从数据开始
2017-11-23赵志远,章继刚,季莹等
如今信息安全形势严峻,各企业也开始加强信息安全建设,而其目的无非是避免业务中断以及如何保障数据安全。但传统对数据的防护往往基于某些点而无法做到全面防护以致顾此失彼,或是思路不清晰,难以做到系统性、持续性防护。因此,安华金和公司提出在资产摸底、安全防护和持续治理三个方面加强数据安全的保障工作,给数据安全防护带来新的思路。
北京安华金和科技有限公司高级咨询顾问张海涛(如图1)表示,在资产状况摸底方面,首先需理清我们的数据在哪里?我们的数据如何使用?我们的数据安全吗?对这些问题进行梳理后可得到以下思路(如图2):首先摸清数据库存储的资产内容,以及对数据分布、数据数量、数据定级、数据类别、数据属性等进行静态梳理;搞清楚数据是如何被使用的,然后进行敏感数据分级分类确认;从主体访问权限、客体访问权限这两大维度进行权限梳理;最后进行安全评估,找出数据库安全弱点和风险。
图1 安华金和公司高级咨询顾问 张海涛
在数据使用管控上,要做到全面管控,包括对业务访问、运维、测试开发、数据外发以及数据存储等不同数据使用场景下在各个方面进行全方位管控。并从数据、人员和可能发生的风险角度上进行防御体系的建立。
数据治理稽核目的就在于帮助我们调整防御策略,调整防护体系和识别异常行为。从行为上进行审计与分析,做到像公安一样检查取证;对用户权限进行监控,能够及时发现违规现象;能够分析异常行为,以防范好人中的“坏人”;建立基于业务行为的安全基线。
图2 安华金和公司数据安全治理体系框架
安华金和公司提出的数据安全治理理念,对数据安全工作做到系统性防护。因此,在此次论坛上,安华金和公司荣获“中国数据库安全领导品牌奖”、“中国互联网金融信息安全领域值得信赖品牌奖”两项大奖,足以说明安华金和公司在数据库安全领域所作出的杰出贡献。