科技云报道:数据安全合规这门必修课,企业不再缺席

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
数据安全中心,免费版
简介: 企业数据应用走向安全合规化

科技云报道原创。

数据作为新型生产要素,占据着国家战略资源地位。然而,层出不穷的数据泄露事件也给数字化转型中的企业带来巨大风险和巨额损失的可能性。

据IBM安全发布的《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。

近年来,从欧盟正式实施《通用数据保护条例》(GDPR)以来,全球掀起了数据安全与隐私的立法热潮,对企业提出了更高的数据安全合规性要求。

我国数据安全相关立法进程也明显加快,《中华人民共和国网络安全法》《中华人民共和国密码法》《数据安全法》《个人信息保护法(草案)》等系列政策法规相继出台,强化了数据安全的法制基础。

未命名1695785468.png

那么,在数字经济时代,企业应该如何在确保数据安全的前提下,有效发挥数据资产的商业价值?数据安全隐患究竟容易出现在哪些环节,数据又是如何被保护的?

企业数据应用面临多重挑战

随着数据量急剧增长,接触数据的用户角色流动频繁,企业数据面临着复杂的暴露风险和扩散滥用风险,也面临着数据安全共享和协作的挑战。

首先,数据牵涉到很多业务的价值,需要保证绝对的安全和合规要求。

在企业中,合规团队需要保证敏感数据能被有效识别并得到合理的保护和存储。数据和业务团队需要在确保数据安全的前提下进行高效协作。运营和安全团队也希望在自身的范围内,满足所有与数据安全相关的需求,应对由此带来的挑战。

针对多个业务部门对数据的要求,亚马逊云科技大中华区产品部总经理陈晓建表示,企业要实现数据的安全合规,需要人、流程、工具的相互配合。

因此,在数据安全合规方面,亚马逊云科技专门推出了敏感数据保护解决方案(Sensitive Data Protection on Amazon Web Services, SDP)。

这是一个开源的数据安全及数据隐私云原生解决方案,利用机器学习、模式匹配等方式自动识别敏感数据,允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型。

其次,数据在企业内被安全有效地发现、共享和协作,才能够高效挖掘出数据的价值。

目前,在数据团队和业务团队协作方式上,集中式和联邦式是比较常见的两种类型。

集中式是指负责治理运营的人主要集中在数据团队,并负责所有治理工作,能够实现快速的决策和高效的执行,适合刚开始数据分析之旅和小型组织的客户。

联邦式是指总的治理原则/政策有特定团队负责,但负责治理运营的人可以分散在各业务线,这样业务部门拥有自己的数据,并在组织的监督下做出决策,以满足其特定需求和目标,适合多BU的中大型企业或跨国企业。

这两种类型的协作方式都需要多个角色高效协同,特别是联邦式治理更是对“数据可见”需求迫切。

在这种迫切需求背景下,亚马逊云科技在去年推出一项全新的数据管理服务Amazon DataZone,可以让客户更快地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理。

再次,企业之间需要产业上下游数据协作来快速创新,多方数据需要安全地共享和分析。

在实际的场景中,数据协作的所有参与者都需要面对数据保护与业务价值安全之间的权衡。现在有一些企业实现数据协作的方式是向合作伙伴提供数据副本,并依赖合同协议防止滥用。

但是,显而易见,这样的方式仍然发生了数据移动,依然存在数据误用和泄漏的风险。

对此,亚马逊云科技推出了Amazon Clean Rooms,实现了匹配、分析和协作彼此的数据,而不需要移动或者暴露原始数据,安全地实现数据分析协作。

对于数据提供方而言,不仅可以通过数据预加密来对数据进行保护,而且因为所有成员都是直接从自己的Amazon S3贡献数据,从而真正实现了只有数据查询和分析而没有数据移动。

不仅如此,亚马逊云科技还推出了Amazon Data Exchange,帮助企业获取第三方数据来协作创新。

目前,Amazon Data Exchange提供超过3500种的第三方数据,数据来源包括金融、天气、地理空间、健康医疗等等非常多的行业和领域,能够使客户能够轻松在云上找到、订阅和使用第三方数据。

最后,随着数据安全和治理的工具越来越多,安全日志需要被统一管理及分析以提升效率。

日常的安全日志管理如何更加高效,以及在发生一些安全风险的时候,如何通过日志可以快速且有效地追溯到问题的源头,是每个企业都会碰到的问题。

由于历史的原因,很多企业所使用的系统并不统一,不同的厂商所提供的安全系统,安全日志的格式也各不相同。

为了高效解决这一问题,亚马逊云科技创立了业界第一个专门用于安全的数据库——Amazon Security Lake,自动将来自多云、本地和第三方的安全数据集中到一个专门构建的数据湖中,并且使用OCSF统一格式。

同时,这个数据湖本身的安全性由亚马逊云科技来保证,可以实现自动加密管理。

企业数据应用走向安全合规化

在过去十余年,国内企业践行数据安全遵循着由点及面、由少到多的特性。

具体来说,早前在政策未强制要求时,重视数据安全建设的企业,往往身处金融、互联网等领域——由于业务和数据安全强绑定,它们较早即自发开展相关建设。

但在更多领域,如教育、医疗、制造业等,不少企业在法律法规完善前并未意识到数据安全的重要性。

但在新的数据安全法律法规的作用下,如今企业需要做到的远不止内容不被丢失、滥用,和数据被安全地存放在“保险箱”中——它们需要在存储安全的基础上更进一步,关注数据在不断流动状态下的安全性,在整个业务活动中都做到对数据的安全管控。

新的监管和业务需求之下,不少企业开始使用创新性的安全合规和管理产品,去解决传统数据安全无法应对的挑战。

深圳兆珑科技有限公司作为一家全球化的物联网通用设备平台服务商和商用设备研发企业,在数据安全合规和分析方面就探索出了自身的最佳实践。

随着设备量、数据量的增多,深圳兆珑科技每天的数据量暴增,之前的SIEM安全分析平台解决方案已经不能满足金融行业对于安全数据快速收集、有效管理、高效分析的安全合规要求。

同时,超过20多种的安全数据类型,以及企业系统环境的多元化,使得数据的安全存储和权限管理成为巨大挑战;对于安全日志的多样化分析,包括可视化、报警、快速分析以及未来可能做一些基于业务的预测模型,也成为新的难题。

基于此,深圳兆珑科技从两方面入手:

一是,依托亚马逊云科技全球的基础设施和全球安全合规认证和服务,在安全合规落地过程中实现降本增效,快速地实现安全合规,并保障合规的持续性;

二是,依托亚马逊云科技安全数据湖Amazon Security Lake,对多元化的安全数据日志进行分析,包括:系统外部威胁攻击的分析、系统内部的威胁检测和分析、金融黑产的风控以及企业用户行为的分析等。

利用这些日志分析的工具还可以生成合规报告,为客户和审计提供审计上的证据。

据深圳兆珑科技云上安全与合规负责人李少奕介绍,经过安全合规的全面升级后,目前企业已满足了PCI-DSS金融合规对日志的监控与分析的全部9项要求,安全日志收集效率提升了40%,安全日志存储成本降低了60%。同时,提升了安全数据管理和分析的效率。

结语

数字经济时代,无论是大型企业还是中小型企业,无论是国内企业还是跨境企业,都会面临数据安全合规和数据管理的挑战。企业想要用好数据,背后就需要大量的技术进行支撑。

走上数据安全合规技术之路,或许只会迟到不会缺席。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

相关文章
|
2月前
|
存储 监控 安全
PCI DSS v4.0 |卓豪 Log360 实现PCI DSS v4.0数据安全合规要求
PCI DSS 是一项由主要信用卡公司支持的网络安全标准,旨在保护信用卡和借记卡数据安全。最新版本 v4.0 强调灵活的安全控制、强化身份管理及全面的网络活动监测。SIEM 解决方案在实现 PCI DSS 合规性中扮演关键角色,Log360 作为全面的 SIEM 工具,帮助企业轻松达成安全合规目标。
|
4天前
|
人工智能 安全 数据可视化
数据安全与效率并重,企业管理数字化转型指南
在全球化与信息化浪潮下,大型企业管理面临多业务线整合、数据管理、沟通协同及透明度等挑战。本文探讨了通过流程自动化、数据驱动决策、跨部门协同和安全合规等方向实现数字化转型,并介绍了板栗看板的可视化管理和私有化部署方案,助力企业在复杂环境中提升效率与安全性。未来,AI、实时数据分析和灵活协同工具将进一步推动企业管理创新。
|
8月前
|
存储 关系型数据库 数据库
有“备”无患|企业如何才能保障数据安全?
当前全球已逐渐进入数字化时代,数据已成为企业的核心生产要素,任何数据安全事件都是影响重大的,既有可能因为程序日常迭代带来的bug,导致数据库数据写脏;也有可能因为员工出现异常情绪,顶着极大法律风险删库跑路。不论是意外影响还是有意破坏,都有可能导致这份核心资产不可用,日常工作功亏一篑。数据库备份是保护核心数据资产安全的重要方式。阿里云瑶池数据灾备服务是阿里云提供的低成本、高可靠的云原生数据库备份服务,提供无限容量的备份存储、秒级应急恢复和恢复演练,并借助秒级沙箱实例和备份数据查询激活冷数据,是客户首选的企业级混合云统一备份服务。
723 0
有“备”无患|企业如何才能保障数据安全?
|
8月前
|
安全 数据安全/隐私保护 数据中心
服务器中毒怎么办?企业数据安全需重视
互联网企业包括基础层、服务层和终端层,后者涉及网络服务、内容提供、应用服务等。随着业务发展,企业积累了大量数据,数据安全成为关注焦点,尤其是防范服务器中毒导致的数据泄露。中毒迹象包括文件消失、程序异常、启动项可疑、运行缓慢、杀毒软件失效、系统语言改变、蓝屏或黑屏、主页篡改、广告弹窗、程序图标篡改等。中毒原因可能源自源程序漏洞、FTP漏洞、不安全的上网行为和弱后台口令。处理中毒需断网、备份重要文件、运行杀毒软件、在DOS下杀毒、恢复系统并更改网络密码。预防措施包括打补丁、安装杀毒软件、定期扫描、谨慎点击链接和下载、不随意执行附件程序等。
|
8月前
|
存储 监控 安全
服务器防护:保障企业数据安全的坚固堡垒
在数字化时代,服务器作为存储、处理和传输企业关键数据的核心设备,其安全性显得尤为重要。服务器防护不仅是技术层面的挑战,更是企业安全战略的重要组成部分。本文将探讨服务器防护的重要性、常见威胁以及应对策略。
|
安全 网络安全 数据库
[support2022@cock.li].faust勒索病毒威胁企业数据安全?91数据恢复教您如何应对与防范!
您的企业数据是您业务的核心。但是,当.[support2022@cock.li].faust后缀勒索病毒突袭您的系统时,您的数据将遭受沉重打击。这种恶意软件利用高级加密算法,将您的文件锁定在无法访问的状态。在这篇详细的指南中,91数据恢复研究院将为您揭示解密被.[support2022@cock.li].faust后缀勒索病毒加密的文件的策略和技术,帮助您恢复数据的控制权。
|
存储 安全 搜索推荐
OushuDB 小课堂丨快速发展的数据安全和隐私环境中的企业要点
OushuDB 小课堂丨快速发展的数据安全和隐私环境中的企业要点
78 0
|
存储 安全 搜索推荐
OushuDB 小课堂丨在快速发展的数据安全和隐私环境中为企业提供要点
OushuDB 小课堂丨在快速发展的数据安全和隐私环境中为企业提供要点
78 0
|
存储 安全 固态存储
OushuDB 小课堂丨最大限度地提高企业数据安全性:安全数据传输的终极指南
OushuDB 小课堂丨最大限度地提高企业数据安全性:安全数据传输的终极指南
73 0
|
运维 分布式计算 安全
阿里云数据安全中心DSC的安全审计功能如何满足等保合规要求和提高数据安全异常检测能力?
阿里云数据安全中心DSC的安全审计功能如何满足等保合规要求和提高数据安全异常检测能力?
281 0