通信世界網消息(CWW)近年來,數字經濟的發展對網絡和數據安全提出更高要求。衆所周知,互聯網平臺匯聚海量用戶數據,隨着數據價值的不斷提升,用戶個人信息泄漏和非法利用、數據非法跨境流動等風險不斷增多,各類敏感數據泄漏事件頻發。
此前Verizon 發佈的 2018 數據泄漏報告顯示, 2017 年全球發生的 53000 餘件網絡安全事件中,有 2216 起確認爲數據泄漏。2018 年3月,劍橋分析公司非法獲取臉書(Facebook)上超過 5000 萬用戶數據,並通過定向推送影響大選事件曝光,再次敲響大數據安全警鐘。
安全問題突出 數據資產安全成爲新良方
數據作爲數字經濟的根本要素,安全形勢不容樂觀。爲此,包括我國《網絡安全法》及配套法規、歐盟 GDPR 等在內的安全合規要求日益明確,對於數據安全、業務運行安全等的合規投入也進一步增加。
一方面,數字經濟下新業態豐富、市場主體衆多,具有跨界融合等特點,給傳統監管體系帶來新的挑戰。另一方面,新興技術快速應用引發新的安全風險,例如人工智能核心算法不透明,存在惡意操縱導致不正當競爭風險;區塊鏈技術應用暴露多重風險,目前尚未形成覆蓋數據全生命週期的監管思路。
在未來的數字洪流中,企業應該如何有效利用數據,避免安全風險成爲企業領導者關注的焦點。世平信息——一家專注於數據資產風險管控 數據價值安全利用的企業,在2018年青島召開的“2018年保密技術交流大會暨產品博覽會”上展示衆多的安全產品吸引了衆人的目光。
世平信息董事長王世晞,出身中國國防科技大學教授,談及爲何選擇從業數據安全治理,王世晞這樣講到,2012年全球信息安全開始轉型,先前主要是基於網絡邊界的安全和應用防護,以防火牆、VPN、IDS爲主要解決手段,不能完全解決數據安全防護問題。對於信息系統或網絡安全,歸根到底最重要的是數據的安全,而數據安全必須明確,針對什麼數據做什麼防護的問題。另外,必須很好地平衡數據利用效率與安全防護措施代價。傳統的數據加解密法因爲極大影響運算效率,所以無法應對高速膨脹中的海量數據共享交換數據安全需求,對業務數據進行分類分級和分級安全防護,是如今大數據時代數據安全防護的有效解決之道。世平信息瞄準這樣的時機,致力於數據安全治理領域,這也是世平信息成立的初衷。”
王世晞說到:“通常我們所說的信息安全涉及網絡安全、業務應用安全以及數字資產安全。從網絡邊界來進行防護雖然能起到很好的保護作用,但解決不了全部的安全問題。而數據纔是企業生存的核心,就像一幢大樓,其中最爲核心重要的是財務室,若保護整個大樓不僅代價高,而且也很困難。‘防止別人進不來比較難’,而‘進得來拿不走’則相對簡單些。”
在王世晞看來,隨着信息化的不斷髮展,涉密信息、敏感信息和隱私信息已經成爲竊密攻擊的關鍵對象。例如:在計算機網絡應用中,用戶爲了使用方便,很可能在直連互聯網或存在風險的計算機上處理帶有涉密信息的文檔,直接導致涉密信息泄漏。雖然各級保密主管部門非常重視對非涉密網的保密檢查,也配備了不少專項保密檢查工具,但是存儲在數據庫及其他後臺應用服務器中的數據,一直是保密檢查的盲區和檢查難點,迫切需要數據庫保密檢查工具來滿足實際檢查工作的需要。爲此我們開發了“數據庫保密檢查工具”,解決了此項保密檢查的盲區。
聚焦數據安全治理 對內對外全面防護
數據資源的互聯互通、共享開放,使得基於邊界、針對外部入侵的傳統防禦體系功效打折,因爲這些防禦體系無法應對內部竊取、濫用、疏忽等形成的數據泄漏。而市面上已有的數據防泄漏產品(DLP)雖然理念很好,但是保護哪些數據(數據分級)、如何防護(安全策略分級)?這些問題不清楚,DLP無法有效落地。還有:技術與策略、制度、機構如何配合?這些問題大多應用場合都沒有很好解決。數據安全治理是根本的解決之道,它做爲有效的實現對外部及內部的數據泄漏防護手段,爲當前數據安全的大勢所趨。
爲什麼數據安全治理能夠有效防護內部與外部泄漏?
其一,數據安全治理首先在用戶信息系統中將需要防護的敏感數據找出來,然後盯住這些敏感數據執行靶向監控,盯住的是敏感數據本身而不是系統,不論敏感數據處於系統何處,如何流轉、變化、衍生,不論泄漏風險來自內部還是外部。
其二,數據安全治理深入到用戶單位的各業務系統、流程和事項中,將海量數據按敏感性進行分類分級,制定相應的分類分級防護策略規則,並在實踐中不斷優化規則,提高靶向監控精確度。同時,很好地平衡了數據安全防護與數據利用效率的問題。
其三,數據安全治理既管信息系統又管人員,以技術、產品與諮詢、服務融合並行,與行業內的業務專家和安全專家密切配合,在做好基於法規和業務梳理的數據分類分級同時,制定相應的分類分級管控策略、組織制度、檢查評估等保障機制,確保數據泄漏防護的有效性。
傳統網絡安全爲信息系統多方設防,對於系統內的數據屬於靜態保護,因爲防禦措施不隨被保護的數據本身變化流動,對系統內部人員泄漏數據難以防範,所以是防外不防內。大數據環境中,對內部竊取、濫用、疏忽等數據泄漏風險有效的數據安全防護,關鍵在於明確哪些數據需要防護,各需要什麼等級的防護,在此基礎上設置相應的靶向防護策略與落地措施,即針對需要防護的各類各級敏感數據在其採集、存儲、使用、分享、流轉、銷燬全生命週期中進行相應的識別與追蹤防護。數據安全治理便是通過數據分類分級明確找出需要保護的敏感數據,然後通過一系列技術措施盯住這些敏感數據,無論敏感數據在全網什麼地方、往哪裏流動變化衍生,都能執行精準的定位、追蹤、告警、阻斷、溯源等響應,實現分類分級的監控防護。所以,數據安全治理的落地技術措施實爲靶向盯住敏感數據並隨之流轉變化的動態監控,形成全網追蹤、內外兼防的數據防泄漏體系。