CASB保护使用中的数据安全实践.pdf

滴水不漏—数据在加工处理过程中保证安全 数字化时代的安全趋势 真坏人不可怕，可怕的是假好人 高价值数据共享与安全保密的“两难” 企业要具备对风险和信任持续评估及改进的能力 经典的围墙式防护模型中，缺失数据上下文 数据在信息化系统中的不同层次持续流转 用CASB保护使用中的数据安全 CASB的主要应用场景 内部威胁客观存在 提供以数据为抓手的零信任安全架构 实践1—CASB保护装备研发流程中的数据安全 1) 为PLM赋予数据加密能力 无法直接从后台获取敏感数据 2) 杜绝关键操作时身份被冒用 增强关键业务操作和数据使用的身份确定 3) 参与人员只能访问其业务相关数据 在复杂数据结构中最小化数据访问授权 4) 深度结合数据使用的脱敏机制 最小化敏感数据阅读范围，迷惑恶意人员 5) 细致的行为审计 辅助业务人员进行事后取证与定责 实践2—CASB保护ERP流程中的配方数据安全 业务流程与核心关键点 相同单据互斥角色看到不同材料内容 不参与关键配方的用户只能看到密文 使用中的数据安全 关于炼石 在数字化时代，数据安全已成为企业生存和发展的重要议题。随着数据价值的不断提升，它成为了黑客的主要攻击目标。传统的安全措施如围墙式防护模型已无法有效应对不断演变的威胁，因为它们往往忽视了数据在多层信息化系统中持续流转的实际情况。企业需要具备持续评估风险和信任并进行改进的能力，以适应这种变化。 CASB（Cloud Access Security Broker）和CASB（Critical Application Security Broker）在此背景下扮演了关键角色，它们旨在保护数据在使用过程中的安全。CASB的核心功能包括对应用操作和敏感数据的精细化识别、上下文环境的持续采集和分析、基于上下文的精细化访问控制、高速的数据加解密和脱敏以及多样化的策略响应动作。 在装备研发流程中，如武器系统的性能升级项目，CASB可以有效地保护PLM（Product Lifecycle Management）系统中的敏感数据。例如，通过为PLM赋予数据加密能力，确保即使数据被盗也无法直接读取。此外，它还能够防止关键操作时的身份被冒用，强化身份验证机制，确保只有业务相关人员能执行特定操作。同时，CASB限制了参与人员的访问范围，只允许他们访问与其业务相关的数据，实现最小权限原则。通过深度结合数据使用的脱敏机制，可以进一步缩小敏感数据的阅读范围，降低被恶意利用的风险。细致的行为审计功能可以帮助进行事后取证和责任划分，提升安全管理的有效性。 在ERP（Enterprise Resource Planning）流程中，CASB同样能够保护诸如配方数据这类关键信息。例如，不同角色的用户能看到不同的材料内容，不参与关键配方的用户只能看到加密的密文。这确保了数据的安全保密，同时不影响业务流程的正常运行。 CASB提供了以数据为中心的零信任安全架构，适用于各种业务场景，包括内部威胁的管理和公有云数据安全治理。企业需要认识到，面对日益复杂的安全环境，单纯依赖传统的静态安全策略已不足以保障数据安全，而应当采用更智能、更动态的保护措施，如CASB，以确保数据在加工处理过程中的滴水不漏。