马云说:“人类正从IT(信息技术)时代走向DT(数据技术)时代”,这也意味着一个全新的“数字化时代”正在到来。在这个时代,数据被称为新的石油和黄金,“数据即资产”的观念也逐渐被接受,企业对数据价值的认识和重视程度与日俱增,数据已经真正成为企业的核心资产。
正是由于数据资产本质上能够快速产生商业价值和经济利益,所以数据安全的问题层出不穷,且每天都有数据被窃取和泄露,量级之大触目惊心,数据泄露已然成为最常见的数据安全问题且形势日趋严峻,涉及医疗信息、财务数据、知识产权、个人身份信息等方方面面,甚至危及国家安全。随着《数据安全法》草案提交全国人大进行初次审议,意味着国家开始从法律层面对数据安全的管理、开发和使用进行规范和约束。
数据不仅是企业的核心资产,也是其核心竞争力,企业要深刻认识到信息安全管理的终极目标就是保护数据安全,从而支撑业务的发展。数据的生命周期涉及广泛,包括数据产生、存储、传输、处理、交换,销毁6个环节,每个环节都存在安全风险。因此数据安全管理是一项系统性的工作,是一个动态的、持续不断的过程,不能也无法一蹴而就。
《数据安全法》的即将落地实施,企业现在就要行动起来,着手数据安全方面的工作。就数据生命周期而言,真正能够体现甚至多次创造数据价值的环节是数据处理和数据交换,数据在这些环节中是持续流动的,也即数据的价值在于流动。在数据流动过程中,风险也常常伴随其中,诸如越权访问权限范围之外的数据、账号滥用访问敏感数据、敏感数据流动到了本不该去的地方等等。但凡发生数据安全事故,就有可能造成严重损失和不良影响。
所以企业需要重点关注流动中的数据风险,对于企业内流动的数据清清楚楚,分级常规数据和敏感数据,监测敏感数据流向,发生安全事故能够溯源。
01流动的数据资产可视
通过7 X 24小时全天候持续不断的监测网络中的流量,从中实时提取企业数据资产,为企业提供直观、所见即所示的数据资产统计。
02流动中敏感数据资产的可视
敏感数据的价值远远大于常规数据,在所有流动的数据资产可视基础上,发现敏感数据并进行分级和分类,做到所有流动的数据已知,所有敏感数据已知。基于已知的敏感数据后续制定各种场景化的预警和告警,从而有效保护敏感数据。
03流动中敏感数据资产路径可追溯
仅仅知道都有哪些敏感数据资产在流动是不够的,还要知道敏感数据资产的流转路径。即4W1H,What:针对活动的数据对象;When:什么时候做;Who:谁做的;Where:从哪里发起,在哪里做的;How:怎么做的。在发生敏感数据安全事故后,能够快速追溯到源头,提供翔实和完整的证据链,明确安全事故的相关人,追责和去责。
通过上述三个基本步骤,企业能够对流动中的数据风险进行有效的监测,从而迈出数据安全建设的关键一步。
在《数据安全法》规范下,企业面临数据安全建设的诸多要求,这些要求终将演变为企业合规的新门槛。同时,相对于传统的网络安全来说,数据安全是新概念,涉及面广且复杂,企业应尽早建立以数据为核心的数据安全管理和监测平台,为企业的数字资产和数字化经济保驾护航。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。