BCS 2022大湾区网络安全峰会 | 美创CTO周杰分享数据安全风险治理实践

数字经济的时代，数据要素正在发挥越来越大的作用，数据的作用和价值越来越高，但也带来了不胜枚举的安全风险和挑战。《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》等法规条例的陆续出台实施，标志着数据安全建设必要性提至新的高度。

周杰表示，组织机构做好数据安全，首先需要充分认知数据所面临的风险。一方面移动办公、业务上云等新的环境安全风险、一方面数据需要跨业务、跨系统、跨部门，多跨场景下的数据风险。如何开展面对数据风险的感知、理解、计算、预测、防护全过程变得更为迫切。

以某政数局数据汇聚、共享、交换为例：省、市、县三级，需要逐层数据汇聚，当省级单位把数据汇总之后处理之后还要分流给市单位、县单位。在此过程中，数据打破原有安全域内流动的约束，接触面迅速扩大，与数据相关的应用、人员等更为复杂且快速变化，这些原因都在导致传统基于静态边界保护的网络安全和数据安全保护措施不断弱化，甚至失效。

美创认为数据安全风险治理首先需要在零信任理念和思想的指导下，建立合规认知、数据资产梳理、数据安全风险管控、持续监管运营的数据安全理念，在数据安全建设过程中把握从身份、资产、行为三个层面，结合风险治理六大维度实现切实有效的数据安全防护。

2020年美创发布新一代数据安全架构，提出了零信任2.0架构，通过以人为中心的身份管理、访问控制、动态防护及持续的信任评估，在数据安全建设中以资产构建防护边界，建立从内到外的防护链，让数据时刻处于保护之中。

周杰介绍，美创基于十余年数据安全建设经验，主张从六大维度来进行数据安全风险治理和评估，并且按照严重程度、发生概率构建风险评分系统，这六大维度分别是：资产、身份、合规、行为、访问上下文、入侵生命周期。

第一，资产维度是风险治理最好的出发点

第二，身份维度，身份维度定义了信任度和作用域

第三，合规维度，任何违规行为都是风险

第四，行为维度，行为固有模式

第五，访问上下文，环境上下文和操作上下文

第六，入侵生命周期，特征就是风险治理素材

并通过风险赋能动态身份调整、资产重要度、敏感度识别、访问控制系统管理及充分可视化让用户直观感受安全问题。

风险作为人和技术的界面，让人可以从风险的可视化感知安全问题。风险治理、身份治理以及资产治理是安全体系中的三大支柱。通过风险评估暴露组织的安全问题，通过风险治理降低组织面临的安全问题。让数据在安全可控的前提下进一步释放价值。

最终以DSMM数据安全能力成熟度模型、以及零信任2.0数据安全架构等为参考模型，通过脱敏、加密、水印、审计、访问控制等数据安全技术能力，构建体系化数据安全建设，落实数据安全相关制度，数据全生命周期各阶段的安全运营常态化，建立良好的数据安全运营机制和动态协同能力，将数据安全风险控制在可接受范围，实现数据在哪里安全就在哪里。