English  简体中文
   

浅谈数据安全治理

2018-02-01       撰稿人:北京数字认证股份有限公司,李敏


近年来,随着组织信息化建设的快速发展,越来越多的组织重要数据以电子数据形式在网络中传输。随之而来的,数据泄露事件数量激增,数据泄露成本上升,数据安全问题已成为组织急需面对的问题。2017年度RSA大会期间,针对参会黑客及渗透工程师们的采访中,88%的专业黑客表示可以在12小时内攻破一般组织的防护措施,并在12小时内获取到目标核心数据。可见,全面有效的数据安全治理已成为组织保护数据资产的必经之路。

数据安全治理与传统的数据安全保护措施的区别在于:

1、保护目标。传统的数据安全保护措施是以数据的安全防护不受攻击为目标;数据安全治理以数据的安全使用为目标,包括数据产生、存储、传输、应用、销毁等全生命周期。

2、针对对象。传统数据安全保护措施主要针对外部黑客采取防控措施;数据安全治理不仅针对外部攻击,并且注重针对组织内部及可能使用组织数据资产的第三方人员,进行数据访问行为的安全管控。

3、采取手段。传统数据安全保护以边界防护手段为主,进行区域隔离、安全域划分,达到保护数据的目的;数据安全治理以数据使用过程中的安全管理和技术支撑为主。

4、管理与技术手段的融合程度。传统数据安全保护措施的实施中,流程管理与技术手段相对分离,互为辅助;数据安全治理中,流程管理与技术手段进行深度融合,互相伴随。

因此,数据安全治理是一种综合管理理念,是与数据资产相随相生的。

数据安全治理可从以下三个维度开展:
 

图1 数据安全治理分解

实施数据安全治理一般需要多方面的技术支撑,如目前已有的堡垒机技术、数据脱敏技术、数据加密存储技术、数字水印技术及数据审计技术等均为支持数据安全治理的关键技术。但是,一方面,现有技术支撑下的数据安全治理与流程管理的深度结合往往带来较大的业务改造工作量,实施成本高,另一方面,现有技术不够成熟和全面,无法支撑整体的数据安全治理。

  综合而言,数据安全治理是大势所趋,但支撑技术仍待完善和提高。
 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4