9月6日,2022数据安全技术大会隆重举办,由中国信息协会信息安全专委会数据安全技术工作部指导,组长单位北京天空卫士网络安全技术有限公司主编,成员单位深圳昂楷科技有限公司、神州数码(中国)有限公司、北京芯盾时代科技有限公司、广州市溢信科技股份有限公司、上海安言信息技术有限公司、上海鸿翼软件技术股份有限公司、上海市大数据股份有限公司、深圳永安在线科技有限公司共同参与的数据安全治理自动化技术框架(DSAG)白皮书在大会上正式发布。( 文末下载《数据安全治理自动化技术框架》白皮书)
《数据安全治理自动化技术框架》白皮书正式发布 2022.09.06
随着《数据安全法》的发布,数据安全重新站到了聚光灯下,成为了整个信息安全行业关注的焦点。
特别在疫情期间,数字化政府的建设进入到加速模式。比如,我们熟悉的 “健康码”、“行程码”等数字化应用就是数字化建设的典型。但是,在数字化加速发展的进程中,也带来了数据大规模泄露的隐患。无论是国内,还是国际,对数据安全的重视都到了空前的程度。
因此做好数据安全,进行数据安全治理,将成为数字经济发展的首要工作。
在本次会议上,北京天空卫士网络安全技术有限公司创始人、CEO刘霖,对数据安全治理自动化体系(DSGA)进行了详细的解读。
《数据安全治理自动化技术框架》白皮书
研发数据安全治理自动化体系(DSAG)的初衷
数据安全在中国起步比较晚,数据安全的技术工具和标准成熟度也较晚。关于数据安全的技术标准和措施我们可以参考一下国外的做法,比如美国的持续诊断和缓解计划(CDM)。
美国持续诊断与缓解 (CDM)项目,是国土安全部(DHS)国家网络空间安全保护系统(NCPS)计划三大项目之一,早在2012年美国国土安全局就提出了这个概念。CDM提供了一套一致的、政府范围的连续诊断解决方案,以增强政府识别和缓解新出现网络威胁影响的能力。CDM系统有两个特点,一是系统本质上是美国国家的数据安全防护能力提升的一套系统;二是不再强调某一种安全标准或者某一种规范,更多强调的是数据安全防护系统的能力,能力的核心是数据安全防护。
CDM能够提升识别和减轻新兴网络威胁影响的能力,以减少网络威胁面,提高对安全态势的可见性,提升安全响应能力等。
CDM跟我们的数据安全治理自动化体系(DSAG)的理念非常类似。我们在中国接触到的美国网络安全公司,主要是数据安全公司,都参与了CDM这个系统的建设,包括美国很多咨询机构。因此,我们希望借鉴CDM项目的先进做法,参考其中标准,建立我国的“CDM项目”-数据安全治理自动化系统(DSAG)。
数据安全治理自动化体系(DSAG)与数据安全治理(DSG)的区别
Gartner在2018年的下半年,发布了数据安全治理框架(DSG)。DSG的理念是数据安全治理是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。CDM和DSG这两个系统都强调围绕业务做数据安全能力的提升,这两个框架之间有很强的关联性,可以简单的认为DSG是CDM系统的精简版。DSG的最大亮点是提出了“数据安全的建设要和业务紧密结合,而不是用某一个标准”。但是DSG的弱点也显而易见,比如效率偏低、周期长,成本高。最主要的是DSG的智能化能力偏弱,其中强调的技术,UEBA、CASB,以及一部分针对数据的结构化和非结构化的各种标识技术,并没有提供给中国,以致于在中国只有体系,没有技术,数据安全治理根本无法落地,也不能给企业带来价值。
最近几年,国际上在数据安全方面的自动化和智能化新技术层出不穷,但是这些技术在中国并没有被使用,甚至没有被了解,因为欧美企业不提供这样的技术给中国用户。
因此,近几年,在中国信息协会信息安全专业委员会的领导下,天空卫士在数据安全治理技术上加大了投入力度,针对DSG的缺陷进行了提升,弥补了技术的缺失,要真正解决数据安全核心技术受制于人的局面。
数据安全治理自动化体系(DSAG)的特点
数据安全治理自动化(DSAG)通过自动化技术,识别结构化和非结构化数据,从企业内数据资源发现,到对数据进行分类分级,并以数据分类分级对象为核心,用户行为分析为增强手段,进行数据安全策略的配置和执行,全方位地覆盖数据安全治理周期的每一个环节。DSAG尽可能使用最大化的合理自动化,令人工干预降至最少,在必要的人工环节使用智能辅助,减少人为错误,更有效率及有效性地提高了数据工作的安全性。