如何落实高合规数据安全建设要求下的全面数据安全监测
数据安全建设的基础即为长期加强数据识别和数据安全风险识别,《数据安全法》明确规定,数据处理者应当加强数据安全风险监测,及时对安全缺陷、漏洞等采取补救措施;及时处置数据安全事件,并履行相应的报告义务。随着数据安全正式进入法治化的强监管时代,加快构建数据安全态势感知能力,加强数据安全风险监测和管理是持续提升数据安全保护水平、防范化解安全风险的重中之重,需要通过构建数据安全监测平台,来实现资产全面发现、全应用场景风险监测、持续的数据分类分级监测、事件溯源、数据流转链路分析等安全能力的建立。
三大挑战亟待解决
1
快速明确数据安全合规建设路线
数据安全合规是一种长期投资,数据安全建设也需通过复杂的体系进行长期运营,且在建设前期要在不影响业务的前提下,快速确定正确路线,并在后期的迭代建设中同样建立数据安全监测闭环体系来指导迭代方向。
2
实现持续性的数据安全合规建设
从国家政策法规来看,近年来出台的《数据安全法》、《网络安全法》、《个人信息保护法》等均体现,数据分类分级安全建设是原则;此外,从行业标准来看,金融、电信、工业等行业均出台一系列行业标准,为数据分类分级和安全保护提供了明确指导。
从数据安全监测建设落地来看,数据具有资产量庞大且在持续变化的特点,单次的分类分级和审计策略建设并不能满足持续性的安全合规建设,只有持续的发现梳理数据资产,将分类分级结果与监测同步更新,做到智能化、产品化的持续性数据分类分级安全监测才能使得数据安全合规建设落地。
3
数据流转路径可追溯
数据面临着应用侧直接访问数据库、应用访问数据共享层以及运维访问数据库等多种访问行为,一旦发生数据安全事件,单一的数据库或应用侧的事件溯源,均无法准确实现事件溯源和定责,只有将应用侧和数据库的访问数据进行关联分析,并与数据分类分级标签形成映射,才能帮助管理者全面掌握数据安全状况,实现事件追溯与敏感数据的流转监测。
解决方案
安华金和数据安全监测平台
01 以数据为中心,快速建立数据安全监测闭环体系
以数据为中心的安全监测,是有效进行数据安全监测的基础,要做到对数据的应用资产和数据库资产的统一纳管。
建立数据安全闭环体系,会不断指导数据安全监测的优化迭代。可借助数据评估能力、应用审计能力和数据库审计能力,结合平台化管理能力和分析能力,在不影响业务使用的前提下,快速建立“资产评估-数据风险监测-行为关联分析-策略优化”的数据安全监测闭环体系。
02 以数据分类分级为出发点,持续进行敏感数据风险监测
持续性的数据安全合规监测,基于数据分类分级结果是原则。数据安全监测平台通过数据评估能力实现持续的数据发现,敏感数据定义,实时掌握数据分布情况,对业务数据进行分类分级;将分类分级结果与风险监测策略关联,并依据数据属性的动态变化,动态调整风险监测策略,解决了每次数据分类分级完成后需手动更改风险监测策略的问题,从一定程度上解决了全面数据安全合规监测难的问题。
03 打破应用和数据库监测壁垒,实现全面的事件溯源与敏感数据流转监测
安华金和数据安全监测平台打破应用和数据监测壁垒,实现应用和数据库监测的关联分析,可从“用户-应用-数据库-数据”链路做到研判溯源;亦可刻画重要敏感数据的流转路径和账户终端信息,做到敏感数据的全链路流转分析。
借助数据库审计能力和应用审计能力,构建覆盖“数据库运维访问行为”“应用访问行为”阶段性的数据访问行为;通过数据库访问信息与应用访问信息进行关联,可实现从源头到目的链条的事件还原,事件会话上下文等,根据事件结果集中涉及的数据敏感程度,数据管理者可对事件做出分析研判;
在敏感数据流转监测方面,基于应用审计日志和数据库审计日志的关联分析,加之对数据分类分级的打标结果,可进行“应用账号-应用客户端IP-应用-数据库账号-数据库-敏感对象-分类分级统计”的全链流转分析。
往期推荐
安华金和受邀参与ISC 2022“护航数字山河 数据安全协同创新”高峰会