奇安信数据安全5大桔皮书：从全局视角分享体系化防护思路

ldquo；特权帐户将成为攻击者的首要目标rdquo；ldquo；内部威胁是数据泄露的第二个原因rdquo；ldquo；API将在2022年成为数字化业务最常见的攻击媒体rdquo；ldquo；法规遵从性和业务不可兼得的私有法规遵从性构建rdquo；ldquo；我觉得数据安全很难rdquo；hellip；hellip；1月17日，奇安信集团发布“构建特权帐户安全能力桔皮书、零信任数据构建动态权限桔皮书、构筑API安全能力桔皮书、面临构建数据安全。有“个人信息保护合规性整备桔皮书”和“数据安全状况识别运营中心整备桔皮书”这5个报告书（以下简称为“桔皮书”）

上述报告以构建数据安全状况识别运营中心为核心，涵盖了特权账户安全建设、零信任数据动态授权能力建设、API安全能力建设、个人信息保护合规性建设四个重点领域。报告就数据安全各领域的现状、风险，分享研究成果和创新探索，协助ldquo。数据保护套件；以期为企业组织数据安全建设提供参考和借鉴。

建设重点之一：把好核心数据资产的关键大门

特权帐户是一个与企业数据门相通的ldquo，作为直接接触组织重要IT资产和数据资源的入口。键rdquo；话虽如此，国内对特权账户安全的认识还处于早期阶段。特权账户分布分散，数量多，权限大，风险高，内部特权滥用问题难以解决，特权账户将成为攻防演练中最大的弱点hellip；hellip；日益复杂的IT环境和不断增长的人机交互产生了特权账户管理的新需求，各种因素促使企业组织需要建立有效的特权账户安全管理生态系统，以减轻内部和外部威胁。

为此，[桔皮书]强调了特权帐户安全构建方案：特权安全风险评估、特权访问治理和控制、特权行为记录和审计和持续改进。企业组织注重特权账户的管理，通过管理机制和技术能力，将特权账户的管理与组织的流程对接，重新形成特权账户的管理机制，实现数据与流程的联动，改进特权访问管理的流程。

建设重点二：构建零信任动态授权能力

ldquo；攻击目标从网络转移到数据，远程工作会带来数据泄漏的风险，边界削弱和数据流动性增加的风险暴露面hellip；hellip；rdquo；目前，我国处于ldquo；十四五；在规划执行阶段，数据将成为关键生产要素。预计未来数据流将更加开放，业务生态系统将更加复杂，参与数据处理的角色将更加多样化，系统、业务和组织边界将更加模糊。

图：执行ldquo。零信任体系结构rdquo。ldquo是数据安全保护系统rdquo；结合，结合

在日益多样化、复杂化的情况下，如何保护数据安全。这需要建立一个基于零信任思想的数据安全保护体系。一中心二体系rdquo；（即网络安全状况识别与管理控制中心、网络安全防护体系及零可信授权体系）框架下构建数据动态授权能力。“桔皮书”聚焦于构建动态权限能力的若干重要倡议零信任数据：基于数据安全治理成果，构建数据视图；构建身份视图，以明确数据访问上下文。构建以资源为中心的统一战略管理控制体系。持续的可靠性评估和战略治理

建设重点之三：防范数据互动的重要关口

目前，全球有超过2000万开发人员，有超过百亿API的数据也被公开。API是所有数据交互的关口，同时也是企业的核心数字资产，是企业数据、服务输出和获取的唯一渠道。随着API使用场景越来越广泛，近两年来由它引发的数据泄露事件频发，API的爆炸式增长催生了新的安全挑战。

图为API安全解决方案模型

“桔皮书”数据安全中的API安全应以零信任思想进行整个安全体系建设，API安全解决方案应遵循持续ldquo；我发现了rdquo，ldquo。检测rdquo；、ldquo。保护rdquo；、ldquo。rdquo；响应；建立安全模式企业应建立前瞻性的云本机架构，面向微服务和集装箱环境进行API管理和安全保护，从实战化角度进行API安全保护体系建设将安全性落入API全生命周期管理的各个阶段，构建更好的API可见性和更好的API安全检测和响应系统。

建设重点其四合规与业务平衡

在合规要求逐步完善、监管措施日益全面多样化、监管强度持续提高的背景下，政企组织如何建立符合自身管理现状和发展需要的分人信息保护管理体系。

图：确保法规遵从性的关键措施

因此，“桔皮书”中提到了推进企业的个人信息保护合规性。遵循合规原则，明确处理原则，落实主体责任，保障主体权益。来修改标记元素的显示属性。并提出六项重要措施，建议企业应注意以下几个方面：。它集成在法规遵从性管理的整个过程中。项目人员信息收集工具合规性评估的前端；分人信息使用过程的风险管理与控制；建立个人信息安全事件处置机制；在个人信息安全影响评估中不断改进。

建设重点之五：建立全球化情境感知中心

DT时代数据安全运营有ldquo；几个大难rdquo；、清理数据资产难，监控数据流难，发现安全风险难，常态化运营难hellip；hellip；数据资产在流动和利用中不断产生价值，同时面临更大的风险。

以数据安全状况识别为中心的数据安全运营会怎么样呢。从《桔皮书》中提出ldquo；盘清家底，持续运营联合控制、流动监管、风险分析、安全评估、rdquo；取得水平，数据安全态势感知运营中心应具备六个安全能力，即建立以数据资源为核心的资产管理中心，将分类等级分类为核心策略的共同中心，以业务流程为核心动态监控中心是以行为分析为核心的风险管理中心，以合规为中心的安全评价中心，和以情况认识为中心的安全运营中心。

目前，大多数企业组织认识到数据安全建设的重要性，但面对海量、多源、流通关系复杂的数据处理场景和多元化的业务需求，仍然存在较大的安全挑战。在1月17日的活动中，该公司发布了ldquo。数据保护套件为数据安全建设提供了落地可行、有效的解决方案。