客服热线:
手机版
二维码
据不完全统计,每年因数据泄露造成的损失高达上千亿,数据安全已成为事关国家安全与社会经济发展的重大问题。2021年6月10日,十三届全国人大常委会第二十九次会议表决通过了《数据安全法》,将从今年9月1日起施行。
《数据安全法》的出台,使我国在网络与信息安全领域的法律法规体系得到了进一步的完善,规定了数据安全保护责任和业务涉及数据活动的全流程,对数据安全防护、企业数据安全治理提出更高要求。如何打造企业信息安全体系,使企业数据安全合规,让数据使用更安全,成为企业健康发展的必修课。
如何打造企业信息安全体系?
企业数据全量数字化存储在提高运作效率的同时,也带来了新的挑战。《数据安全法》第十六条指出,支持数据开发利用和数据安全技术研究,数据开发利用和数据安全产品、产业体系。这为企业打造信息安全体系提供指导性作用。打造企业信息安全体系,实现企业终端安全、传输安全、服务安全及管理安全的全方位安全保障。
➤ 终端安全
通过数据落地加密、本地数据库加密等数据加密,防反编译防逆向、防篡改防调试方式加固客户端,确保客户端数据安全。
➤ 传输安全
通过文件传输加密、会话消息传输加密、接口数据传输加密等方式持续加固客户端,同时加密二进制协议、建立SSL安全通道保障传输通道安全。
➤ 服务安全
通过访问合法性校验,DMZ区服务不连接DB及存储、敏感数据加密存储加密,确保移动平台服务接入及服务端数据安全。
➤ 管理安全
对应用内容管理、系统管理提供细颗粒度的权限控制管理,实现企业业务管理安全保障。
美云智数移动中台从数据的技术安全、管理安全、安全监控预警三大纬度,为企业构建数据持续安全体系,对数据做到可管控、可追溯、可预防、可审计,帮助客户构建安全可靠的数字空间,满足《数据安全法》对企业数据保护具备持续安全状态能力的要求。
美云智数移动中台提供端到端安全保障机制
如何支撑企业数据安全合规?
《数据安全法》第二十一条指出,需要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
很多企业的业务部门权限管理由IT主导,用IT视角来确定业务部门的权限非常不合理。让权限回归业务本质,以业务为根本,让业务部门自己负责权限管理,终实现“IT建,业务管,安全控”的组织级闭环,通过建立、健全业权一体化管理规范,实现各个管理环节与职能的分离,确保各环节数据得到有效的保护与利用。
美云智数业权一体化通过建立“组岗中台、岗权中台、权限中台”为一体的创新理念,打造业岗权融合一体化,是为满足现代化企业多样化、碎片化、动态化的生态级权限管理场景需求而生的管理体系,支撑企业落地极细粒度(包括:大门级、功能级以及数据行级列级的分级分权管控)授权业务场景的自动化,适配各类人员全生命周期业务活动的权限,随开随关。
业权一体化这种权限即业务的应用模式,运用用户“看得懂、听得懂“的语言来定义与表达,从而能做到系统权限的精细化管理。
美云智数业权一体体系架构
数据安全治理,让数据使用更安全
《数据安全法》第四条指出,维护数据安全应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。数据治理作为大数据体系构建的重要一环,除了数据质量保障外,还需进一步升级对数据安全的重视程度。企业可以从组织架构、管理体系、技术及工具三方面着手,做好数据安全的法律配套。
➤ 组织建设
组建一支由决策层(高管)、管理层(安全部门)、支撑层(业务部门)和监督层(审计部门)构成的数据安全治理工作团队。定岗定员,信任基于岗位职能和人员角色,而不是人员身份,而且人员不能跨层交叉兼任。
➤ 管理体系
兼顾合规性和可落地性,数据安全管理体系分为四层架构:***层管理总纲,是数据安全治理的战略导向;第二层是管理制度,为数据安全治理的建设导向;第三层为操作流程及规范性文件;第四层是表单文件,为执行性工具。
➤ 技术及工具
梳理数据资产与分类分级、制定访问控制策略、实行数据安全审计、对全生命周期管理。
《数字安全法》作为数据安全管理的基本大法,给我们指明了方向和提供法律保障,但数据安全在未来仍将是一个重大挑战,人工智能、机器学习和零信任模型的创造性应用,将帮助IT和信息安全从业保护数据。
为了z大化发挥数据价值,企业数据需要通达在终端、边缘端及云端之间,企业数据安全防护需要“端-边-云”以及组织、人员、岗位、权限的一体化联动,这就要求企业需要以移动、大数据以及业权一体为核心的共享云平台全面支撑。美云智数共享云提出数据治理、移动安全体系、业权一体等多个能力,同时积累了大量实践以及丰富的行业技术服务经验,能满足不同行业的数据安全合规防护需求,将持续赋能企业,护航数据安全,助力数字经济发展!
