8月26日,IDC 2022 CSO全球网络安全峰会(中国站)在上海正式召开并同步进行线上直播,大会以“聚力数据安全 赋能企业现代化”为主题,吸引了超过650位CIO、CSO以及CISO通过线上线下的形式参会。深信服科技副总裁、核心战略负责人郑磊受邀出席峰会,在现场发表以“保护数据处理活动,建设数据安全体系”为主题的演讲。
深刻洞察,引领数据安全建设创新发展
郑磊就当前国内数据安全形势作了分享,他指出,随着数字中国战略的推动,各行各业数字化转型不断深入,数据作为“土地、劳动力、资本、技术”之后的第五大生产要素,其价值受到越来越多的关注。
“受价值驱动,在新业务、新用途、新场景、新技术发展下,数据安全在当前及未来面临巨大的风险与挑战。”
我国先后颁布并实施《网络安全法》《数据安全法》《个人信息保护法》,分别从数据载体、数据本体、个人权益三方面,构建了数据安全的顶层法规框架。在风险与合规的共同驱动下,各行业的数据安全建设逐渐展开,但碎片化堆叠数据安全设备,以传统网络安全、分区分域的思路开展数据安全,机械式地拆解法律法规均难以实现良好的数据安全治理。
一方面,烟囱林立式的数据库逐渐迈向以数据中台、数据湖为核心的大数据时代,数据安全风险广泛存在,传统数据库安全建设方式无法适应新的业务场景;另一方面,数据安全的建设需要跨部门、跨体系,分区分域的建设形式难以保护高度流动性的数据并进行有效的跨部门协同;加之现阶段虽有明确的法律法规,但缺乏具体的落地细则,机械拆解法规要求,绝对性地认为数据治理是数据安全建设的前提,会导致数据安全的落地成本高、周期长、难度大,在漫长的数据治理过程中,一旦发生数据安全事件,后果不堪设想。
深信服回顾过去20年数据安全行业发展历程,对数据安全进行了深刻洞察,并基于最佳实践总结出了三元论、四分法——
三元论,即数据安全受法律合规、数据管理、网络安全三大主要因素共同作用,忽略任何一方开展数据安全都会导致收效甚微,因此,三大因素融合是前提。
四分法,即数据安全是持久战,要从至少四个方面全面考虑——
分类: 分类是数据安全治理的基础条件,需要基于组织的数据资源管理工作,让业务侧参与进行;
分级: 根据分类后数据的重要程度,实现数据分级保护,让安全建立在对数据和业务的理解之上;
分层: 数据安全能力要分层构建累积,从基础架构、网络存储、系统平台、数据流动不同层面的隐私保护和数据安全监测防护着手进行,而非一味进行设备堆叠;
分段: 考虑适配自身发展阶段建设,不机械照搬,切实作用到高优先级、高风险环节,比如运维、跨境、个人信息采集处理等等,提升数据安全工作ROI。
郑磊介绍到,在数据安全建设中,技术能力对于防护效果的提升至关重要。目前,深信服从多方面构建了数据安全的核心技术能力——
1.基于AI的数据资产识别和分类分级能力
通过数据智能分类分级和敏感数据识别能力,识别、管理数据和应用/API资产;提供多种数据传输通道下的审计能力,实现外设传输、SaaS应用访问、软件外发、运维访问等场景下的全面审计。
2.基于STP与DLA的数据泄密溯源能力
通过数据安全大脑的STP数据库与算法引擎、DLA泄密分析平台,实现数据泄密一键高速溯源,解决事后泄密追溯问题。
3.基于RBAC和ABAC的灵活访问管控能力
通过零信任统一平台持续评估环境、身份、行为,动态调整用户访问权限,及时发现、处置风险。
4.多维度的数据安全服务支撑技术落地
包括咨询评估、规划设计,实现常态化技术运营和运行托管,支撑数据分类分级、数据安全风险评估等高门槛工作,持续优化技术落地效果。
“依法治数,保证数据安全满足合规要求是数据安全治理的前提条件”,郑磊说到,“但是,这不意味着机械地拆解合规要求,数据安全治理更需‘因地制宜’,立足当前的业务、技术、管理条件,在重要和高风险场景中快速落地数据安全能力。”
权威奖项,彰显数据安全建设杰出力量
峰会举行了首届IDC中国20大杰出安全项目和CSO名人堂颁奖典礼。
深信服与银联商务股份有限公司合作的银联商务数字化安全办公建设项目入选中国20大杰出安全项目。
银联商务引入目前业界最新的零信任框架,实现了终端交付能力“服务化”、分支访问架构“分布化”、办公空间“平台化”;实现了终端环境安全可视、统一身份安全可信、业务资源安全访问、终端数据安全治理、病毒风险安全可控等一体化安全能力。
通过数字化工作空间的打造,银联商务完成了总部和全国各分支的安全终端标准化和服务化接入;提升了办公人员的工作效率和使用体验。
此外,深信服科技副总裁、核心战略负责人郑磊被评为IDC中国CSO名人堂十大人物之一。
一直以来,深信服坚持总体国家安全观,履行数据安全保护责任,在建立健全的数据安全治理体系、人员培训,确保数据安全保护落实到位等方面作出了很多努力。
(1)深信服积极参与数据安全相关的国家和行业标准规范的制定,为数据安全的落地打好基础。
(2)在人才培养与建设方面,深信服深耕行业多年,成立了产业教育中心,开展产学研合作,为社会培养大量的数据安全专业领域的人才。
(3)在数据技术突破和产品方案上,通过将人工智能和机器学习应用在数据安全领域,实现了在智能分类分级、数据流转监测和溯源等领域的技术突破,为用户提供更加有效的数据安全产品和方案的支撑。
保障数据安全,不仅要发挥核心团队的中坚力量,提供简单有效、省心可靠的的安全产品和方案,同时,还要坚持技术创新,共筑产业生态、坚守社会责任。
未来,深信服会加大研发资源投入与自主研发,突破先进技术,支撑国家的数据安全战略落地,同时,牢记使命,肩负起网络安全公司在数据安全领域的责任,为实现“数字中国”贡献信服力量。
(来源:新视线)