美国旗星银行150万客户数据遭泄露、推特540万账户联系方式泄露、滴滴被罚80.26亿元……今年大数据安全事件频发,成为近期社会各界关注焦点。奇安信集团副总裁孔德亮在7月23日举行的数字中国建设峰会大数据分论坛上指出,一方面网络攻击和基础防护不到位造成的安全风险愈演愈烈,另一方面,数据安全的要求已经从“合规”上升为“合法”,构建完善的数据安全体系迫在眉睫。2022北京冬奥会网络安全保障的“零事故”经验,可以为数据安全建设提供借鉴参考。
“北京冬奥会历史上首次实了现网络安全‘零事故’,数据不出事。”作为北京冬奥会网络安全官方服务商,奇安信面向冬奥会信息化环境和业务系统,全局性、系统性采用内生安全框架开展规划建设运行:通过识别重要数据资产,实现冬奥数据安全统一管控、数据安全和隐私保护工作合规;通过数据分类分级,规范数据分级分类和安全保护措施,防范数据安全风险;通过对高敏数据做精细化管控和安全防护,确保冬奥数据的保密性、完整性、可用性。
在冬奥数据安全建设中,奇安信构建了冬奥会和冬残奥会密钥管理与密码服务体系,实现了对北京冬奥信息系统密钥的集中统一管理,部署了数据审计与防护系统和SQL探查组件,对数据访问和操作进行了全路径监控审计;在冬奥数据分类分级方面,针对竞赛数据、个人隐私等高敏数据根据数据的级别及使用场景采取了字段加密、数据库加密、文件加密等不同的加密方式。
冬奥数据安全“零事故”这一标杆案例,对于企业的数据安全具有极大的参考意义。
对于政企机构来说,数据安全建设整体思路应分为“补短固底”“系统治理、体系规划”“有序建设、持续运营”三个阶段。
对于85%以上的企业来说,保护好重要数据资产是当务之急,需要先“盘好家底”,从业务集中梳理出重要的数据资产,找出关键业务数据场景,针对重要的数据资产做好防护;对于安全建设相对完善、数字化程度高的政企机构,需要开展数据安全治理和分类分级,以分类分级为基础,进行数据安全管理体系、数据安全技术防护体系、数据安全运营体系的整体规划和设计。