近日,知名咨询机构沙利文头豹研究院发布《2022年中国数据安全解决方案市场报告》,腾讯安全入选Frost Radar(弗罗斯特雷达)领导者象限,增长指数位列行业第一。

随着《数据安全法》、《个人信息保护法》等法律法规进一步完善以及企业自身健康可持续发展的内在驱动,数据安全近年来成为企业重点关注的安全话题,云厂商、传统安全厂商和新锐独角兽均推出了相应的产品和技术方案。

面对众多类型的方案,企业如何才能根据自己业务实际发展需求选择作出合适的产品选型?沙利文头豹研究院对中国市面上主流的数据安全产品与方案进行了深入调研,从方案兼容性、合规水平、公司资质与服务支持、生态建设等“增长指数”和数据生命周期安全、隐私计算、数据分级分类、数据防泄露等“创新指数”做了全面分析,并对综合实力进行了评估。腾讯安全云数据安全中台产品体系与解决方案凭借过硬的的技术能力和规模落地,在这两项维度均具有显著优势,其中增长指数位列行业第一。

落实数据安全工作

存在哪些难点?

在企业实际生产中,数据经历了产生、存储、使用、传输、归档、销毁等各个环节,整个生命周期链条广、经办部门多、流程复杂,每个环节涉及的数据基础设施不同,同时面临复杂的保护机制。

企业数字化转型和业务上云过程中,要真正落实数据安全防护,通常面临几个棘手的问题:

分布广:IT资产分布广泛,多云、线下环境混合部署,难以统一管控;

资产杂:业务系统复杂多样,数据存放在不同数据库、大数据仓库、对象存储等多种存储应用中,流经多种应用服务器、交换机、终端等设备,难以进行管理和风险评估;

部署难:传统数据安全防护手段在实际业务场景、网络环境难以部署和实施,无法对其进行监控和防护;

不信任:对于敏感数据上云仍然持谨慎态度,对云运营方存在一定担忧;

“四步走”解决数据安全难题

在实践过程中,针对数据安全治理战略落地过程中的痛点,腾讯安全基于客户业务场景防护实践和技术能力储备,提出了腾讯云数据安全治理框架和数据安全治理落地“四步走”方法论,助力用户解决数字化转型过程中遇到的数据安全问题。

Step1.基于企业现状制定数据安全制度,依规开展数据资产梳理与分类分级工作

企业应基于组织、经营发展战略、IT设施建设、安全风险容忍度等多个维度对企业数据安全现状进行评估,并结合国家法规与行业规范制定符合自身发展和满足合规要求的数据安全管理方案和分级防护策略。建立数据安全组织,确认数据安全治理对象,对数据资产进行资产梳理,明确数据类型、属性、分布、访问对象、访问方式、使用频率等,确定数据级别,绘制“数据资产地图”。

腾讯数据安全中心具备对数据资产进行全面梳理和评估的能力,能够协助客户全面、精准地完成数据资产的梳理工作。

Step2.基于业务特点对数据安全和隐私风险进行持续评估并制定风险缓解策略

企业应基于自身业务特点,对办公环境、生产环境、研发与运维环境面临的数据安全风险,从访问者、访问行为、访问对象、访问频率多方面进行持续评估。按风险类型归集并输入风险差距分析矩阵,根据数据安全场景,进行现状差距分析,输出风险消除缓解策略。

企业可利用腾讯数据安全中心对其账号、数据库存储介质、数据访问行为安全风险进行综合评估,并根据系统给出的修复建议制定相应风险缓解措施。

Step3.落实数据安全技术防护手段,推动数据安全策略闭环管理

企业可根据风险缓解改进措施和数据资产分类分级结果,结合自身实际业务系统架构,选择合适的数据安全管控技术和部署方式,并根据最小化权限原则,实施有效的访问权限控制策略,拦截未授权访问,防止数据泄露事件的发生。

基于上述理解,腾讯安全提出以下解决措施:

面向办公环境,提供iOA实现终端数据防泄漏和零信任防护能力;

面向生产环境,提供KMS、加密机等密码基础设施和免改造、符合国密加密算法要求的数据安全代理CASB助力客户对数据资产进行加密防护,并可利用具备双向远程证明和应用迁移便捷的机密计算平台帮助客户解决计算环境的数据安全风险;同时提供数据安全审计与 API安全审计产品,帮助客户监控其数据资产的一举一动;

面向研发运维环境,提供凭据管理系统对重要凭据进行加密管理,有效防止重要凭据外泄带来的数据安全风险。同时腾讯SaaS化的云堡垒机支持对多云及线下资产进行统一管控,解决了用户多云IT资产难以管控的痛点。

Step4:对数据资产行为进行有效监控和响应

企业应结合技术手段和安全运营人力,对数据资产行为进行持续监控,动态调整数据安全策略,对数据安全风险和事件进行及时处置与响应。

数据安全运营人员可利用腾讯云数据安全中心对部署的数据安全技术工具与策略进行统一管控和调整,及时处置数据安全风险事件。

(腾讯云数据安全治理框架)

腾讯安全认为,数据安全治理工作的重心应从业务和合规性需求出发,基于企业现状定义数据安全治理对象,实施数据资产分类分级与持续评估工作,制定数据安全策略,按需落地数据安全技术防护手段,合理利用技术工具,并结合管理手段和技术工具实现数据安全策略的有效管控与同步,方能持续提升数据安全防护水平,助力企业在数据安全领域实现从被动防御向主动治理的转型。

目前,腾讯数据安全解决方案已广泛应用在政企、互联网、交通、金融等多个行业领域,并得到了众多行业头部客户的认可。未来,腾讯数据安全将不断打磨产品,积极深耕行业,挖掘客户实际应用场景及需求,融合腾讯云产品生态和第三方服务商,为企业提供更简单易用、切实有效的数据安全解决方案。

文章来源于腾讯云开发者社区,点击查看原文