7月21日,由崔牛會(huì)主辦的2018中國企業(yè)互聯(lián)網(wǎng)夏季峰會(huì)在杭州舉行。本次峰會(huì)以“重構(gòu)人貨場·引爆新零售”為主題,超過200位關(guān)注新零售的行業(yè)大咖齊聚一堂,現(xiàn)場分享各自在新零售方向的探索與思考。北京安華金和科技有限公司副總裁、云安全事業(yè)部COO付蓉潔應(yīng)邀出席,就新零售行業(yè)不同場景下的數(shù)據(jù)安全現(xiàn)狀與整體防護(hù)解決方案進(jìn)行了分享。
付蓉潔發(fā)表了主題為“數(shù)據(jù)即資產(chǎn)—數(shù)據(jù)安全賦能新零售價(jià)值增長”的演講。整個(gè)演講圍繞新零售以“人”為中心的消費(fèi)價(jià)值體驗(yàn),提出以“人”為中心的數(shù)據(jù)保護(hù),為零售企業(yè)應(yīng)對(duì)數(shù)字化帶來的數(shù)據(jù)安全挑戰(zhàn)提供參考與借鑒。
付蓉潔在演講中提到,在這一次新零售的變革下,企業(yè)應(yīng)以“人”為中心,以客戶為本,以數(shù)字化為基礎(chǔ),以數(shù)據(jù)為連接,人(消費(fèi)者)、貨(商品)、場(渠道)全鏈條打通,以此來提升客戶體驗(yàn),推動(dòng)完成商業(yè)模式重構(gòu)。
在此過程中,隨著數(shù)據(jù)價(jià)值的提升,傳統(tǒng)可信的“人”同時(shí)又成為數(shù)據(jù)安全的風(fēng)險(xiǎn)源。近年來新零售行業(yè)數(shù)據(jù)安全事件層出不窮,傳統(tǒng)的數(shù)據(jù)安全風(fēng)險(xiǎn)尚未解決,互聯(lián)網(wǎng)下的業(yè)務(wù)創(chuàng)新更帶來前所未有的新風(fēng)險(xiǎn),眾多應(yīng)用如APP、PC商城、微信、第三方接口,打通傳統(tǒng)網(wǎng)絡(luò)壁壘,更多業(yè)務(wù)接口訪問直達(dá)數(shù)據(jù)庫;網(wǎng)商業(yè)務(wù)與實(shí)體門店數(shù)據(jù)互通互聯(lián),跨行業(yè)服務(wù)如出行交通、餐飲酒店、本地生活異業(yè)合作,數(shù)據(jù)加速流轉(zhuǎn)共享。
除了數(shù)據(jù)使用系統(tǒng)如電商ERP、CRM、倉儲(chǔ)物流系統(tǒng)本身的安全外,付蓉潔強(qiáng)調(diào)數(shù)據(jù)安全更需要側(cè)重于在這些環(huán)境當(dāng)中數(shù)據(jù)被使用過程中的安全,建議新零售各品牌CIO們關(guān)注如何被使用,誰需要對(duì)數(shù)據(jù)持有保護(hù)責(zé)任,并對(duì)數(shù)據(jù)是否得到了足夠的安全保護(hù)進(jìn)行檢驗(yàn)。
以“人”為中心的數(shù)據(jù)保護(hù)三步走
第一步:了解數(shù)據(jù)資產(chǎn)狀況
眾多運(yùn)行的零售業(yè)務(wù)系統(tǒng)中,先完成對(duì)數(shù)據(jù)使用狀況的摸底工作,把數(shù)據(jù)和有價(jià)值的數(shù)據(jù)分離,針對(duì)個(gè)人數(shù)據(jù)標(biāo)識(shí)化,如會(huì)員的手機(jī)號(hào)、郵箱、海外購的用戶身份證等等,根據(jù)數(shù)據(jù)特征,形成個(gè)人信息清單,建立數(shù)據(jù)資產(chǎn)臺(tái)賬,并對(duì)數(shù)據(jù)資產(chǎn)臺(tái)賬進(jìn)行管理。在此過程中明確數(shù)據(jù)分布狀況,確保數(shù)據(jù)類別、敏感級(jí)別,數(shù)據(jù)所有者的類別、訪問級(jí)別,確定共享分發(fā)人員權(quán)限、共享分發(fā)數(shù)據(jù)級(jí)別。
第二步:數(shù)據(jù)使用狀況動(dòng)態(tài)監(jiān)控
對(duì)數(shù)據(jù)使用狀況進(jìn)行動(dòng)態(tài)監(jiān)控,如業(yè)務(wù)人員,通過什么途徑進(jìn)行業(yè)務(wù)數(shù)據(jù)訪問,做過哪些訪問動(dòng)作,哪些個(gè)人信息被訪問的頻次最高,哪個(gè)客戶端被訪問次數(shù)最多,有哪些設(shè)定的高危動(dòng)作如數(shù)據(jù)批量下載被執(zhí)行,從數(shù)據(jù)的持續(xù)使用中形成敏感數(shù)據(jù)分布,數(shù)據(jù)流向。于此同時(shí),針對(duì)敏感數(shù)據(jù)風(fēng)險(xiǎn)持續(xù)監(jiān)控,呈現(xiàn)數(shù)據(jù)安全態(tài)勢全景圖。
數(shù)據(jù)安全態(tài)勢全景圖
第三步:不同場景下的保護(hù)數(shù)據(jù)資產(chǎn)
大型商超儲(chǔ)值卡一般為可反復(fù)消費(fèi)、充值的購物卡,擁有變動(dòng)的金額,可以向此類儲(chǔ)值卡中不定期充值金額。付蓉潔在演講中以大型商超儲(chǔ)值卡為例,向大家分享了此類儲(chǔ)值卡在不同場景下是如何實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)的。
業(yè)務(wù)側(cè):通過數(shù)據(jù)庫防火墻技術(shù),捕獲業(yè)務(wù)人員對(duì)儲(chǔ)值卡的訪問行為,經(jīng)過一段時(shí)間學(xué)習(xí)期,建立業(yè)務(wù)行為模型,以該模型去判斷高危訪問和行為異常,如業(yè)務(wù)人員在非正常工作時(shí)間段內(nèi)多次訪問儲(chǔ)值卡的行為,就可能為違規(guī)操作,針對(duì)這種行為進(jìn)行告警。
運(yùn)維側(cè):不同于應(yīng)用行為,運(yùn)維側(cè)人員擁有高權(quán)限賬戶,可以對(duì)儲(chǔ)值卡進(jìn)行批量操作,一旦出現(xiàn)系統(tǒng)的維護(hù)人員或數(shù)據(jù)庫管理員誤操作、風(fēng)險(xiǎn)操作,會(huì)直接導(dǎo)致儲(chǔ)值卡數(shù)據(jù)出現(xiàn)錯(cuò)誤,后果不堪設(shè)想。建議借助專業(yè)的數(shù)據(jù)庫運(yùn)維管控工具,實(shí)時(shí)管控運(yùn)維行為,對(duì)數(shù)據(jù)庫運(yùn)維工作進(jìn)行細(xì)粒度管控。
分析側(cè):針對(duì)儲(chǔ)值卡進(jìn)行實(shí)時(shí)狀態(tài)監(jiān)控和風(fēng)險(xiǎn)告警。一是充值頻次告警,針對(duì)充值頻次進(jìn)行監(jiān)控,由于正常使用習(xí)慣為單位時(shí)間內(nèi)充值一次,那么如果出現(xiàn)多次充值的情況時(shí),極可能是違規(guī)操作,需要針對(duì)此類情況進(jìn)行告警;二是大金額充值告警,正常使用習(xí)慣為充值一定量的金額,如果出現(xiàn)充值金額較大的情況時(shí),就可能為違規(guī)操作,針對(duì)這種行為進(jìn)行告警。
共享側(cè):在進(jìn)行客戶畫像的過程中,各系統(tǒng)之間會(huì)進(jìn)行頻繁的數(shù)據(jù)共享,共享的數(shù)據(jù)中包含了大量的個(gè)人隱私,儲(chǔ)值卡對(duì)應(yīng)的用戶信息是其中一項(xiàng)數(shù)據(jù)來源。相關(guān)數(shù)據(jù)在共享分發(fā)時(shí),涉及跨業(yè)務(wù)單元,跨企業(yè),針對(duì)數(shù)據(jù)分級(jí)分類,確立敏感信息,在建立數(shù)據(jù)資產(chǎn)臺(tái)賬的基礎(chǔ)上,將數(shù)據(jù)脫敏后進(jìn)行共享。
作為中國專業(yè)的數(shù)據(jù)安全產(chǎn)品及解決方案提供商,安華金和十年專注數(shù)據(jù)安全,面向市場推出12款數(shù)據(jù)庫安全產(chǎn)品,覆蓋數(shù)據(jù)庫安全全產(chǎn)線,幫助用戶全面實(shí)現(xiàn)數(shù)據(jù)庫安全防護(hù)和安全合規(guī)。
馬上掃描/長按識(shí)別下方二維碼
限時(shí)下載 峰會(huì)演講PPT
電力數(shù)據(jù)安全的暴露面與針對(duì)性防護(hù)思路
CHIMA 2021 | 安華金和解讀醫(yī)療數(shù)據(jù)安全
直播|科學(xué)城·云推介:新技術(shù)+新產(chǎn)品+新服務(wù)
ISC 2021:安華金和深度參與,共建合作生態(tài)、共謀行業(yè)發(fā)展!
視頻回放 | 安華金和攜手愛數(shù)重磅發(fā)布副本數(shù)據(jù)脫敏方案
半年六榜 | 安華金和入選《2020年中國網(wǎng)絡(luò)安全市場全景圖》
安華金和數(shù)據(jù)庫安全實(shí)驗(yàn)室再次發(fā)現(xiàn)Oracle數(shù)據(jù)庫重大漏洞
安華金和榮獲2020年度中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“優(yōu)秀會(huì)員單位”