訂閱
糾錯
加入自媒體

數(shù)據(jù)安全合規(guī)這門必修課,企業(yè)不再缺席

數(shù)據(jù)作為新型生產(chǎn)要素,占據(jù)著國家戰(zhàn)略資源地位。然而,層出不窮的數(shù)據(jù)泄露事件也給數(shù)字化轉(zhuǎn)型中的企業(yè)帶來巨大風(fēng)險和巨額損失的可能性。

據(jù)IBM安全發(fā)布的《2023年數(shù)據(jù)泄露成本報告》顯示,2023年數(shù)據(jù)泄露的全球平均成本上升至445萬美元,達(dá)到歷史新高,比2022年的435萬美元增加了2.3%,比2020年的386萬美元增加了15.3%。

近年來,從歐盟正式實施《通用數(shù)據(jù)保護條例》(GDPR)以來,全球掀起了數(shù)據(jù)安全與隱私的立法熱潮,對企業(yè)提出了更高的數(shù)據(jù)安全合規(guī)性要求。

我國數(shù)據(jù)安全相關(guān)立法進程也明顯加快,《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《數(shù)據(jù)安全法》《個人信息保護法(草案)》等系列政策法規(guī)相繼出臺,強化了數(shù)據(jù)安全的法制基礎(chǔ)。

那么,在數(shù)字經(jīng)濟時代,企業(yè)應(yīng)該如何在確保數(shù)據(jù)安全的前提下,有效發(fā)揮數(shù)據(jù)資產(chǎn)的商業(yè)價值?數(shù)據(jù)安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié),數(shù)據(jù)又是如何被保護的?

企業(yè)數(shù)據(jù)應(yīng)用面臨多重挑戰(zhàn)

隨著數(shù)據(jù)量急劇增長,接觸數(shù)據(jù)的用戶角色流動頻繁,企業(yè)數(shù)據(jù)面臨著復(fù)雜的暴露風(fēng)險和擴散濫用風(fēng)險,也面臨著數(shù)據(jù)安全共享和協(xié)作的挑戰(zhàn)。

首先,數(shù)據(jù)牽涉到很多業(yè)務(wù)的價值,需要保證絕對的安全和合規(guī)要求。

在企業(yè)中,合規(guī)團隊需要保證敏感數(shù)據(jù)能被有效識別并得到合理的保護和存儲。數(shù)據(jù)和業(yè)務(wù)團隊需要在確保數(shù)據(jù)安全的前提下進行高效協(xié)作。運營和安全團隊也希望在自身的范圍內(nèi),滿足所有與數(shù)據(jù)安全相關(guān)的需求,應(yīng)對由此帶來的挑戰(zhàn)。

針對多個業(yè)務(wù)部門對數(shù)據(jù)的要求,亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示,企業(yè)要實現(xiàn)數(shù)據(jù)的安全合規(guī),需要人、流程、工具的相互配合。

因此,在數(shù)據(jù)安全合規(guī)方面,亞馬遜云科技專門推出了敏感數(shù)據(jù)保護解決方案(Sensitive Data Protection on Amazon Web Services, SDP)。

這是一個開源的數(shù)據(jù)安全及數(shù)據(jù)隱私云原生解決方案,利用機器學(xué)習(xí)、模式匹配等方式自動識別敏感數(shù)據(jù),允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識別規(guī)則定義敏感數(shù)據(jù)類型。

其次,數(shù)據(jù)在企業(yè)內(nèi)被安全有效地發(fā)現(xiàn)、共享和協(xié)作,才能夠高效挖掘出數(shù)據(jù)的價值。

目前,在數(shù)據(jù)團隊和業(yè)務(wù)團隊協(xié)作方式上,集中式和聯(lián)邦式是比較常見的兩種類型。

集中式是指負(fù)責(zé)治理運營的人主要集中在數(shù)據(jù)團隊,并負(fù)責(zé)所有治理工作,能夠?qū)崿F(xiàn)快速的決策和高效的執(zhí)行,適合剛開始數(shù)據(jù)分析之旅和小型組織的客戶。

聯(lián)邦式是指總的治理原則/政策有特定團隊負(fù)責(zé),但負(fù)責(zé)治理運營的人可以分散在各業(yè)務(wù)線,這樣業(yè)務(wù)部門擁有自己的數(shù)據(jù),并在組織的監(jiān)督下做出決策,以滿足其特定需求和目標(biāo),適合多BU的中大型企業(yè)或跨國企業(yè)。

這兩種類型的協(xié)作方式都需要多個角色高效協(xié)同,特別是聯(lián)邦式治理更是對“數(shù)據(jù)可見”需求迫切。

在這種迫切需求背景下,亞馬遜云科技在去年推出一項全新的數(shù)據(jù)管理服務(wù)Amazon DataZone,可以讓客戶更快地對存儲在亞馬遜云科技、客戶本地和第三方來源的數(shù)據(jù)進行編目、發(fā)現(xiàn)、共享和治理。

再次,企業(yè)之間需要產(chǎn)業(yè)上下游數(shù)據(jù)協(xié)作來快速創(chuàng)新,多方數(shù)據(jù)需要安全地共享和分析。

在實際的場景中,數(shù)據(jù)協(xié)作的所有參與者都需要面對數(shù)據(jù)保護與業(yè)務(wù)價值安全之間的權(quán)衡,F(xiàn)在有一些企業(yè)實現(xiàn)數(shù)據(jù)協(xié)作的方式是向合作伙伴提供數(shù)據(jù)副本,并依賴合同協(xié)議防止濫用。

但是,顯而易見,這樣的方式仍然發(fā)生了數(shù)據(jù)移動,依然存在數(shù)據(jù)誤用和泄漏的風(fēng)險。

對此,亞馬遜云科技推出了Amazon Clean Rooms,實現(xiàn)了匹配、分析和協(xié)作彼此的數(shù)據(jù),而不需要移動或者暴露原始數(shù)據(jù),安全地實現(xiàn)數(shù)據(jù)分析協(xié)作。

對于數(shù)據(jù)提供方而言,不僅可以通過數(shù)據(jù)預(yù)加密來對數(shù)據(jù)進行保護,而且因為所有成員都是直接從自己的Amazon S3貢獻(xiàn)數(shù)據(jù),從而真正實現(xiàn)了只有數(shù)據(jù)查詢和分析而沒有數(shù)據(jù)移動。

不僅如此,亞馬遜云科技還推出了Amazon Data Exchange,幫助企業(yè)獲取第三方數(shù)據(jù)來協(xié)作創(chuàng)新。

目前,Amazon Data Exchange提供超過3500種的第三方數(shù)據(jù),數(shù)據(jù)來源包括金融、天氣、地理空間、健康醫(yī)療等等非常多的行業(yè)和領(lǐng)域,能夠使客戶能夠輕松在云上找到、訂閱和使用第三方數(shù)據(jù)。

最后,隨著數(shù)據(jù)安全和治理的工具越來越多,安全日志需要被統(tǒng)一管理及分析以提升效率。

日常的安全日志管理如何更加高效,以及在發(fā)生一些安全風(fēng)險的時候,如何通過日志可以快速且有效地追溯到問題的源頭,是每個企業(yè)都會碰到的問題。

由于歷史的原因,很多企業(yè)所使用的系統(tǒng)并不統(tǒng)一,不同的廠商所提供的安全系統(tǒng),安全日志的格式也各不相同。

為了高效解決這一問題,亞馬遜云科技創(chuàng)立了業(yè)界第一個專門用于安全的數(shù)據(jù)庫——Amazon Security Lake,自動將來自多云、本地和第三方的安全數(shù)據(jù)集中到一個專門構(gòu)建的數(shù)據(jù)湖中,并且使用OCSF統(tǒng)一格式。

同時,這個數(shù)據(jù)湖本身的安全性由亞馬遜云科技來保證,可以實現(xiàn)自動加密管理。

企業(yè)數(shù)據(jù)應(yīng)用走向安全合規(guī)化

在過去十余年,國內(nèi)企業(yè)踐行數(shù)據(jù)安全遵循著由點及面、由少到多的特性。

具體來說,早前在政策未強制要求時,重視數(shù)據(jù)安全建設(shè)的企業(yè),往往身處金融、互聯(lián)網(wǎng)等領(lǐng)域——由于業(yè)務(wù)和數(shù)據(jù)安全強綁定,它們較早即自發(fā)開展相關(guān)建設(shè)。

但在更多領(lǐng)域,如教育、醫(yī)療、制造業(yè)等,不少企業(yè)在法律法規(guī)完善前并未意識到數(shù)據(jù)安全的重要性。

但在新的數(shù)據(jù)安全法律法規(guī)的作用下,如今企業(yè)需要做到的遠(yuǎn)不止內(nèi)容不被丟失、濫用,和數(shù)據(jù)被安全地存放在“保險箱”中——它們需要在存儲安全的基礎(chǔ)上更進一步,關(guān)注數(shù)據(jù)在不斷流動狀態(tài)下的安全性,在整個業(yè)務(wù)活動中都做到對數(shù)據(jù)的安全管控。

新的監(jiān)管和業(yè)務(wù)需求之下,不少企業(yè)開始使用創(chuàng)新性的安全合規(guī)和管理產(chǎn)品,去解決傳統(tǒng)數(shù)據(jù)安全無法應(yīng)對的挑戰(zhàn)。

深圳兆瓏科技有限公司作為一家全球化的物聯(lián)網(wǎng)通用設(shè)備平臺服務(wù)商和商用設(shè)備研發(fā)企業(yè),在數(shù)據(jù)安全合規(guī)和分析方面就探索出了自身的最佳實踐。

隨著設(shè)備量、數(shù)據(jù)量的增多,深圳兆瓏科技每天的數(shù)據(jù)量暴增,之前的SIEM安全分析平臺解決方案已經(jīng)不能滿足金融行業(yè)對于安全數(shù)據(jù)快速收集、有效管理、高效分析的安全合規(guī)要求。

同時,超過20多種的安全數(shù)據(jù)類型,以及企業(yè)系統(tǒng)環(huán)境的多元化,使得數(shù)據(jù)的安全存儲和權(quán)限管理成為巨大挑戰(zhàn);對于安全日志的多樣化分析,包括可視化、報警、快速分析以及未來可能做一些基于業(yè)務(wù)的預(yù)測模型,也成為新的難題。

基于此,深圳兆瓏科技從兩方面入手:

一是,依托亞馬遜云科技全球的基礎(chǔ)設(shè)施和全球安全合規(guī)認(rèn)證和服務(wù),在安全合規(guī)落地過程中實現(xiàn)降本增效,快速地實現(xiàn)安全合規(guī),并保障合規(guī)的持續(xù)性;

二是,依托亞馬遜云科技安全數(shù)據(jù)湖Amazon Security Lake,對多元化的安全數(shù)據(jù)日志進行分析,包括:系統(tǒng)外部威脅攻擊的分析、系統(tǒng)內(nèi)部的威脅檢測和分析、金融黑產(chǎn)的風(fēng)控以及企業(yè)用戶行為的分析等。

利用這些日志分析的工具還可以生成合規(guī)報告,為客戶和審計提供審計上的證據(jù)。

據(jù)深圳兆瓏科技云上安全與合規(guī)負(fù)責(zé)人李少奕介紹,經(jīng)過安全合規(guī)的全面升級后,目前企業(yè)已滿足了PCI-DSS金融合規(guī)對日志的監(jiān)控與分析的全部9項要求,安全日志收集效率提升了40%,安全日志存儲成本降低了60%。同時,提升了安全數(shù)據(jù)管理和分析的效率。

結(jié)語

數(shù)字經(jīng)濟時代,無論是大型企業(yè)還是中小型企業(yè),無論是國內(nèi)企業(yè)還是跨境企業(yè),都會面臨數(shù)據(jù)安全合規(guī)和數(shù)據(jù)管理的挑戰(zhàn)。企業(yè)想要用好數(shù)據(jù),背后就需要大量的技術(shù)進行支撐。

走上數(shù)據(jù)安全合規(guī)技術(shù)之路,或許只會遲到不會缺席。

 相關(guān)閱讀

穿行數(shù)字經(jīng)濟時代,數(shù)據(jù)如何找到“安全感”?

數(shù)據(jù)安全法之下,數(shù)據(jù)確權(quán)有法可依嗎?

“暴風(fēng)驟雨”之下,企業(yè)數(shù)據(jù)安全能力建設(shè)迎來“覺醒年代”

用戶信息泄露事件頻現(xiàn),數(shù)據(jù)安全建設(shè)該如何升級?

【科技云報道原創(chuàng)】

轉(zhuǎn)載請注明“科技云報道”并附本文鏈接

       原文標(biāo)題 : 數(shù)據(jù)安全合規(guī)這門必修課,企業(yè)不再缺席

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

人工智能 獵頭職位 更多
掃碼關(guān)注公眾號
OFweek人工智能網(wǎng)
獲取更多精彩內(nèi)容
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號