù)全生命周期評(píng)估問(wèn)題和整改點(diǎn))、
立制度(數(shù)據(jù)安全總綱領(lǐng)���、分類分級(jí)����、人員權(quán)限、流程管理)
設(shè)平臺(tái)(1���、摸底:風(fēng)險(xiǎn)核查與資產(chǎn)梳理�;2�、管控:基于人和業(yè)務(wù),應(yīng)用����、開(kāi)發(fā)、測(cè)試����、運(yùn)維、共享等落實(shí)技術(shù)措施����;3、稽核:根據(jù)資產(chǎn)情況���、人員�、數(shù)據(jù)流動(dòng)、行為畫像�����,找出好人中的壞人)���。
值得一提的是,閉門會(huì)議上能感受到用戶企業(yè)的思路轉(zhuǎn)變:由從前數(shù)據(jù)驅(qū)動(dòng)價(jià)值到數(shù)據(jù)即價(jià)值的認(rèn)知變化�;從過(guò)去認(rèn)為安全是可有可無(wú)的事,到如今意識(shí)到需要加大對(duì)安全的投入����;從過(guò)去事后審計(jì)追責(zé)轉(zhuǎn)向事先管控、事中實(shí)時(shí)風(fēng)險(xiǎn)阻斷�。
三、成熟方法論:數(shù)據(jù)安全企業(yè)談應(yīng)對(duì)之道
作為一家在數(shù)據(jù)庫(kù)安全領(lǐng)域具備資深技術(shù)實(shí)力的安全廠商��,我們更愿意向前走一步���,直抵?jǐn)?shù)據(jù)最核心的領(lǐng)地�����,IT系統(tǒng)的“金庫(kù)”——數(shù)據(jù)庫(kù)?����,F(xiàn)場(chǎng)��,安華金和方案總監(jiān)宣淦淼帶著對(duì)上述現(xiàn)狀的思考����,分享了《構(gòu)建數(shù)據(jù)庫(kù)縱深安全防御體系》的主題演講。
該防御體系覆蓋DBMS���、訪問(wèn)路徑�、核心數(shù)據(jù)���,實(shí)現(xiàn)了從外到內(nèi)全方位的縱深防御�。而貫徹這套防御體系���,需要依此走通這四步:
1�����、檢查預(yù)警
1)自動(dòng)分析數(shù)據(jù)庫(kù)弱點(diǎn)和漏洞�����,實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)核查�。
2)摸清資產(chǎn)和數(shù)據(jù)底賬,建立分類分級(jí)制度���,實(shí)現(xiàn)敏感數(shù)據(jù)的識(shí)別定位�。
2�、主動(dòng)防御
1)外部:通過(guò)虛擬補(bǔ)丁、權(quán)限防控���、閾值控制,防范外部“壞人”���、“壞事”�����。
2)內(nèi)部:利用“工單+審批”的審批防控手段拿回?cái)?shù)據(jù)控制權(quán)���,杜絕好人中的“壞人”。
3����、底線防守
1)數(shù)據(jù)脫敏技術(shù):防止開(kāi)發(fā)����、測(cè)試�、分析場(chǎng)景下的第三方生產(chǎn)數(shù)據(jù)泄漏。
2)數(shù)據(jù)加密技術(shù):防止生產(chǎn)數(shù)據(jù)泄露�,如數(shù)據(jù)存儲(chǔ)介質(zhì)丟失、DBA權(quán)限泄漏�����、直接復(fù)制文件等情況造成數(shù)據(jù)泄密�����。
4����、事后追查
1)使用兼顧審計(jì)、溯源與分析的產(chǎn)品�,實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)、事件溯源�����、業(yè)務(wù)系統(tǒng)故障分析。
2)建立一套完善的���、有效的風(fēng)險(xiǎn)識(shí)別機(jī)制��,做到識(shí)別���、定位風(fēng)險(xiǎn),并發(fā)出警告����。
安華金和基于多年的實(shí)踐積累,構(gòu)建的這套縱深防御體系已經(jīng)落地到無(wú)數(shù)客戶案例之中����。宣淦淼在現(xiàn)場(chǎng)也不吝分享了我們?cè)诟鱾€(gè)行業(yè)����、領(lǐng)域的案例應(yīng)用,如省政務(wù)云大數(shù)據(jù)風(fēng)險(xiǎn)調(diào)查�,省級(jí)政務(wù)云大數(shù)據(jù)平臺(tái)解決方案,金融行業(yè)的數(shù)據(jù)庫(kù)審計(jì)稽核等項(xiàng)目��;以及在教育行業(yè)����、運(yùn)營(yíng)商行業(yè)�、人社行業(yè)等的防御體系思路應(yīng)用�����。
與用戶一起走出數(shù)據(jù)安全困境����,讓數(shù)據(jù)自由而安全的使用,是安華金和的使命所在�����。
產(chǎn)品咨詢:4000 258 365 
