《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布,構(gòu)建“復(fù)合治理”安全觀

  • 人閱讀
  • 2021-12-23 13:52:46

  • 來(lái)源:中華網(wǎng)科技

  • 相關(guān)關(guān)鍵詞

2021年12月22日,由中國(guó)軟件評(píng)測(cè)中心、國(guó)家信息中心《信息安全研究》、螞蟻集團(tuán)聯(lián)合編寫(xiě)的《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布。

白皮書(shū)在對(duì)現(xiàn)階段全球數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展格局及治理態(tài)勢(shì)進(jìn)行充分調(diào)研與深度剖析的基礎(chǔ)上,從引導(dǎo)企業(yè)建設(shè)與升級(jí)數(shù)據(jù)安全治理體系的視角出發(fā),以“戰(zhàn)略要位、實(shí)戰(zhàn)牽引、全員參與、技術(shù)破局”為核心指導(dǎo)思想,強(qiáng)調(diào)數(shù)據(jù)安全的“復(fù)合”治理,即:對(duì)治理框架搭建中戰(zhàn)略、管理和技術(shù)進(jìn)行統(tǒng)籌規(guī)劃與設(shè)計(jì),形成基線設(shè)定、心智運(yùn)營(yíng)、原生設(shè)計(jì)、安全度量、可證溯源、紅藍(lán)對(duì)抗、測(cè)評(píng)認(rèn)證等豐富的治理環(huán)節(jié),強(qiáng)化治理過(guò)程的聯(lián)動(dòng),將安全與業(yè)務(wù)復(fù)合、管理與技術(shù)復(fù)合,形成有機(jī)整體,充分發(fā)揮復(fù)合協(xié)同效能,構(gòu)建體系化、準(zhǔn)確量化、持續(xù)優(yōu)化的數(shù)據(jù)安全復(fù)合治理模式。

此次螞蟻集團(tuán)與國(guó)家權(quán)威單位聯(lián)合,結(jié)合自身豐富的業(yè)務(wù)應(yīng)用場(chǎng)景與實(shí)踐經(jīng)驗(yàn),深度參與白皮書(shū)的調(diào)研與編寫(xiě)工作。面對(duì)我國(guó)數(shù)據(jù)安全法制元年的政策背景,針對(duì)數(shù)據(jù)安全產(chǎn)業(yè)規(guī)模快速激增,應(yīng)對(duì)敏感數(shù)據(jù)泄露、數(shù)據(jù)非法販賣(mài)、數(shù)據(jù)濫用等安全風(fēng)險(xiǎn),總結(jié)性提出“數(shù)據(jù)安全復(fù)合治理模式”,旨在為企業(yè)開(kāi)展數(shù)據(jù)安全治理工作提供更加有價(jià)值的參考與建議,并為數(shù)據(jù)安全治理體系與科技能力的建設(shè)、優(yōu)化與升級(jí)提供實(shí)踐路徑。

《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布,構(gòu)建“復(fù)合治理”安全觀

【圖一 《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》復(fù)合治理模式】

企業(yè)在開(kāi)展數(shù)據(jù)安全治理工作時(shí),如何評(píng)估安全治理效果是一個(gè)比較普遍的痛點(diǎn)、難點(diǎn)問(wèn)題。白皮書(shū)創(chuàng)新性地提出了多視角安全度量體系,由于安全治理是個(gè)體系化的風(fēng)險(xiǎn)管理工程,安全度量需要從多個(gè)評(píng)價(jià)視角入手才能全面衡量治理效果。一方面要對(duì)員工安全意識(shí)教育、防護(hù)建設(shè)覆蓋等治理過(guò)程進(jìn)行準(zhǔn)確度量以體現(xiàn)安全工作進(jìn)展與成果,另一方面從風(fēng)險(xiǎn)主體視角,以安全規(guī)范、安全基線等合規(guī)要求為輸入,來(lái)衡量各類(lèi)風(fēng)險(xiǎn)主體的風(fēng)險(xiǎn)程度與嚴(yán)重性,并圍繞風(fēng)險(xiǎn)分?jǐn)?shù)開(kāi)展場(chǎng)景化應(yīng)用和通曬排名等運(yùn)營(yíng)模式,以提高主體的風(fēng)險(xiǎn)重視度。最終,還需要用攻防視角的紅藍(lán)演練等實(shí)戰(zhàn)手段,對(duì)于治理體系的薄弱環(huán)節(jié)進(jìn)行驗(yàn)證、對(duì)風(fēng)險(xiǎn)盲區(qū)進(jìn)行發(fā)現(xiàn),以真實(shí)客觀評(píng)價(jià)安全治理體系的實(shí)戰(zhàn)有效性??傮w上,在多視角安全度量體系的驅(qū)動(dòng)下,企業(yè)得以看清當(dāng)前安全水位,落實(shí)安全風(fēng)險(xiǎn)的精細(xì)化管理,持續(xù)提升安全水位,并保證自身體系的健壯性。

《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布,構(gòu)建“復(fù)合治理”安全觀

【圖二 《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》多視角安全度量】

數(shù)據(jù)安全治理科技從系統(tǒng)能力、算法能力、數(shù)據(jù)能力和產(chǎn)品能力四大維度闡述了如何建設(shè)與完善數(shù)據(jù)安全治理的技術(shù)體系。系統(tǒng)能力包括安全平行切面、密碼基礎(chǔ)設(shè)施、安全可信環(huán)境、終端安全等,旨在構(gòu)建安全可信的系統(tǒng)和環(huán)境支持,為數(shù)據(jù)安全治理提供底層環(huán)境支撐。算法能力重點(diǎn)關(guān)注數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)血緣圖譜、異常訪問(wèn)檢測(cè)等智能算法建設(shè),應(yīng)對(duì)數(shù)據(jù)安全治理中的“看見(jiàn)數(shù)據(jù)”、“看清數(shù)據(jù)”和“理清風(fēng)險(xiǎn)”三大難題。數(shù)據(jù)能力主要提供準(zhǔn)實(shí)時(shí)精準(zhǔn)檢索、壓縮索引、異構(gòu)數(shù)據(jù)提取等數(shù)據(jù)加工能力,實(shí)現(xiàn)大規(guī)模數(shù)據(jù)的準(zhǔn)實(shí)時(shí)快速定位。產(chǎn)品能力旨在從全息資產(chǎn)畫(huà)像、深度安全防護(hù)、智能安全運(yùn)營(yíng)、隱私保護(hù)與隱私計(jì)算等領(lǐng)域出發(fā),構(gòu)建從數(shù)據(jù)資產(chǎn)識(shí)別到動(dòng)態(tài)安全管控到智慧安全運(yùn)營(yíng)到數(shù)據(jù)價(jià)值利用的全方位、體系化的產(chǎn)品能力,滿足不同數(shù)據(jù)安全治理場(chǎng)景下的技術(shù)需求。

《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布,構(gòu)建“復(fù)合治理”安全觀

【圖三 《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》數(shù)據(jù)安全治理科技】

復(fù)合治理模式強(qiáng)調(diào)全員參與、原生式安全以及智能化安全運(yùn)營(yíng)機(jī)制。

全員參與。數(shù)據(jù)與業(yè)務(wù)緊密交織,正是基于這一特點(diǎn),螞蟻集團(tuán)在數(shù)據(jù)安全的風(fēng)險(xiǎn)管理上一直秉承一個(gè)理念:“數(shù)據(jù)安全不僅是安全團(tuán)隊(duì)的事情,而是每個(gè)公司員工都需要高度重視的事情”。因此,如何構(gòu)建一個(gè)全員參與的風(fēng)險(xiǎn)治理體系就顯得格外重要。螞蟻集團(tuán)通過(guò)“啄木鳥(niǎo)”行動(dòng)等豐富、活潑的心智運(yùn)營(yíng)活動(dòng)設(shè)計(jì),充分調(diào)動(dòng)全員主動(dòng)參與積極性,有效實(shí)現(xiàn)不同特點(diǎn)人群的精確觸達(dá)。

原生式安全。將數(shù)據(jù)安全的理念和要求融入到研發(fā)的過(guò)程中,保證產(chǎn)品在發(fā)布前已具備充分必要的數(shù)據(jù)保護(hù)措施,而不是出現(xiàn)數(shù)據(jù)安全問(wèn)題以后,被動(dòng)地修復(fù)和治理。同時(shí)可針對(duì)數(shù)據(jù)處理產(chǎn)品組件開(kāi)展內(nèi)部認(rèn)證,推薦、保障研發(fā)團(tuán)隊(duì)使用安全、可靠的組件,對(duì)使用不符合內(nèi)部認(rèn)證標(biāo)準(zhǔn)的組件的產(chǎn)品和系統(tǒng),督促其及時(shí)進(jìn)行整改,以增強(qiáng)產(chǎn)品和系統(tǒng)的“天然免疫力”。

建設(shè)智能化的安全運(yùn)營(yíng)機(jī)制,以進(jìn)一步提升數(shù)據(jù)安全治理的自動(dòng)化水平和效率。以紅藍(lán)演練為例,通過(guò)沉淀自動(dòng)化、模塊化、組件化的紅藍(lán)演練能力,制定演練科學(xué)投放的策略,并建設(shè)全鏈路風(fēng)險(xiǎn)跟蹤能力,形成常態(tài)化的紅藍(lán)演練機(jī)制,從攻防視角更加高效、及時(shí)地識(shí)別和修復(fù)安全風(fēng)險(xiǎn),實(shí)現(xiàn)“以攻促防、攻防相長(zhǎng)”的目標(biāo)。

《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》正式發(fā)布,構(gòu)建“復(fù)合治理”安全觀

【圖四 《數(shù)據(jù)安全復(fù)合治理與實(shí)踐白皮書(shū)》自動(dòng)化紅藍(lán)演練平臺(tái)】

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )