团队介绍
我们是光大科技有限公司智能云计算部安全管理团队,致力于提升光大集团信息安全防御能力,保障集团IT系统安全稳定运行,支撑集团业务发展;在集团“五统一”方针指引下,为集团成员企业提供定制化信息安全服务和安全产品,实现安全赋能;为金融科技行业提供有光大特色的信息安全解决方案及安全治理服务,提升光大科技品牌知名度。
我们拥有经验丰富的信息安全解决方案专家和技术专家,将持续与大家分享金融行业安全解决方案、企业信息安全架构和业界安全技术动态。期待与大家共同进步。
-行业发展背景-
现代信息化科技建设的大力发展下,银行和金融机构在日常经营活动中积累了大量数据,充分挖掘这些数据资产的使用价值, 可以为金融生产带来极大的经济效益和竞争优势。然而, 一旦这些业务数据丢失、损坏或泄露, 则有可能造成巨大的经济损失, 或在社会、法律、信用、品牌上对银行造成严重的不良影响。在金融机构转型和发展的过程中,平衡数据使用的便捷性和安全性成为极大的挑战。
-法律法规要求-
《网络安全法》及《数据安全法》从法律制度层面对数据安全相关信息防护进行了要求。《银行业金融机构数据治理指引》、《证券基金经营机构信息技术管理办法》、《证券期货业数据分类分级指引》、《个人金融信息保护技术规范》等行业法规则根据行业特点对本行业数据安全相关工作进行了规定。而国家相关部委、信息安全委员会则发布了《网络安全等级保护条例》、《中央企业商业秘密保护暂行规定》、《信息安全技术数据安全能力成熟度模型》等国家标准。政策法规、行业标准、国家规范共同组成了数据安全的相关规章体系。相关机构要想实现安全的管理和运营,就必须满足国家上级监管机构要求的数据安全合规性建设。
-数据安全发展历程-
数据安全划分成三个时代,分别代表了不同的含义。
1、数据安全的1.0时代
数据安全的1.0时代,更关注于数据平台的安全,即DBMS层面的安全。DBMS安全是以数据库管理系统为安全目标。举个例子,这就类似于我们会对居住房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。核心是保护边界,防止外部的入侵,对外部进行监管。这是一种系统安全的思想,需要保护的是系统,强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。DBMS安全忽视了数据在不同场景不同环境下的安全。数据平台的安全不代表数据安全,在大数据环境下,谁对数据持有保护责任?数据在哪?谁在应用?流动中的数据如何保护?这些环节中,数据均处于安全状态才是真正的数据安全!
2、数据安全的2.0时代
以数据为中心的2.0时代,我们把对数据的防护向人的视角来做类比。作为社会中的人,要运动、社交、旅游,在不同的场景下,会分出很多新种类的防护性产品,这些防护类产品可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;这样会使人的安全的延展性跟需求性更为全面。我们将此定义为场景化的安全,即数据所应用场景的安全。数据安全2.0时代的核心理念在于保证业务系统正常使用。由此可见,数据安全2.0时代是一种针对场景化提供有效技术的时代。
3、数据安全的3.0时代
数据安全3.0时代进入到体系化的数据安全治理时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、出台政策规范等来予以保证。数据安全3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。
-管理体系建设探索-
总体思路以“数据安全”为核心,从数据安全顶层设计、数据安全技术体系、数据安全组织体系和数据制度规范体系四个方面,实现数据全生命周期安全。
1、建立数据安全顶层设计体系
在公司战略与架构层面,建立数据安全战略,支持公司发展战略,满足监管合规要求。建立数据分类分级标准,实现数据精细化管理。建立度量库,实现指标的标准化管理。
2、建立数据全生命周期安全技术体系
建设数据统一访问控制和审计系统,实现数据入口访问安全;建设数据脱敏系统,确保敏感数据的安全访问;建设数据加解密系统,解决数据流通过程中的数据文件泄露、数据随意转发、无法找到数据泄露源头等安全问题;建设数据安全网关系统,确保数据输出内容安全合规,成为公司对外数据输出唯一出口;建设数据安全监测与审计系统,以用户操作行为为核心,通过全网全程追踪、关联分析,实现数据资产操作安全监测与审计。
3、建立标准化与制度化的数据安全制度体系
在《网络安全法》《数据安全法》等国家法律、行业法规的要求下,对标ISO27001国际信息安全管理体系标准和国家网络安全等级保护要求,建立规范健全的数据安全制度体系,作为数据安全技术防护体系的配套措施,为数据各类安全防护手段和审计措施提供了标准依据,使数据安全有法可依、有法必依。
4、建立弹性的数据安全组织体系
建立横跨多个部门的数据生产、服务、安全管控组织架构,实现“开放、合作、高效”的数据生产服务,通过必要的安全组织实现“安全”和“开放”的平衡。高度重视数据安全人才培养,重视数据产学研相结合,建立起一支具备渗透测试、漏洞分析和修复、安全开发能力的数据安全人才队伍。
通过安全管理和安全技术深度结合,切实有效地解决企业数据资产不清、数据访问权限不明、敏感数据无法共享、数据无法追踪溯源等实际安全问题;提升公司数据安全能力,有效防止信息泄露事件的发生,降低数据安全风险,在有效保护国家数据安全和用户隐私的前提下,取得良好的经济效益和社会效益。
-结束语-
随着数字经济蓬勃发展,数据已经成为当之无愧的关键生产要素,是基础性资源和战略性资源。数据安全防护任重道远,只有通过有效的技术手段和相关政策法规等相完美结合,才能解决数据安全与数据泄露的保护问题。
留言区
浅谈数据安全 留言区
往期回顾
不用数据库非好汉,不懂索引也遗憾 开源云编排引擎Cloudify功能介绍 网络知识拓展小课堂–NQA及雾计算网络 一种视图与逻辑分离的前端项目研究与实践
欢迎关注EBCloud!
作者 | 梁志合
原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/32634.html
