1月17日，奇安信集團(tuán)在京舉辦數(shù)據(jù)衛(wèi)士套件發(fā)布會，正式發(fā)布了《數(shù)據(jù)安全風(fēng)險分析及應(yīng)對策略研究報告（2022年）》(以下簡稱：《報告》)、數(shù)據(jù)安全五大桔皮書，以及數(shù)據(jù)安全整體解決方案——數(shù)據(jù)衛(wèi)士套件。該套件包含特權(quán)衛(wèi)士、權(quán)限衛(wèi)士、API衛(wèi)士、隱私衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心，分別從特權(quán)賬號管理、動態(tài)訪問權(quán)限控制、API安全管理、個人隱私防護(hù)以及數(shù)據(jù)安全態(tài)勢感知運(yùn)營方面，幫助客戶構(gòu)建“一中心四衛(wèi)士”的數(shù)據(jù)安全閉環(huán)體系。

數(shù)據(jù)安全存在三大痛點(diǎn) 亟需五大關(guān)鍵舉措

“隨著數(shù)字化的深入，數(shù)據(jù)作為第五大生產(chǎn)要素已經(jīng)成為經(jīng)濟(jì)社會發(fā)展的核心驅(qū)動力，與此同時數(shù)據(jù)安全風(fēng)險與日俱增。” 奇安信集團(tuán)總裁吳云坤表示。根據(jù)奇安信應(yīng)急響應(yīng)中心的數(shù)據(jù)顯示，2021年全年為政企客戶應(yīng)急處置的安全事件中，接近60%是以數(shù)據(jù)為目標(biāo)的勒索軟件攻擊和APT攻擊事件，遠(yuǎn)高于2020年，數(shù)據(jù)安全正在成為數(shù)字化發(fā)展中緊迫和最基礎(chǔ)的安全問題。尤其隨著相關(guān)法律法規(guī)出臺，數(shù)據(jù)安全監(jiān)管體系不斷加強(qiáng)和完善，政企機(jī)構(gòu)的數(shù)據(jù)安全治理已經(jīng)從合規(guī)轉(zhuǎn)向合法。

圖：奇安信集團(tuán)總裁吳云坤 

中國信息通信研究院（以下簡稱：中國信通院）云計算與大數(shù)據(jù)研究所高級業(yè)務(wù)主管李雪妮分享了中國信通院云計算與大數(shù)據(jù)研究所聯(lián)合奇安信發(fā)布的《數(shù)據(jù)安全風(fēng)險分析及應(yīng)對策略研究報告》。李雪妮表示，數(shù)字化時代下數(shù)據(jù)安全存在三大痛點(diǎn)：第一痛點(diǎn)是個人信息保護(hù)監(jiān)管應(yīng)對難度增加；第二痛點(diǎn)是賬號、權(quán)限、API成為數(shù)據(jù)保護(hù)的脆弱環(huán)節(jié)；第三痛點(diǎn)是數(shù)據(jù)的持續(xù)安全狀態(tài)保障難以落地。

圖：中國信通院云計算與大數(shù)據(jù)研究所高級業(yè)務(wù)主管李雪妮 

針對三大痛點(diǎn)，《報告》梳理了五大關(guān)鍵舉措：第一是管理與技術(shù)結(jié)合，助力個人信息保護(hù)合規(guī)落地；第二是特權(quán)賬號安全治理持續(xù)強(qiáng)化安全內(nèi)控；第三是零信任數(shù)據(jù)動態(tài)授權(quán)賦能精細(xì)化管控；第四是完善 API 安全防護(hù)體系的閉環(huán)建設(shè)；最后是通過安全運(yùn)營持續(xù)保障數(shù)據(jù)安全狀態(tài)。

圍繞這五方面舉措，奇安信發(fā)布了《特權(quán)賬號安全能力建設(shè)桔皮書》、《零信任數(shù)據(jù)動態(tài)授權(quán)能力建設(shè)桔皮書》、《API安全能力建設(shè)桔皮書》、《個人信息保護(hù)合規(guī)建設(shè)桔皮書》和《數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心建設(shè)桔皮書》等五項(xiàng)報告。這些桔皮書以數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心建設(shè)為核心，涵蓋特權(quán)賬號安全能力建設(shè)、零信任數(shù)據(jù)動態(tài)授權(quán)能力建設(shè)、API安全能力建設(shè)和個人信息保護(hù)合規(guī)建設(shè)四個重點(diǎn)方面，可為政企組織數(shù)據(jù)安全建設(shè)提供全方位的參考和借鑒。

聚焦痛點(diǎn) 優(yōu)先重點(diǎn) 數(shù)據(jù)衛(wèi)士套件解決數(shù)據(jù)安全迫切問題

為應(yīng)對“十四五”數(shù)字經(jīng)濟(jì)發(fā)展所面臨的安全挑戰(zhàn)，順應(yīng)合規(guī)轉(zhuǎn)向合法的趨勢，奇安信正式發(fā)布了數(shù)據(jù)衛(wèi)士套件，包含數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心，和特權(quán)衛(wèi)士、權(quán)限衛(wèi)士、API衛(wèi)士、隱私衛(wèi)士四大能力，簡稱“一中心四衛(wèi)士”,以幫助政企客戶在進(jìn)行全局性數(shù)據(jù)安全治理體系建設(shè)的同時，解決政企機(jī)構(gòu)在不同階段面臨的數(shù)據(jù)安全迫切問題。

圖：奇安信數(shù)據(jù)衛(wèi)士套件發(fā)布 

其中，數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心能夠主動掃描數(shù)據(jù)資產(chǎn)，識別敏感數(shù)據(jù)，建立數(shù)據(jù)目錄并分類分級，檢查敏感數(shù)據(jù)駐留風(fēng)險，建立敏感數(shù)據(jù)分布態(tài)勢。同時，通過全流量深度解析，自動梳理涉敏資產(chǎn)：涉敏賬戶、涉敏接口、涉敏應(yīng)用等，建立敏感數(shù)據(jù)流動態(tài)勢。并且，數(shù)據(jù)安全態(tài)勢感知運(yùn)營中心還內(nèi)嵌了多種數(shù)據(jù)風(fēng)險感知策略與行為基線學(xué)習(xí)模型，及時發(fā)現(xiàn)可疑行為，建立數(shù)據(jù)安全風(fēng)險態(tài)勢。

特權(quán)衛(wèi)士以保障特權(quán)賬號安全為核心，能夠主動發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的賬號分布、識別賬號風(fēng)險（包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號，賬號違規(guī)提權(quán)等）、管理賬號使用，實(shí)現(xiàn)對各類基礎(chǔ)設(shè)施資源賬號的全生命周期管理，幫助客戶提升賬號安全的主動防御能力，降低因賬號口令泄漏或被非法利用而造成的數(shù)據(jù)外泄風(fēng)險。

權(quán)限衛(wèi)士則聚焦訪問權(quán)限,基于主客體數(shù)據(jù)視圖，構(gòu)建統(tǒng)一策略管控體系，在訪問層面進(jìn)行精細(xì)化訪問控制；同時基于持續(xù)信任評估動態(tài)對訪問權(quán)限進(jìn)行調(diào)整，“明確是什么部門的什么人、在什么地方、因?yàn)槭裁慈蝿?wù)、訪問什么數(shù)據(jù)里的什么字段”， 權(quán)限衛(wèi)士和數(shù)據(jù)安全防護(hù)體系相結(jié)合，做到“主體身份可信、行為操作合規(guī)、計算環(huán)境與數(shù)據(jù)實(shí)體有效防護(hù)”，保證安全的訪問數(shù)據(jù)。

API衛(wèi)士聚焦打造持續(xù)監(jiān)測響應(yīng)的API安全防護(hù)能力，在檢測傳統(tǒng)Web攻擊同時，還可檢測與預(yù)警API傳輸中的敏感數(shù)據(jù)，建立基于用戶訪問行為的用戶畫像或行為模型，發(fā)現(xiàn)API未認(rèn)證訪問、弱口令登錄、未授權(quán)訪問、異常訪問行為等。此外，API衛(wèi)士還具有基于自動化發(fā)現(xiàn)并可視化展示及管理API能力，能夠及時發(fā)現(xiàn)與預(yù)警僵尸、未知等異常API，以及避免在API設(shè)計之初由于缺乏統(tǒng)一規(guī)范導(dǎo)致后期大量API無法統(tǒng)一管理而引入的安全問題。

奇安信隱私衛(wèi)士系統(tǒng)（以下簡稱：隱私衛(wèi)士）是一款參照《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》等要求，針對安卓App、iOS App、小程序、IoT設(shè)備進(jìn)行隱私合規(guī)檢測與分析，為企業(yè)的法務(wù)、研發(fā)、產(chǎn)品、安全等角色提供一個共同協(xié)作的平臺，通過技術(shù)手段輔助發(fā)現(xiàn)隱私安全風(fēng)險，避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險。隱私衛(wèi)士可對個人信息采集的方式(自身采集/第三方采集)、使用權(quán)限(自身使用/第三方使用)、采集頻率、是否出境、是否與隱私政策描述實(shí)質(zhì)符合等進(jìn)行合規(guī)檢測，覆蓋收集規(guī)則、使用規(guī)則、條款狀態(tài)、用戶權(quán)益等7個類別，90多個檢測項(xiàng)，并且具備可擴(kuò)展的檢測能力，保證個人信息收集使用合規(guī)。

2021年以來，我國密集出臺了《數(shù)據(jù)安全法》、《關(guān)基保護(hù)條例》、《個人信息保護(hù)法》、《網(wǎng)絡(luò)安全審查辦法》修訂版等法律法規(guī)，推動數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全融合發(fā)展。此次奇安信發(fā)布的數(shù)據(jù)衛(wèi)士套件，為數(shù)據(jù)安全建設(shè)提供了可落地、行之有效的解決方案。未來，奇安信還將持續(xù)性推出系列工具和方案，幫助政企客戶解決現(xiàn)實(shí)數(shù)據(jù)安全問題的同時，更好的基于能力框架下進(jìn)行數(shù)據(jù)安全體系建設(shè)，提升整體數(shù)據(jù)安全水平。