國內(nèi)《網(wǎng)絡(luò)安全法》落地后威力初顯,來自國際的GDPR法案即將落地���。近期�,facebook事件又給數(shù)據(jù)安全領(lǐng)域填了一把火,國際知名咨詢機構(gòu)Gartner預測數(shù)據(jù)安全市場迎來大爆發(fā)�����,2018年被定位為數(shù)據(jù)安全元年��,不夸張�。
5月17日�,由安全牛主辦的CS6 2018數(shù)據(jù)安全解決方案大會迎來深圳站�����。數(shù)據(jù)安全話題已經(jīng)從國際權(quán)威報告落地到國內(nèi)的企業(yè)建設(shè)方案�,再到真正的安全實踐。安華金和作為國內(nèi)數(shù)據(jù)安全的行業(yè)翹楚����,受邀參會分享數(shù)據(jù)安全建設(shè)思路以及寶貴的實踐經(jīng)驗。
安華金和方案總監(jiān)宣淦淼發(fā)表《構(gòu)建數(shù)據(jù)庫縱深安全防御體系》的主題演講����,站在產(chǎn)業(yè)高度,宣淦淼帶領(lǐng)大家全局了解數(shù)據(jù)安全的標準化趨勢���,縱觀當前數(shù)據(jù)安全市場現(xiàn)狀�,并提供應(yīng)對當前現(xiàn)狀與風險的數(shù)據(jù)安全建設(shè)思路與真實應(yīng)用案例�����,傳遞用戶視角的企業(yè)思考與實踐���。
一�、瞄準趨勢:觀數(shù)據(jù)安全標準化趨勢
隨著數(shù)據(jù)安全市場的爆發(fā),數(shù)據(jù)安全標準化趨勢越來越突出���。單2016年、2017年���,已發(fā)布和報送審批的大數(shù)據(jù)安全國家標準制定項目就呈現(xiàn)出了方向細分�����、門類豐富的特點���,《個人信息安全規(guī)范》、《大數(shù)據(jù)安全管理指南》����、《數(shù)據(jù)安全能力成熟度模型》等等不一而足。
可見�,數(shù)據(jù)安全的重要性越來越被看到,數(shù)據(jù)安全越來越受到重視�����,并從政策法規(guī)層面被驅(qū)動落實�����。
二、認清現(xiàn)實:看當前數(shù)據(jù)安全市場現(xiàn)狀
數(shù)據(jù)庫“安全底子”不統(tǒng)一
尤其非關(guān)系型數(shù)據(jù)庫存在安全問題�,大數(shù)據(jù)安全的基礎(chǔ)保障體系尚未建立。
互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新帶來前所未有新風險
在萬物互聯(lián)��,數(shù)據(jù)共享的互聯(lián)網(wǎng)時代��,各個行業(yè)的系統(tǒng)之間實現(xiàn)了緊密聯(lián)結(jié)����,業(yè)務(wù)的訪問直達數(shù)據(jù)庫,與此同時��,安全防護體系的搭建卻落后不止一步����,一旦前端出現(xiàn)安全問題,后端數(shù)據(jù)將面臨巨大風險�����。
共享交換時代數(shù)據(jù)去隱私化處理
在數(shù)據(jù)共享趨勢下����,數(shù)據(jù)安全問題凸顯���,數(shù)據(jù)的去隱私化成為焦點,因此����,網(wǎng)安法對于網(wǎng)絡(luò)運營者個人信息隱私的保護提出了明確要求����。
上云后數(shù)據(jù)主管權(quán)問題
云計算時代,企業(yè)上云最擔憂的莫過于云上數(shù)據(jù)的安全���,云裳數(shù)據(jù)的主管權(quán)一刻沒有厘清�,這種擔憂就一刻不會離開��。
數(shù)據(jù)正在引領(lǐng)新的商業(yè)模式的變革���,但顯然���,當前整體數(shù)據(jù)安全思路是缺乏的,數(shù)據(jù)的管理與安全使用未成體系��。如何進行數(shù)據(jù)資產(chǎn)管理而確保數(shù)據(jù)的高效、安全使用被提上日程�����。
實際上��,正是因為對現(xiàn)狀的清晰把握���,安華金和結(jié)合數(shù)據(jù)安全建設(shè)實踐率先在國內(nèi)提出了數(shù)據(jù)安全治理理念�����,并將企業(yè)全線數(shù)據(jù)安全產(chǎn)品列入“數(shù)據(jù)安全治理”框架����,開啟數(shù)據(jù)安全治理技術(shù)落地踐行之路���。
在上午的專家閉門會上���,宣淦淼分享了數(shù)據(jù)安全治理的建設(shè)思路:完整的數(shù)據(jù)安全治理流程應(yīng)該包括:
建組織(高層領(lǐng)導參與,建立大數(shù)據(jù)處��、數(shù)據(jù)安全治理處)���、
做評估(按照數(shù)據(jù)全生命周期評估問題和整改點)��、
立制度(數(shù)據(jù)安全總綱領(lǐng)��、分類分級���、人員權(quán)限���、流程管理)
設(shè)平臺(1、摸底:風險核查與資產(chǎn)梳理��;2���、管控:基于人和業(yè)務(wù),應(yīng)用���、開發(fā)�、測試�、運維、共享等落實技術(shù)措施����;3、稽核:根據(jù)資產(chǎn)情況、人員��、數(shù)據(jù)流動�����、行為畫像����,找出好人中的壞人)。
值得一提的是�����,閉門會議上能感受到用戶企業(yè)的思路轉(zhuǎn)變:由從前數(shù)據(jù)驅(qū)動價值到數(shù)據(jù)即價值的認知變化���;從過去認為安全是可有可無的事����,到如今意識到需要加大對安全的投入��;從過去事后審計追責轉(zhuǎn)向事先管控��、事中實時風險阻斷�。
三���、成熟方法論:數(shù)據(jù)安全企業(yè)談應(yīng)對之道
作為一家在數(shù)據(jù)庫安全領(lǐng)域具備資深技術(shù)實力的安全廠商,我們更愿意向前走一步�,直抵數(shù)據(jù)最核心的領(lǐng)地,IT系統(tǒng)的“金庫”——數(shù)據(jù)庫?��,F(xiàn)場����,安華金和方案總監(jiān)宣淦淼帶著對上述現(xiàn)狀的思考����,分享了《構(gòu)建數(shù)據(jù)庫縱深安全防御體系》的主題演講。
該防御體系覆蓋DBMS��、訪問路徑��、核心數(shù)據(jù)�,實現(xiàn)了從外到內(nèi)全方位的縱深防御�����。而貫徹這套防御體系��,需要依此走通這四步:
1、檢查預警
1)自動分析數(shù)據(jù)庫弱點和漏洞��,實現(xiàn)數(shù)據(jù)資產(chǎn)風險核查�����。
2)摸清資產(chǎn)和數(shù)據(jù)底賬�,建立分類分級制度,實現(xiàn)敏感數(shù)據(jù)的識別定位����。
2、主動防御
1)外部:通過虛擬補丁��、權(quán)限防控��、閾值控制�����,防范外部“壞人”���、“壞事”��。
2)內(nèi)部:利用“工單+審批”的審批防控手段拿回數(shù)據(jù)控制權(quán)����,杜絕好人中的“壞人”。
3�、底線防守
1)數(shù)據(jù)脫敏技術(shù):防止開發(fā)、測試��、分析場景下的第三方生產(chǎn)數(shù)據(jù)泄漏����。
2)數(shù)據(jù)加密技術(shù):防止生產(chǎn)數(shù)據(jù)泄露,如數(shù)據(jù)存儲介質(zhì)丟失����、DBA權(quán)限泄漏、直接復制文件等情況造成數(shù)據(jù)泄密����。
4、事后追查
1)使用兼顧審計�����、溯源與分析的產(chǎn)品����,實現(xiàn)數(shù)據(jù)庫訪問審計、事件溯源����、業(yè)務(wù)系統(tǒng)故障分析。
2)建立一套完善的���、有效的風險識別機制��,做到識別�����、定位風險����,并發(fā)出警告�����。
安華金和基于多年的實踐積累����,構(gòu)建的這套縱深防御體系已經(jīng)落地到無數(shù)客戶案例之中。宣淦淼在現(xiàn)場也不吝分享了我們在各個行業(yè)��、領(lǐng)域的案例應(yīng)用,如省政務(wù)云大數(shù)據(jù)風險調(diào)查��,省級政務(wù)云大數(shù)據(jù)平臺解決方案�����,金融行業(yè)的數(shù)據(jù)庫審計稽核等項目���;以及在教育行業(yè)��、運營商行業(yè)����、人社行業(yè)等的防御體系思路應(yīng)用��。
與用戶一起走出數(shù)據(jù)安全困境����,讓數(shù)據(jù)自由而安全的使用,是安華金和的使命所在�����。
產(chǎn)品咨詢:4000 258 365 
