公司在数据安全方面面临三大挑战。首先,数据资产数量众多且复杂,数据风险无法量化。随着公司数据资产的增加、业务系统的繁多、数据与业务系统的映射关系复杂、数据源众多、数据质量参差不齐,数据风险无法量化是不可避免的。二是数据权限控制不足,数据安全风险高。目前,大多数公司无法根据数据用户和数据使用场景进行细粒度的动态数据权限控制,带来了数据安全风险。第三,大数据平台存在很多漏洞和配置问题,数据安全风险较大。大数据平台支持分布式数据采集、处理和存储机制。平台上的安全漏洞和不适当的配置会带来数据安全风险,这会给平台上存储和传输的数据带来漏洞。一旦该漏洞被利用,它将受到广泛影响,并可能涉及所有数据资产和业务系统。
NSFOCUS在多年网络攻防研究的基础上,认真评估了公司数据安全和个人隐私安全的风险,效仿了YordSia的数据安全治理框架,提出了“知道”、“知道”、“控制”、“观察”、“做”的数据安全构建方法论。
建议以数据安全保护为重点,从组织建设、系统流程、技术工具和人员能力四个层面进行数据安全建设,运用方法论实现能力落地,建立数据安全管理体系,提高数据安全治理和开发利用的技术水平,有效应对数据安全风险和挑战,建立科学的数据安全体系。此外,基于数据安全建设的方法论,NSFOCUS先后推出了公司急需的数据安全保护解决方案,如NSFOCUS敏感数据发现与风险评估系统、数据脱敏系统、NSFOCUS数据泄露保护系统、NSFOCUS数据库审计系统等,以保护企业数据和个人隐私的安全。
随着全球数据个人隐私法规的密集发布,包括欧盟GDPR、美国CCPA、国内网络安全法、2020年发布的数据安全法(草案)和个人信息保护法(草案),合规性已成为公司数据安全建设和治理的重要推动力。在合规管理和业务安全的双重需求下,数据安全的内涵将继续延伸和扩展,数据安全涵盖的应用场景将更为多元化,这将给过去的数据安全技术和解决方案带来巨大挑战。自然科学基金委国家科技部前不久发布的《相拥合规管理、超越合规管理:数据安全前沿技术研究报告》介绍了差异个人隐私、知识图谱、流程自动化、智能敏感数据识别、数据脱敏风险评估、用户实体行为分析、数据匿名、同态加密、安全多方计算、联邦学习十大新兴数据安全技术。面对未来,网络安全公司应注重数据安全创新技术的研究,帮助公司在满足安全合规性的同时创造更多。