日本某车企泄露200多万车主敏感数据
澳大利亚第二大电信公司遭黑客攻击可能导致多达980万个账户的信息外泄
美国某芯片制造商1TB内部敏感数据失窃后遭勒索……
近年来,各行业数字化不断推进,全球数据总量呈几何式增长,随之而来的是大规模数据泄漏事件层出不穷,为众多政企用户带来了直接经济罚款、核心商业机密被出售、名誉受损等难以挽回的重大损失。
立足当前数据安全保护现状,永信至诚基于数据安全“数字风洞”在各行业的实践经验认为,维护数据安全要立足业务场景,开展常态化测试评估,以此持续加强对数据生命周期安全风险的全面掌控,降低数据流动带来的不安全感。
数据安全保障工作困境凸显
当前,数据泄漏带来的经济成本不断增加。据Ponemon和IBM Security调研报告显示,2022年全球数据泄露事件的平均成本高达435万美元,创下历史新高。这也意味着数据安全体系建设比以往更加紧迫、也更加有必要性。
目前业界已经有7大类21小类的数据安全产品以及各种解决方案。然而,面对数据信息量的快速增长、数据应用场景规模的不断扩大以及数据安全风险挑战的持续升级,各行业的数据安全保障工作依然面临诸多难题:
第一,数据涉及收集、存储、使用、加工、传输、提供、公开多个处理活动,不同的环节有侧重的合规要求及风险处理方式,而按照以往的数据安全建设,许多政企采用点状治理体系,即不同环节可能使用不同厂商的不同安全产品,这就不可避免地带来风险盲区,且为整体风险排查增加难度;
第二,数据安全不同于网络安全工作,数据要素所有者在业务部门,但使用者分散在业务、职能等众多部门,由此增加了数据在各部门的使用及流转,扩大了数据风险隐患和处理难度;
第三,政企用户员工的数据安全意识水平普遍存在差异,而数据安全涉及产业链众多,安全意识未拉齐也会直接导致数据分级分类偏差大,致使数据安全工作无法在此基础上高效推进,同时也增加了未知的风险暴露面;
第四,数据安全治理及迭代优化工作成效往往难以科学评价,导致运维工作看不清、摸不着、难衡量。
测试评估为数据安全保护提供有力支撑
针对重重困局,数据安全工作又应该如何推进?为了保障业务连续性,又应该如何在常态化运营中发现并消除安全死角?在Ponemon和IBM Security对全球数据泄漏成本进行调查后发现,拥有测试及应急响应团队的企业平均降低266万美元的泄露成本。这也意味着,通过持续地测试评估和风险处置,将有效降低政企用户网络和数据安全风险,对保障网络和数据安全具有积极作用。
事实上,对于测试评估的基本要求早已在《数据安全法》《网络数据安全管理条例(征求意见稿)》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等数据安全法律法规中有所体现,例如“促进数据安全检测评估”“定期组织开展数据安全宣传教育培训、风险评估”“建立数据安全检测评估体系”等标准要求被多次并重点提及。进一步说明,测试评估已成为风险管理的关键基础环节。
《数据安全法》
国家互联网信息办公室《网络数据安全管理条例(征求意见稿)》
工业和信息化部与国家互联网信息办公室等十六部门《关于促进数据安全产业发展的指导意见》
数据安全“数字风洞”持续助力安全“证无”
在法律法规的监管要求下,在数据安全持续面临重大威胁的背景下,作为安全测试评估的基础设施,永信至诚数据安全“数字风洞”基于安全“证无”理念,历经军工、公安、金融、电信、电力、医疗、交通等各关键行业实践,已经形成常态化、数字化、周期性的数据安全测试评估解决方案,覆盖数据收集、存储、使用、加工、传输、提供、公开等数据处理活动,助力各行业提高数据安全保障能力,确保实质合规,保障数字健康。
以下将围绕上述数据安全保障工作方面的种种痛点,从数据生命周期管理、数据安全风险控制、数据安全成效评估、数据安全合规四个维度,分享数据安全“数字风洞”解决思路及产品能力。
1、数据全生命周期测试评估
数据安全本质上属于“技术+管理”工作,所以更需要建立贯穿业务、制度、流程的安全管理框架,并围绕数据生命周期进行全面风险评估。数据安全“数字风洞”产品内置多个成熟评价模型,可以帮助用户开展数据安全定性定量评估,全面识别信息系统在技术层面和管理层面存在的不足,通过实网系统风险测评、系统脆弱性测评,发现和验证数据安全问题,对风险进行闭环管理,实现数据安全检测工作及漏洞的全生命周期管理。
同时,针对数据多元主体、多业务交叉的属性,数据安全“数字风洞”更注重针对数据业务系统及防御措施开展策略性验证评估,通过调用测试评估业务引擎子系统完成业务平行仿真场景的构建,覆盖数据采集、传输、存储、处理、交换、销毁全生命周期的风险测评,及时识别设施防御短板,调整策略或优化安全防护体系,为数据安全能力建设、实施和改进提供数字化、流程化和模型化解决方案。
2、人和系统的全方位风险管理
从安全风险来源分析,数据安全风险包含内、外部风险。其中外部风险包含勒索病毒、国家级攻击等,内部风险包含管理漏洞、人员安全意识缺乏、安全防护能力不足等等,因此也需要通过持续的测试评估不断发现隐蔽风险,从而进行迭代优化。数据安全“数字风洞”搭建了从意识及技能专项测试到入网安全风险评估,再到赛事演练、应急协同演练、实网攻防演练测试评估环境,立足内外部风险因素,体系化持续助力人、系统等核心要素的风险“证无”。
人员测试评估:依据《网络安全法》《数据安全法》等法规要求,构建涵盖业务场景和实际案例分析场景的测评内容,打造数据安全专业运维人员进行体系化的实战测评环境,为安全意识提升、实战演练、技能考评提供支撑条件。通过教育培训、实践考核、攻防对抗,发现意识和技能短板,掌握专业化的数据安全运维能力。
业务系统安全测试评估:业务系统的安全测试评估,贯穿于规划、运营及处置的各个阶段。其中,在系统规划阶段,对上线前、上线后的系统和功能进行全面且高效地测试与漏洞挖掘,并模拟真实网络环境的攻击流量进行性能测试,保证新系统能够安全投入实际运行环境;在运营阶段,经过持续性、场景化测试验证,解决新旧结合的数字化系统共同验证风险难题,避免各系统间因融合可能导致的新的溢出业务级风险。同时,通过赛事演练、攻防演练、应急演练等模式,及时发现系统隐患,提升应急处置能力,保护数字系统安全。
3、可量化安全成效体系建设
在持续地数据安全测试评估活动中,成果量化是关键衡量指标,一方面,科学地量化体系能够为安全运维人员工作带来激励效应,促进进一步工作成效提升;另一方面,可以为数据安全工作提供待解决项,收敛风险暴露面。数据安全“数字风洞”在测试评估流程中提供多类智能评估模型,结合风洞载荷时光机系统和多循环测评激励升级模式,科学评价数据安全治理成效,并对持续性风险迭代提供数据和平台支持。
4、实质合规下数据安全治理成果留痕
确保实质合规是数据体系建设中的必要性工作。近年来,数据安全制度的建立健全,对合规工作提出了更高要求,除了网络安全等级保护、用户个人信息保护等基础性合规要求,数据资产分类分级、数据安全制度流程、数据安全体系架构等也是重点监管内容。
数据安全“数字风洞”合规测试评估以推动用户数据安全实质合规为导向,构建涵盖人员能力、技术设施、制度流程建设、组织架构完善程度等方面的多套合规体系,动态加载测评指标及评价模型,同时通过合规性管理的信息聚合工具和数字化测评管控平台,记录合规测评全流程,并进行数据归档及分析,为数据安全业务方日常建设、监管方常态化监督以及测评机构第三方评估提供充足信息。
当前,数据安全保护已经成为全球议题,但安全问题并不是一劳永逸的单线任务,因此越来越多的政企不仅仅通过完善安全边界来加强防御,同时也在不断贴合业务场景,增加安全测试评估、攻防演练等投入,以此降低整体数据安全风险成本。
作为网络靶场、人才建设领军者和测试评估专业赛道的领跑者,永信至诚将持续结合多年实践经验,以数据安全“数字风洞”为依托,以保障业务连续性为前提,基于安全“证无”理念,为各行业提供数据安全解决方案,助力政企在持续地测试评估中,看清数据安全建设成效和价值,实现数据安全能力建设的跃迁式提升,获得真实的安全感。
