近年来,数字经济的发展对网络和数据安全提出更高要求。众所周知,互联网平台汇聚海量用户数据,随着数据价值的不断提升,用户个人信息泄漏和非法利用、数据非法跨境流动等风险不断增多,各类敏感数据泄漏事件频发。
此前Verizon 发布的 2018 数据泄漏报告显示, 2017 年全球发生的 53000 余件网络安全事件中,有 2216 起确认为数据泄漏。2018 年3月,剑桥分析公司非法获取脸书(Facebook)上超过 5000 万用户数据,并通过定向推送影响大选事件曝光,再次敲响大数据安全警钟。
安全问题突出 数据资产安全成为新良方
数据作为数字经济的根本要素,安全形势不容乐观。为此,包括我国《网络安全法》及配套法规、欧盟 GDPR 等在内的安全合规要求日益明确,对于数据安全、业务运行安全等的合规投入也进一步增加。
一方面,数字经济下新业态丰富、市场主体众多,具有跨界融合等特点,给传统监管体系带来新的挑战。另一方面,新兴技术快速应用引发新的安全风险,例如人工智能核心算法不透明,存在恶意操纵导致不正当竞争风险;区块链技术应用暴露多重风险,目前尚未形成覆盖数据全生命周期的监管思路。
在未来的数字洪流中,企业应该如何有效利用数据,避免安全风险成为企业领导者关注的焦点。世平信息——一家专注于数据资产风险管控 数据价值安全利用 的企业,在2018年青岛召开的“2018年保密技术交流大会暨产品博览会”上展示众多的安全产品吸引了众人的目光。
世平信息董事长王世晞,出身中国国防科技大学教授,谈及为何选择从业数据安全治理,王世晞这样讲到,2012年全球信息安全开始转型,先前主要是基于网络边界的安全和应用防护,以防火墙、VPN、IDS为主要解决手段,不能完全解决数据安全防护问题。对于信息系统或网络安全,归根到底最重要的是数据的安全,而数据安全必须明确,针对什么数据做什么防护的问题。另外,必须很好地平衡数据利用效率与安全防护措施代价。传统的数据加解密法因为极大影响运算效率,所以无法应对高速膨胀中的海量数据共享交换数据安全需求,对业务数据进行分类分级和分级安全防护,是如今大数据时代数据安全防护的有效解决之道。世平信息瞄准这样的时机,致力于数据安全治理领域,这也是世平信息成立的初衷。”
王世晞说到:“通常我们所说的信息安全涉及网络安全、业务应用安全以及数字资产安全。从网络边界来进行防护虽然能起到很好的保护作用,但解决不了全部的安全问题。而数据才是企业生存的核心,就像一幢大楼,其中最为核心重要的是财务室,若保护整个大楼不仅代价高,而且也很困难。‘防止别人进不来比较难’,而‘进得来拿不走’则相对简单些。”
在王世晞看来,随着信息化的不断发展,涉密信息、敏感信息和隐私信息已经成为窃密攻击的关键对象。例如:在计算机网络应用中,用户为了使用方便,很可能在直连互联网或存在风险的计算机上处理带有涉密信息的文档,直接导致涉密信息泄漏。虽然各级保密主管部门非常重视对非涉密网的保密检查,也配备了不少专项保密检查工具,但是存储在数据库及其他后台应用服务器中的数据,一直是保密检查的盲区和检查难点,迫切需要数据库保密检查工具来满足实际检查工作的需要。为此我们开发了“数据库保密检查工具”,解决了此项保密检查的盲区。
聚焦数据安全治理 对内对外全面防护
数据资源的互联互通、共享开放,使得基于边界、针对外部入侵的传统防御体系功效打折,因为这些防御体系无法应对内部窃取、滥用、疏忽等形成的数据泄漏。而市面上已有的数据防泄漏产品(DLP)虽然理念很好,但是保护哪些数据(数据分级)、如何防护(安全策略分级)?这些问题不清楚,DLP无法有效落地。还有:技术与策略、制度、机构如何配合?这些问题大多应用场合都没有很好解决。数据安全治理是根本的解决之道,它做为有效的实现对外部及内部的数据泄漏防护手段,为当前数据安全的大势所趋。
为什么数据安全治理能够有效防护内部与外部泄漏?
其一,数据安全治理首先在用户信息系统中将需要防护的敏感数据找出来,然后盯住这些敏感数据执行靶向监控,盯住的是敏感数据本身而不是系统,不论敏感数据处于系统何处,如何流转、变化、衍生,不论泄漏风险来自内部还是外部。
其二,数据安全治理深入到用户单位的各业务系统、流程和事项中,将海量数据按敏感性进行分类分级,制定相应的分类分级防护策略规则,并在实践中不断优化规则,提高靶向监控精确度。同时,很好地平衡了数据安全防护与数据利用效率的问题。
其三,数据安全治理既管信息系统又管人员,以技术、产品与咨询、服务融合并行,与行业内的业务专家和安全专家密切配合,在做好基于法规和业务梳理的数据分类分级同时,制定相应的分类分级管控策略、组织制度、检查评估等保障机制,确保数据泄漏防护的有效性。
传统网络安全为信息系统多方设防,对于系统内的数据属于静态保护,因为防御措施不随被保护的数据本身变化流动,对系统内部人员泄漏数据难以防范,所以是防外不防内。大数据环境中,对内部窃取、滥用、疏忽等数据泄漏风险有效的数据安全防护,关键在于明确哪些数据需要防护,各需要什么等级的防护,在此基础上设置相应的靶向防护策略与落地措施,即针对需要防护的各类各级敏感数据在其采集、存储、使用、分享、流转、销毁全生命周期中进行相应的识别与追踪防护。数据安全治理便是通过数据分类分级明确找出需要保护的敏感数据,然后通过一系列技术措施盯住这些敏感数据,无论敏感数据在全网什么地方、往哪里流动变化衍生,都能执行精准的定位、追踪、告警、阻断、溯源等响应,实现分类分级的监控防护。所以,数据安全治理的落地技术措施实为靶向盯住敏感数据并随之流转变化的动态监控,形成全网追踪、内外兼防的数据防泄漏体系。
热门专题
