2021年12月22日,由中国软件评测中心、国家信息中心《信息安全研究》、蚂蚁集团联合编写的《数据安全复合治理与实践白皮书》正式发布。
白皮书在对现阶段全球数据安全产业发展格局及治理态势进行充分调研与深度剖析的基础上,从引导企业建设与升级数据安全治理体系的视角出发,以“战略要位、实战牵引、全员参与、技术破局”为核心指导思想,强调数据安全的“复合”治理,即:对治理框架搭建中战略、管理和技术进行统筹规划与设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程的联动,将安全与业务复合、管理与技术复合,形成有机整体,充分发挥复合协同效能,构建体系化、准确量化、持续优化的数据安全复合治理模式。
此次蚂蚁集团与国家权威单位联合,结合自身丰富的业务应用场景与实践经验,深度参与白皮书的调研与编写工作。面对我国数据安全法制元年的政策背景,针对数据安全产业规模快速激增,应对敏感数据泄露、数据非法贩卖、数据滥用等安全风险,总结性提出“数据安全复合治理模式”,旨在为企业开展数据安全治理工作提供更加有价值的参考与建议,并为数据安全治理体系与科技能力的建设、优化与升级提供实践路径。
【图一 《数据安全复合治理与实践白皮书》复合治理模式】
企业在开展数据安全治理工作时,如何评估安全治理效果是一个比较普遍的痛点、难点问题。白皮书创新性地提出了多视角安全度量体系,由于安全治理是个体系化的风险管理工程,安全度量需要从多个评价视角入手才能全面衡量治理效果。一方面要对员工安全意识教育、防护建设覆盖等治理过程进行准确度量以体现安全工作进展与成果,另一方面从风险主体视角,以安全规范、安全基线等合规要求为输入,来衡量各类风险主体的风险程度与严重性,并围绕风险分数开展场景化应用和通晒排名等运营模式,以提高主体的风险重视度。最终,还需要用攻防视角的红蓝演练等实战手段,对于治理体系的薄弱环节进行验证、对风险盲区进行发现,以真实客观评价安全治理体系的实战有效性。总体上,在多视角安全度量体系的驱动下,企业得以看清当前安全水位,落实安全风险的精细化管理,持续提升安全水位,并保证自身体系的健壮性。
【图二 《数据安全复合治理与实践白皮书》多视角安全度量】
数据安全治理科技从系统能力、算法能力、数据能力和产品能力四大维度阐述了如何建设与完善数据安全治理的技术体系。系统能力包括安全平行切面、密码基础设施、安全可信环境、终端安全等,旨在构建安全可信的系统和环境支持,为数据安全治理提供底层环境支撑。算法能力重点关注数据资产识别、数据血缘图谱、异常访问检测等智能算法建设,应对数据安全治理中的“看见数据”、“看清数据”和“理清风险”三大难题。数据能力主要提供准实时精准检索、压缩索引、异构数据提取等数据加工能力,实现大规模数据的准实时快速定位。产品能力旨在从全息资产画像、深度安全防护、智能安全运营、隐私保护与隐私计算等领域出发,构建从数据资产识别到动态安全管控到智慧安全运营到数据价值利用的全方位、体系化的产品能力,满足不同数据安全治理场景下的技术需求。
【图三 《数据安全复合治理与实践白皮书》数据安全治理科技】
复合治理模式强调全员参与、原生式安全以及智能化安全运营机制。
全员参与。数据与业务紧密交织,正是基于这一特点,蚂蚁集团在数据安全的风险管理上一直秉承一个理念:“数据安全不仅是安全团队的事情,而是每个公司员工都需要高度重视的事情”。因此,如何构建一个全员参与的风险治理体系就显得格外重要。蚂蚁集团通过“啄木鸟”行动等丰富、活泼的心智运营活动设计,充分调动全员主动参与积极性,有效实现不同特点人群的精确触达。
原生式安全。将数据安全的理念和要求融入到研发的过程中,保证产品在发布前已具备充分必要的数据保护措施,而不是出现数据安全问题以后,被动地修复和治理。同时可针对数据处理产品组件开展内部认证,推荐、保障研发团队使用安全、可靠的组件,对使用不符合内部认证标准的组件的产品和系统,督促其及时进行整改,以增强产品和系统的“天然免疫力”。
建设智能化的安全运营机制,以进一步提升数据安全治理的自动化水平和效率。以红蓝演练为例,通过沉淀自动化、模块化、组件化的红蓝演练能力,制定演练科学投放的策略,并建设全链路风险跟踪能力,形成常态化的红蓝演练机制,从攻防视角更加高效、及时地识别和修复安全风险,实现“以攻促防、攻防相长”的目标。
【图四 《数据安全复合治理与实践白皮书》自动化红蓝演练平台】
《数据安全复合治理与实践白皮书》完整版下载链接: https://pan.baidu.com/s/1xEaVzUZcf42gkulP5cCA-Q提取码: epfj