如今信息安全形勢嚴峻,各企業(yè)也開始加強信息安全建設,而其目的無非是避免業(yè)務中斷以及如何保障數據安全。但傳統對數據的防護往往基于某些點而無法做到全面防護以致顧此失彼,或是思路不清晰,難以做到系統性、持續(xù)性防護。因此,安華金和公司提出在資產摸底、安全防護和持續(xù)治理三個方面加強數據安全的保障工作,給數據安全防護帶來新的思路。
北京安華金和科技有限公司高級咨詢顧問張海濤(如圖1)表示,在資產狀況摸底方面,首先需理清我們的數據在哪里?我們的數據如何使用?我們的數據安全嗎?對這些問題進行梳理后可得到以下思路(如圖2):首先摸清數據庫存儲的資產內容,以及對數據分布、數據數量、數據定級、數據類別、數據屬性等進行靜態(tài)梳理;搞清楚數據是如何被使用的,然后進行敏感數據分級分類確認;從主體訪問權限、客體訪問權限這兩大維度進行權限梳理;最后進行安全評估,找出數據庫安全弱點和風險。
圖1 安華金和公司高級咨詢顧問 張海濤
在數據使用管控上,要做到全面管控,包括對業(yè)務訪問、運維、測試開發(fā)、數據外發(fā)以及數據存儲等不同數據使用場景下在各個方面進行全方位管控。并從數據、人員和可能發(fā)生的風險角度上進行防御體系的建立。
數據治理稽核目的就在于幫助我們調整防御策略,調整防護體系和識別異常行為。從行為上進行審計與分析,做到像公安一樣檢查取證;對用戶權限進行監(jiān)控,能夠及時發(fā)現違規(guī)現象;能夠分析異常行為,以防范好人中的“壞人”;建立基于業(yè)務行為的安全基線。
圖2 安華金和公司數據安全治理體系框架
安華金和公司提出的數據安全治理理念,對數據安全工作做到系統性防護。因此,在此次論壇上,安華金和公司榮獲“中國數據庫安全領導品牌獎”、“中國互聯網金融信息安全領域值得信賴品牌獎”兩項大獎,足以說明安華金和公司在數據庫安全領域所作出的杰出貢獻。