“新的一年开始了，2022年企业安全建设到底该怎么搞？”身为企业CIO的老张脑海中思绪纷乱，赶紧召集人手一起开会讨论。

老张率先提出了自己的想法：从政府单位到企业组织都必须加快数据安全建设。“在过去一年，《数据安全法》、《个人信息保护法》和《关键信息基础设施保护条例》等法律法规相继施行，数据安全建设必须赶紧提上日程。”

面对一系列法律法规、管理条例，以及新业务、新场景带来的新的安全威胁，企业数据安全建设该从何处下手？这个问题正困扰着以老张为代表的千万企业CIO、CSO们。数据安全相关法律法规密集出台后，领导高度重视，手下摩拳擦掌，但缺乏切合实际、行之有效的措施及方法论。

近日，奇安信集团对外发布一组预热海报，直接聚焦数据安全最为核心的五大常见痛点及治理难题，面向广大网络安全从业人员发出灵魂拷问——

“特权，为何变成了‘特级危险’？”

“层层设防，数据依然频频失窃，谁是内鬼？”

“数字化时代，API泛化，你的安全阵线还齐全么？”

“左手业务，右手合规，隐私合规建设应该怎么做？”

“‘后知后觉’的数据安全，还能叫安全么？”

对于数据安全治理难题，奇安信梳理总结了特权账号安全管理、零信任数据动态授权、个人信息保护合规建设、API安全和数据安全态势感知五个关键问题，并将于1月17日召开“奇安信数据卫士套件”发布会，在数据安全能力框架基础上，针对行业痛点持续性推出工具和解决方案，帮助政企客户解决数据安全治理五大难题，进行全局性数据安全体系建设。

痛点一：特权账号成首要攻击目标

公开数据显示，82%的受访者承认在多账号中重复使用密码，弱口令普遍存在降低了攻击门槛，特权账号成为攻击者首要目标，带来严重的数据安全风险，严重威胁政企组织内部整体安全。

痛点二：内部威胁是数据泄露的第二大原因

层层设防，数据为何仍然频频失窃？数据权限不清、使用情况不明等内部威胁，成为数据泄露的第二大原因，为政企组织带来更多安全挑战和合规性问题。

痛点三：API广泛调用导致安全阵线失守

随着API资产不清、API漏洞剧增、API传输泄密等问题与日俱增，利用API接口攻击成为新型攻击手段，国际权威机构Gartner预测，API滥用将成为2022年数字化业务最常见的攻击媒介。

痛点四：如何走好业务需求和隐私合规的钢丝绳？

据统计，工信部已经累计下架540款存在问题且拒不整改的APP。无论是APP，还是小程序、SDK, 以及IOT设备，都需要掌握好业务需求和隐私合规的平衡，要为用户提供便利的业务应用，又不能过度索权、收集隐私。数据采集的红线该如何划定？

痛点五：数据安全态势感知“后知后觉”

数字化转型带来的新场景、新业务复杂性增加，但受到管理和技术限制，整体态势感知难以掌控。IBM《2021年数据泄露成本报告》显示：2021年，识别一起数据泄露事件平均需要212天，遏制一起数据泄露事件平均需要75天，总生命周期为287天。

“数据安全是数字化时代关基保护的核心和关键”，以数据安全态势感知为中心的数据安全治理问题迫在眉睫。此前，奇安信正式发布“数据安全能力框架”及“数据安全运行构想图”（数据安全ConOps），为客户完整地提供了数据安全全局治理的体系建设方法论，以及落地思路与工具。此次“数据卫士套件”发布会的召开，将为政企客户的数据安全建设带来怎样的破题方法，我们拭目以待。