日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、定位與目標

近幾年互聯(lián)網公司數(shù)據(jù)安全已從單兵作戰(zhàn)逐步發(fā)到到團隊作戰(zhàn)，分工上也朝著精細化運營、風險模型建設、數(shù)據(jù)安全平臺建設等細分方向專業(yè)化演進。

其中數(shù)據(jù)安全運營定位：數(shù)據(jù)分析(掌握核心技術)—數(shù)據(jù)安全運營(背鍋+其它)– 業(yè)務(價值方)，數(shù)據(jù)安全運營漸漸成為公司數(shù)據(jù)安全團隊與業(yè)務溝通、項目推進及價值輸出(賦能)的窗口，數(shù)據(jù)安全的核心在運營能力，數(shù)據(jù)、模型、工具都是手段，通過運營實現(xiàn)對業(yè)務的價值輸出目標，運營不僅僅要懂技術，還要做到既要、還要的更高要求。

我理解的數(shù)據(jù)安全運營：

(1) 風險管控能力：識別、治理、收斂，在過程中結合業(yè)務特征提煉真實的風險場景、及隱私要求通過技術手段實現(xiàn)對法律法規(guī)的遵從性–來自業(yè)界大佬語錄(一般管理手段與安全管理、合規(guī)團隊聯(lián)合推進)，并建立匹配的治理方案及工具、方法論;

(2) 運營賦能業(yè)務：

• 關鍵數(shù)據(jù)支撐業(yè)務決策，影響業(yè)務在風險環(huán)節(jié)的資源投入;
• 基礎工具、組件服務支持，安全能力左移(前置)，降低業(yè)務安全上的成本。

二、工作方法

1. 目標設定

• 起步階段，找業(yè)界同行Top1-2家公司這方面的目標設定作為參考，根據(jù)不同業(yè)務、數(shù)據(jù)安全的發(fā)展階段，設定目標;
• 發(fā)展階段，對比自己的歷史數(shù)據(jù)，參考業(yè)界指標，設定目標;
• 特殊時期的階段性目標，如疫情期間數(shù)據(jù)安全目標的設定。

2. 技術手段

數(shù)據(jù)全生命周期管理

圖片來源：ayazero《企業(yè)數(shù)據(jù)安全體系建設》

這里暫不涉及具體數(shù)據(jù)安全措施在業(yè)務的建設內容，這些措施在不同行業(yè)、公司文化、及業(yè)務不同發(fā)展階段的建設方向和次第需要講究和考量的。

3. 持續(xù)運營

(1) 基礎工作：數(shù)據(jù)分類分級、數(shù)據(jù)標簽;建立資產庫和資產大盤，掌握數(shù)據(jù)資產在業(yè)務的分布、風險狀態(tài);權限管理、關鍵業(yè)務日志等;

如數(shù)據(jù)在收集階段的涉敏資產發(fā)現(xiàn)服務;數(shù)據(jù)在存儲中的掃描服務、加密存儲服務;數(shù)據(jù)在使用過程中的文件分發(fā)平臺等，這些基礎能力的建設堅持對標業(yè)界，避免走彎路的同時提升效率;

(2) 風險評估：一般通過事件發(fā)生概率與影響來評估風險值，這也是很多咨詢類公司的常見做法，或者套用DREAD模型的計算方式：等級=危害性+復現(xiàn)難度+利用難度+受影響用戶+發(fā)現(xiàn)難度來進行數(shù)據(jù)安全風險評估，這些方法的使用無可厚非，其最終能與業(yè)務達成一致的風險認知很關鍵。

(3) 風險識別：在基礎工作上利用多維度數(shù)據(jù)進行風險行為分析，如UEBA。

風險場景識別，除了運營同學深入業(yè)務比業(yè)務還要了解業(yè)務外、還可以將特征數(shù)據(jù)進行重組或進一步深挖數(shù)據(jù)，進而發(fā)現(xiàn)新風險、另外一個就是內外部情報數(shù)據(jù)。

在風險管控過程中 逐步建立工具和平臺，實現(xiàn)自動化，如建設UEBA平臺、安全運營平臺(SOAR-安全編排、自動化及響應)。

這里假設來自上級的靈魂拷問：你的地盤還有沒有不在視野范圍內的數(shù)據(jù)安全風險?嘗試界定數(shù)據(jù)安全邊界并關注核心風險，如數(shù)據(jù)泄露、人員舞弊，加上資源總是稀缺的，即主要風險應該都在視野內。

(4) 安全治理：兩種自上而下的推進方法

單純的自上而下，本質上利用權力來威懾業(yè)務達到安全目的，通常效果有了也隱藏了業(yè)務的怨言。

利益共同體式的自上而下(來自我的領導多年經驗)，即通過聯(lián)合作戰(zhàn)項目安全牽頭發(fā)起、業(yè)務主導共同推進安全治理并共享成果。這也是自上而下的模式，其實這種是需要更強的組織機制來保障的。

技術上實操上結合數(shù)據(jù)全生命周期管理過程中涉及到的安全措施，可以聯(lián)合業(yè)務方、或安全自研或采購工具進行治理，如水印服務、數(shù)據(jù)加密、漏洞掃描、B\C端涉敏根服務調用鏈治理等，通過有序的治理工作，有時候會獲得較好的安全回報，如風險收斂、勾搭上業(yè)務MM又熟悉業(yè)務了。

(5) 業(yè)務賦能：數(shù)據(jù)賦能，對業(yè)務輸出高質量數(shù)據(jù)，支持業(yè)務決策發(fā)展，安全能力賦能業(yè)務方，從服務業(yè)務方變成業(yè)務的安全伙伴，給業(yè)務以力量，自己也硬氣了。

4. 效果驗證

通過數(shù)據(jù)指標量化驗證，數(shù)據(jù)指標變化應與采取措施的預期一致，我們對某個指標采取了措施，一種情況是觀察一段時間后對指標沒有影響，很可能是我們沒有找到根因，另一種情況可能是采取的多種措施對指標都有正向影響，此時我們需要選擇一個性價比最高的措施，考慮ROI。

案例A

案例B

5. 論與業(yè)務關系

安全運營離不開業(yè)務這個衣食父母，要有服務意識，這是基礎，但在筆者看來，怎么向業(yè)務闡述清楚業(yè)務面臨的數(shù)據(jù)安全風險更為關鍵，這也是運營的基本功之一吧，如果能與業(yè)務就風險達成一致的認知，以覆蓋率、收斂為目標的安全措施、治理項目就更多的變成在業(yè)務側怎么協(xié)調資源、排期的執(zhí)行層面的問題了。

在運營的過程中，除了業(yè)務外，兄弟團隊如HR、合規(guī)、內控等也是數(shù)據(jù)安全運營要協(xié)作的，其實大家目標都是一致的，在實際工作中明確各自的主戰(zhàn)場并建立協(xié)同作戰(zhàn)機制，如內部人員舞弊需要數(shù)據(jù)運營團隊的數(shù)據(jù)支持與合規(guī)團隊的情報線索、線下調查結合才能打一個漂亮的組合拳。

三、提煉總結

(1) 根據(jù)業(yè)務形態(tài)不斷調整數(shù)據(jù)安全打法：

• 成熟業(yè)務，側重推進基礎安全能力提升，典型問題溯源到底，防御為主;
• 快速發(fā)展業(yè)務，安全容忍度適當放寬，抓典型案例震懾，事前工作做足，如SDL能力覆蓋;
• 成長業(yè)務：介于兩者之間，借業(yè)務系統(tǒng)升級、轉型接入推進安全能力提升，標本兼治;

(2) 通用性數(shù)據(jù)安全風險要有統(tǒng)一的成熟技術方案，覆蓋率、風險收斂作為核心指標，涉敏數(shù)據(jù)外發(fā)、賬號風險治理、反爬等;

(3) 堅持對標的意義：最大化的提升效率，避免走彎路，但對標并不能保證風險收斂，因此需要運營的投入，與業(yè)務做自適應匹配。

網頁名稱：淺談數(shù)據(jù)安全運營的一畝三分地
瀏覽地址：http://m.5511xx.com/article/coseccp.html