精彩回 | 第二届中国数据安全治理高峰论坛

阅读量    64504 | 评论 1

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

会议联系邮箱:marketing@dbsec.cn

 

峰会简介

数据即资产,今天,数据的价值可与石油媲美,数字化转型引领产业的变革,而安全是保障数据价值最大化的基石。数据安全的建设应当从数据类型、数据使用场景、数据使用身份等不同维度通盘考虑,构建系统化的数据安全体系。数据安全治理理念和技术框架的提出正是发挥提纲挈领的作用,为数据安全体系化建设和落地提供思路和技术支撑,国际知名咨询机构Gartner用“风暴之眼”形容“数据安全治理”,以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。

关于数据安全建设,中国数据安全治理高峰论坛将为企业和组织贡献破局之举。2017年6月,首届“中国数据安全治理高峰论坛”在郑州成功举行,专家与企业共同发声,数据安全治理理念及技术路线的提出,是为了解决数据资产在各个业务场景下的安全使用,论坛获得业界广泛关注和高度认可。

2018年5月22日,由公安部网络安全保卫局指导,中国网络安全与信息化产业联盟、北京网络安全技术创新产业联盟、中国保密协会产业分会联合主办,北京安华金和科技有限公司独家承办的第二届“中国数据安全治理高峰论坛”将启幕北京。此次峰会将以“共享数据价值·共担安全责任”为主题,广邀中央部委、地方政府、金融、能源、教育、医疗、互联网等企事业单位CIO及信息安全负责人参会,共同描绘数据安全治理未来,共商产业引导、产业发展、技术发展。

 

会议时间

2018年5月22日13:30-17:45

 

会议地点

北京亚洲大酒店(北京市东城区工体北路8号)

 

会议联系方式

联系人:安华金和 | 电话:4000-258-365

邮箱:marketing@dbsec.cn

 

精彩回顾

2018年,国内数据安全领域年度重磅会议——第二届中国数据安全治理高峰论坛已经圆满落幕。无论是到场的600嘉宾(优秀的CIO人群),还是1000余名在线观看峰会现场直播的伙伴们,感谢诸位拨冗关注。

我们希望这场盛宴除了贡献出有价值的认知、思考,也能实实在在地为你们留下些什么。犹如大潮褪去,在沧茫辽阔的沙滩上,体会沧海拾遗的乐趣。

这里,我们就将《数据安全治理白皮书》做凝练分享,旨在为读者简要呈现数据安全治理(DSG)的概念与框架。获取完整版本,请扫文末二维码下载即可。

 

《数据安全治理白皮书》精简版

本白皮书由中国网络安全与信息化产业联盟数据安全治理委员会(简称数据安全治理委员会)起草编著,通过对国内外当下的数据安全情势与市场趋势进行解读与前瞻,结合国际相关标准与框架,提出符合中国信息化建设阶段和需求的数据安全治理理念与框架,旨在帮助政府与企业进行数据安全建设的整体思考与规划,为数据安全建设的设计与实施者提供具有参考价值的数据安全治理整体方案及案例实践。白皮书中阐述的数据安全治理体系是以数据资产的正常使用为前提,保障数据在各使用场景下的安全,促进数据价值的释放与共享。

 

一.数据安全建设需要系统化建设思路

数据治理或者数据安全概念,对于大多数IT和安全从业者来说,认知度比较高,但数据安全治理,是个新名词。实际上,对于拥有重要数据资产的政府部门或企业,对于数据资产的保护,涉及到数据安全治理方面,或多或少都有实践,只是尚未体系化、标准化。在国外,Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance缩写),就是专门强调隐私、保护与合规的数据治理技术框架;Gartner研究中2015年提出了数据安全治理这一概念和相应的原则与框架,2017年Gartner全球安全大会中多位分析师在数据安全、信息安全治理、安全治理的相关研究报告中,多次提及并强调,认为数据安全治理已成为了数据安全中的 “风暴之眼”,2018年,Gartner首次专门推出研究报告《如何使用数据安全治理》,以此为CDO、CSO、CISO提供数据安全价值。本次白皮书编著,希望系统化针对数据安全治理的概念、规范、技术和相关实践进行介绍,将数据安全治理视作为一种系统化解决数据安全问题的合理方法论和实践工具加以推广应用。

 

随着数据安全的重要度提升,用户投资在增大,据KVB Research 2017年大数据安全报告预测,大数据安全2017年全球投资达到102亿美金,并且以17%的年复合增长率扩大,到2023年将达到309亿美金,即2000亿人民币。

图1.1(KVB Research在big data security上的市场预测)

 

在我国,随着网络安全法的出台,数据资产价值得到确认,政府机构和企业在这个方向的投资也在加大,以数据审计、脱敏和加密为目标的数据安全投资正在成为采购的热点。

数据安全治理的思路,将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。

 

二.数据安全治理基本理念

关于数据安全治理原则与框架,Gartner对此进行专属领域的研究,Microsoft从数据隐私合规角度也曾向市场提出隐私,保密和合规性的数据治理方案。从国际视角对此理解的基础上,我们在中国提出了数据安全治理理念与技术路线,填补了该理念在中国的空白,更有效推动实现该理念在国内的执行落地。

 

数据安全治理概论

本白皮书,综合国际相关框架模型和我国一些具体的安全实践后,提出一套在中国易于落地的数据安全建设的体系化方法论。

数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:

(1)满足数据安全保护、合规性、敏感数据管理三个需求目标;

(2)核心理念包括:分级分类、角色授权、场景化安全;

(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;

(4)核心实现框架为数据安全人员组织、数据安全使用的策略和流程、数据安全技术支撑三大部分。

图片1

数据安全治理理念框架

 

数据安全治理的核心理念

数据的分级分类:对数据进行不同类别和密级的划分;根据类别和密级制定不同管理和使用原则,对数据做到有差别和针对性的防护。

角色授权:在数据分级和分类后,了解数据在被谁访问,这些人如何使用和访问数据,针对不同角色制定不同安全政策。常见角色:业务人员(需进一步细分)、数据运维人员、开发测试人员、分析人员、外包人员、数据共享第三方等。

场景化安全:针对不同角色在不同场景下,研究数据使用需求;满足数据被正常使用的目标下,完成相应安全要求和安全工具选择。比如对于运维人员,在备份和调优场景下,并不需要对真实数据的直接访问能力,提供行为审计、敏感数据掩码能力即可。

 

  • 数据安全治理的组织建设

数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。

DGPC框架中,该机构一般称之为DGPC团队,或Data Stewards,负责制定数据分类、保护、使用和管理的原则、策略和过程:

=

图3.1  某运营商的数据安全治理的相关组织和角色结构图

(注:深色是部门,浅色是角色,结构中覆盖了业务、安全、运维和企业的相关管理支撑部门)

 

四.数据安全治理规范制定

在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制订,在企业或行业内经常被作为《某某数据安全管理规范》发布,所有的工作流程和技术支撑都是围绕着此规范来制订和落实。

 

五.数据安全治理技术支撑框架

5.1 数据安全治理的技术挑战

实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。

数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

图5.1 当前数据安全治理面临的挑战

5.2数据安全治理的技术支撑

数据资产梳理的技术支撑

数据资产梳理有效地解决企业对资产安全状况摸底及资产管理工作,提高工作效率,保证了资产梳理工作质量。合规合理的梳理方案,能做到对风险预估和异常行为评测,很大程度上避免核心数据遭破坏或泄露的安全事件。

(1)静态梳理技术

(2)动态梳理技术

(3)数据状况的可视化呈现技术

(4)数据资产存储系统的安全现状评估

数据使用安全控制

数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:

  • 通过业务系统访问数据
  • 在数据库运维时调整数据
  • 开发测试时使用数据
  • BI分析时使用数据
  • 面向外界分发数据
  • 内部高权限人员使用数据

在数据使用的各个环节中,需要通过技术手段有效规避各个场景下的安全风险:

图5.2数据使用安全控制示意图

数据安全审计与稽核

数据安全稽核是为保障数据安全治理的策略和规范被有效执行和落地,以确保快速发现潜在的风险和行为,从而明确防护方向,进而调整防护体系,优化防御策略,补足防御薄弱点,使防护体系具备动态适应能力,真正实现数据安全防护。

数据的安全审计和稽核机制由四个环节组成:行为审计与分析、权限变化监控、异常行为分析、建立安全基线。

 

附录

1、词汇列表

DSG、DGPC、DSMM、GDPR、DCAP、DLP、CASB、IAM、UEBA

2、国际数据安全治理理论

3、数据安全治理实践

4、数据安全生态环境

5、数据安全成熟度模型

数据安全能力成熟度模型的模型架构由以下三方面构成:

  • 数据生命周期安全
  • 安全能力维度
  • 能力成熟度等级

6、数据安全治理重要相关技术

  • DCAP技术
  • 脱敏技术
  • DLP技术
  • CASB技术
  • IAM技术
  • UEBA

 

白皮书(服务号水印版)

长按二维码

获取白皮书完整版

 

峰会日程

 

重磅嘉宾+精彩议题

 

议题:《数据安全标准介绍和展望》

基于信息安全领域深厚的学术积累,站在安全标准制定的产业高度,结合其当前正在聚焦的“个人信息保护的国家标准”研究实践,现场带来《数据安全标准介绍和展望》的主题分享,高屋建瓴谈标准,让安全建设行动有章法可依。

讲者:陈兴蜀,全国信息安全标准化技术委员会委员,大数据安全标准特别工作组副组长,国家网络安全事业突出贡献者,四川大学网络空间安全研究学院常务副院长。发布的《信息安全技术云计算服务安全指南》国家标准,填补国内云计算安全标准领域空白。

 

议题:《数据安全治理技术支撑体系》

现场分享数据安全治理如何从理念实现到技术的执行落地,让数据安全治理不再是空中楼阁,而是实实在在的技术实践。值得一提的是,安华金和是中国当前唯一能够提供数据库安全全线产品及方案的公司,并以此为支撑,全国首家提出“数据安全治理”框架,提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体安全思路与方案。

讲者:刘晓韬,安华金和创始人&CEO

 

议题:《阿里云数据安全治理分享》

现场传递阿里云上的数据安全挑战,并结合安全建设实践提供可供借鉴的方案与经验。

讲者:苏建东,阿里云首席安全解决方案架构师

 

议题:《海关数据安全治理实践》

现场将带领大家了解全生命周期、全过程的数据管控,贡献行业视角鲜活的实践经验。

讲者:石宇,全国海关信息中心信息安全专家

 

议题:《金融数据安全治理模型与实践》

面对日益增强的数据安全治理的顶层设计需求,谢宗晓博士将通过金融数据安全治理模型为切入点,阐述银行数据安全治理的实践及思路。

讲者:谢宗晓,CFCA信息安全服务部助理总经理

 

议题:《虚拟环境与大数据环境下的数据安全过度》

讲者:赵明明,国网思极副总经理

 

议题:《CASB保护使用中的数据安全实践》

将通过在企业应用场景下的数据安全实践,传递其在数据安全生态建设领域的思考,带来《CASB保护使用中的数据安全实践》分享。

讲者:白小勇,炼石网络创始人&CEO

更多精彩内容,值得期待
届时,更有权威专家站在国际视角解读权威报告,
并通过对国内外治理理念的研究,诠释对数据治理与数据安全治理两者逻辑关系的理解;
数据安全治理委员会成立及主任单位授牌仪式;
数据安全治理白皮书发布等精彩环节,拭目以待。

 

会议地址

北京亚洲大酒店

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多