近期,资本市场学院联合上海期货交易所在北京举办了上期所-期货行业数字化转型领军人才研修班(模块五)课程。北京明朝万达科技股份有限公司受邀参加,并以《数据安全体系建设与行业实践》为主题发表演讲。
上期所-期货行业数字化转型领军人才研修班旨为顺应期货行业数字化转型趋势,培养一批具备国际视野与战略思维、洞悉组织变革与管理之道、融合信息技术与期货业务,富有社会责任感与行业使命感的期货行业数字化转型领军人才。
“十四五”规划和2035年远景目标纲要提出了“构建数字规则体系,营造开放、健康、安全的数字生态”。明朝万达认为,数据成为未来驱动各行业发展的核心生产要素,营造良好的数字生态尤为重要,因此应该建立健全的数据要素市场规则,营造规范有序的政策环境,加强网络的安全保护,推动构建网络空间的命运共同体。
近年来,数据的资产价值逐渐被接受,来自内外部风险的威胁和风险也逐渐升级,数据相关安全事件的总数逐年上升,企业对数据资产安全治理的关注度也有了实质性的提高。业内逐步达成一致观点:即数据安全治理势在必行。
演讲中,明朝万达进一步分享了数据安全建设的驱动力、方针、方案以及行业实践:
数据安全建设三驱动
合规驱动:
随着《网络安全法》、《数据安全法》以及《个人信息保护法》的逐步实施与完善,数据安全问题已不再是企业内部的问题,还涉及到外部甚至国家级监管部门的要求。
风险驱动:
在数据的采集、传输到销毁整个生命周期过程中,风险评估可以帮助企业识别数据的安全问题。风险等级及影响评估的工作,可以帮助企业更好地意识到风险的可能性成本,提高企业数据安全治理的意愿。
能力驱动:
通过构建数据安全的感知能力、数据安全的防护能力、数据安全的运营能力以及数据安全的使用能力,更好的挖掘数据的价值。
数据安全建设三方针
以数据为中心:
IBM的研究人员Sreedhar提出了基于角色分析的DCS(Data Centric Security)方法,用于处理对象被不同方法访问时的安全问题。DCS强调数据处于中心位置,需要站在数据的视角,把数据的完整生命周期(Data Life Circle)梳理出来,然后从数据生命周期的每个关键环节重新审视安全问题和解法。此方法可以在企业实际应用中,规范企业管理的目标和角度,为规范制度等后期的落地提供理论基础。
覆盖数据生命周期:
无论从法律法规或是行业标准角度,数据安全都需要从数据生命周期:即以采集、传输、存储、使用、销毁为环节,落实管控制度和技术手段。任何一环上的风险,都可能因为“木桶理论”对整体系统造成威胁。
安全贯穿数据治理全过程:
从DCMM等国标中,我们可以清晰地看出,在治理元数据及数据标准化和分类分级过程中,数据安全都是不可或缺的一个部分。
数据安全建设方案
明朝万达作为数据安全领域倡导者,秉承“安全铸就数据价值”的理念,在深入研究和广泛实践数据安全治理的基础上,形成了“同步规划、同步建设、同步运营”的全流程数据安全整体建设方案,实现合规有序、有效保护、高效运营的数据安全整体全流程防护。
数据安全咨询规划:
根据企业组织架构及实际情况,结合数据安全治理理论,结合现场调研访谈、业务实际,提供组织架构调整建议,数据安全管理能力提升规划,核心资产识别等服务,帮助企业迅速识别其核心业务系统数据资产及相关数据安全隐患。
数据安全能力建设:
根据前期咨询规划结果,对核心业务系统数据流向形成数据关系流向图,数据分类分级框架等交付物。根据国际标准及国内标准,填补企业相关制度缺失,并补充完善相关细则、流程规范及控制表单等。
数据安全运营服务:
依据企业数据分类分级框架,结合系统新进结构化及非结构化数据,对相关标准持续进行调整及优化工作;同时,在保证数据安全管理工作持续运营的同时,帮助企业形成标准化的纪录及审计痕迹,满足数据安全运营管理持续提升的需求。
数据安全建设行业实践
明朝万达基于深入研究和广泛实践形成的全流程数据安全整体建设方案,帮助客户提升了数据的安全管控能力,赢得了客户的一致好评。
某期货交易所-数据安全交换
通过部署数据分类分级网关和数据态势平台,将数据安全分级成果融入数据管控流程当中;部署安全集中监控与审计系统,实现对数据文件的跨网段传输,并形成全量文件的传输台账记录,实现数据传输的安全性可知、审计、可视、汇总分析,提升数据管控的自动化水平,掌握全所数据安全状况。
某商品交易所-敏感数据安全使用
通过部署网络防泄漏系统,对办公人员、运维人员和外包合作伙伴日常工作中的网络行为进行网络数据全流量解析,实时监听分析网络流量,通过关键字、正则等规则识别网络流量中的敏感内容,对事件进行全面审计告警,全面掌握交易所内部数据流转动态。通过部署终端防泄漏系统,防止泄露行为发生或对可能泄露行为进行记录,实现终端数据实时监测,提升交易所的数据安全管理能力。
作为中国新一代信息安全技术企业的代表厂商,明朝万达充分挖掘分析金融机构、政企部门及科技厂商的数据安全风险场景,帮助企业建设覆盖数据全生命周期的安全建设方案,包括制度搭建、分级分类框架梳理、敏感数据识别等,并已成功在金融、政府、公安、电信运营商、能源、设计院所和研发制造业等行业落地实施。