11月9日,三六零公司(601360.SH,以下简称360)旗下政企安全集团在ISC平台重磅发布360大数据安全能力框架,这是继9月1日国家实施《数据安全法》以来,中国首个创新提出大数据安全能力框架的安全企业,带来了面向不同场景的整体数据安全保护方案,旨在帮助政府、企业和监管部门构建数据安全新能力,推动数字化高质量发展。
随着全球数字化进程加速,数据已成为国家和企业的重要资产和战略资源,同时也成为了新的攻击对象。据报道,2021年,每次数据泄露事件平均为公司带来424万美元的损失。其中,大型泄露事件的平均成本为4.01亿美元,泄露记录达到5000万到6500万条,数据安全正成为数字经济发展的重大难题,成为数字化安全的重中之重。
基于此,继《网络安全法》后,今年9月1日、11月1日,国家又先后实施了《数据安全法》《个人信息保护法》等法规,将数据安全工作从网络安全工作中单列出来, 充分体现了数据安全在国家安全体系中的重要地位。
对于备受业界关切的数据出境问题,国家互联网信息办公室也于10月29日发布了《数据出境安全评估办法(征求意见稿)》 ,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。可见,数据安全将成为社会治理的重要问题之一。
唯一兼具大数据治理和数据安全双重能力 360引领数据安全防护变革
当前,数据安全整体的风险前所未有,正面临关键数据泄露、数据被加密勒索、内鬼泄露贩卖数据、数据污染投毒以及数据滥用等各种问题新旧交织。
对此,发布会上,360集团董事长助理、360政企安全集团数据安全产品部负责人杨志维表示,数字化时代的数据安全为整个社会、各行各业带来了极大挑战,解决复杂数据安全挑战,需要放弃碎片化产品堆砌的传统思路,以数字化思维重塑网络安全,打造数字化安全能力体系。
在360提出的数字化安全能力体系中,安全能力框架是基础,而好的框架背后是科学的理念支撑。360大数据安全能力框架的核心理念也可以称为“方法论”,概括起来就是以“数据”为中心,“治理、管理、安全”融合推进,实现数据全过程安全管控。意思是要汇聚全网全维安全大数据,建立全局视角,达到攻防兼备、内外兼修的效果。
基于以上的指导思想和技术标准,360大数据安全能力框架是一个覆盖监管侧、企业侧和城市侧的整体框架,实现监管单位常态化监管、企业防护能力提升、城市数据安全管控相统一。
需要强调的是,汇聚全维数据和分析大规模数据并非易事,基于16年安全领域深耕,360是国内唯一同时具备海量大数据治理和数据安全双重能力的公司,这次发布的大数据安全能力框架就是建立在360大数据治理和数据安全双重能力之上的成果。
杨志维还谈到,在发布这套框架之前,360就在内部采用了这套数据安全解决方案来验证效果。360利用雷达数据中台,实现业务数据的隐私合规全流程管控、数据分类分级管理与全方位数据安全控制,有效保障了360自身的数据安全与数据合规。
破局数据安全 360以新框架构建数据安全新能力
对于企业而言,业务数据是重要资产,不仅支撑企业正常业务运转,同时可创造巨大的经济和社会价值。但是,企业侧数据安全管理普遍存在突出的安全问题,数据资产盘点不清、数据攻击防范能力不足、数据访问控制不细、数据分析能力不足、数据审计力度不够以及缺乏专业人员运营等,导致数据安全事件屡有发生,对企业造成重大的甚至无法弥补的经济损失与声誉损失。
不仅如此,在《数据安全法》等法规出台的背景下,数据安全合规的高度、力度、手段都将前所未有。企业的当务之急是基于数据生命周期关键点实施有效的安全管理措施,全面加强对核心数据的防护,构建体系化企业数据安全框架,在满足合规要求的同时,建设数据治理与安全管理的新能力。
据360政企安全集团产品创新部负责人、零信任首席专家柯善学介绍,此次发布的360企业侧大数据安全方案便是针对当前企业数据安全的关键痛点而打造的,由基于数据安全大脑的数据安全治理、数据攻击面防护、数据访问控制、数据专家运营四部分组成。
其中,数据安全治理,是一种平台级的解决方案,致力于提高客户的数据安全治理能力;数据攻击面防护,侧重于传统的网络/数据安全防护手段,包括大家所熟知的数据安全产品,比如数据库防火墙、数据加密、数据脱敏等;数据访问控制,基于较新的零信任理念,针对数据实施基于身份的访问控制;数据专家运营,则是通过数据安全专家,实施数据安全运营流程,依托数据安全大脑,产生切实有效的数据安全治理效果。
通过这套数据安全方案,企业可实现数据基础设施安全防护、数据资产及数据活动的透明、可信、安全、可控。
纵观当前数据安全发展趋势,痛点在加强、需求在加快、动作在加大。各个地方的政府部门、网信办以及企业,对于保障数据安全更加迫切。而多部数据安全法律法规的出台标志着我国在数据安全领域有法可依,为各行业数据安全提供了监管依据。相关法规不仅对企业合法合规开展数据活动进行了明确规定,对监管部门、城市政务也提出了新的要求和任务。
在此背景下,360政企安全集团不仅聚焦企业侧数据安全保护,同时也为监管侧和城市侧的数据安全治理带来了一份参考方案。
360关于监管侧数据安全的重要思路,是进行常态化的数据安全监管,这种常态化监管能力,需要数据安全监管平台、常态化的数据连接、标准化的数据接口,以实现监管部门对辖区内全网数据的地图展示、知识图谱、事件审计、态势感知。同时,也可以实现常态化的数据查询,在发生数据安全事件时,能够快速进行调查和取证。
360城市侧大数据安全保护方案涵盖了城市数据安全监管和企业数据安全防护。政务数据共享和交换是新型智慧城市的基础,政务安全大数据平台着眼于满足此项需求,组合了数据交换系统、数据访问控制、数据安全隐私计算以及数据共享区块链等子方案,可实现城市中政务数据和行业数据的多源融合和安全共享。
在数据驱动时代发展的背景下,数据安全已经成为全行业的共同挑战。360大数据安全能力框架的发布,为数字化时代不同场景的数据安全治理带来了全新思路,也为数据安全生态带来新的机遇,如何保护数据安全,从而创造更大的价值,是数字经济发展的时代课题。
未来的挑战依然十分巨大,作为数字化安全的领导者,360政企安全集团表示,愿与安全生态伙伴一道共同努力,应对数字化转型带来的机遇和挑战,为建设网络强国和数字中国不断贡献力量。