從數(shù)據(jù)開(kāi)始

如今信息安全形勢(shì)嚴(yán)峻，各企業(yè)也開(kāi)始加強(qiáng)信息安全建設(shè)，而其目的無(wú)非是避免業(yè)務(wù)中斷以及如何保障數(shù)據(jù)安全。但傳統(tǒng)對(duì)數(shù)據(jù)的防護(hù)往往基于某些點(diǎn)而無(wú)法做到全面防護(hù)以致顧此失彼，或是思路不清晰，難以做到系統(tǒng)性、持續(xù)性防護(hù)。因此，安華金和公司提出在資產(chǎn)摸底、安全防護(hù)和持續(xù)治理三個(gè)方面加強(qiáng)數(shù)據(jù)安全的保障工作，給數(shù)據(jù)安全防護(hù)帶來(lái)新的思路。

北京安華金和科技有限公司高級(jí)咨詢顧問(wèn)張海濤（如圖1）表示，在資產(chǎn)狀況摸底方面，首先需理清我們的數(shù)據(jù)在哪里？我們的數(shù)據(jù)如何使用？我們的數(shù)據(jù)安全嗎？對(duì)這些問(wèn)題進(jìn)行梳理后可得到以下思路（如圖2）：首先摸清數(shù)據(jù)庫(kù)存儲(chǔ)的資產(chǎn)內(nèi)容，以及對(duì)數(shù)據(jù)分布、數(shù)據(jù)數(shù)量、數(shù)據(jù)定級(jí)、數(shù)據(jù)類別、數(shù)據(jù)屬性等進(jìn)行靜態(tài)梳理；搞清楚數(shù)據(jù)是如何被使用的，然后進(jìn)行敏感數(shù)據(jù)分級(jí)分類確認(rèn)；從主體訪問(wèn)權(quán)限、客體訪問(wèn)權(quán)限這兩大維度進(jìn)行權(quán)限梳理；最后進(jìn)行安全評(píng)估，找出數(shù)據(jù)庫(kù)安全弱點(diǎn)和風(fēng)險(xiǎn)。

圖1 安華金和公司高級(jí)咨詢顧問(wèn) 張海濤

在數(shù)據(jù)使用管控上，要做到全面管控，包括對(duì)業(yè)務(wù)訪問(wèn)、運(yùn)維、測(cè)試開(kāi)發(fā)、數(shù)據(jù)外發(fā)以及數(shù)據(jù)存儲(chǔ)等不同數(shù)據(jù)使用場(chǎng)景下在各個(gè)方面進(jìn)行全方位管控。并從數(shù)據(jù)、人員和可能發(fā)生的風(fēng)險(xiǎn)角度上進(jìn)行防御體系的建立。

數(shù)據(jù)治理稽核目的就在于幫助我們調(diào)整防御策略，調(diào)整防護(hù)體系和識(shí)別異常行為。從行為上進(jìn)行審計(jì)與分析，做到像公安一樣檢查取證；對(duì)用戶權(quán)限進(jìn)行監(jiān)控，能夠及時(shí)發(fā)現(xiàn)違規(guī)現(xiàn)象；能夠分析異常行為，以防范好人中的“壞人”；建立基于業(yè)務(wù)行為的安全基線。

圖2 安華金和公司數(shù)據(jù)安全治理體系框架

安華金和公司提出的數(shù)據(jù)安全治理理念，對(duì)數(shù)據(jù)安全工作做到系統(tǒng)性防護(hù)。因此，在此次論壇上，安華金和公司榮獲“中國(guó)數(shù)據(jù)庫(kù)安全領(lǐng)導(dǎo)品牌獎(jiǎng)”、“中國(guó)互聯(lián)網(wǎng)金融信息安全領(lǐng)域值得信賴品牌獎(jiǎng)”兩項(xiàng)大獎(jiǎng)，足以說(shuō)明安華金和公司在數(shù)據(jù)庫(kù)安全領(lǐng)域所作出的杰出貢獻(xiàn)。