落實『馭數之術』發展，推進『積極防禦』建設

“雲、大、物、移、智”的發展流行，使得我們的信息化基礎設施越來越完備，在循序漸進這麼多年的信息化建設歷程中，有一個明顯的特徵就是信息系統積累了大量的數據，由此催生的不僅僅是數據利用的問題，同時也夾帶着數據安全的問題。

數據就如脫繮的“野馬”，馴服好了能爲我們所用，不能馴化就只能付諸東流，甚至可能出現“反噬”，所以駕馭好信息化過程中的“果實”（數據）需要創新技術的運用，同時對數據的安全保護理念也需要進行轉變：從優化管理推進到積極防禦。

 

01 這是最好的時代 也是最壞的時代

當地時間2019年7月24號，Facebook花了5,000,000,000美元跟美國聯邦貿易委員(FTC)達成了關於用戶隱私問題的和解，這個似乎是一個皆大歡喜的結果，但是背後深層次的原因細思極恐：Facebook僅僅是跟政府監管機構達成了和解，但是泄露的恰恰是數據應用中最爲重要的數據之一公民的個人隱私，然而針對個人的隱私追責之路依然是遙遙無期。 歐洲有《GDPR》、中國有《網絡安全法》、《個人信息安全規範》，這些法律法規的落地說明市場在覺醒，監管在重視，但是這其中似乎都有一個不可調和的“點”：隱私保護與數據使用。

我們在享受信息化所提供的便利的同時，也存在着個人隱私信息泄露的巨大風險。雖然上到監管、中到企業都有“原力覺醒”，法律法規對隱私數據的使用者都有鉅額罰款的條款，然而個人信息已經泄露，產生的危害一直在持續，因此作爲隱私關聯人的個人，恰恰處於底層，箇中訴求很難真正得到落實，深層次影響着個人的人身財產安危。

 

02 針對數據所面臨的隱患 

大數據蓬勃發展的今日，關鍵技術水平滯後、數據權屬不明、安全監管力度不足、標準化體系不完善等典型問題普遍存在在技術、管理、符合性等方面均存在比較突出的數據安全問題：

 

涉密、敏感、重要、隱私

 

1）數據共享熱潮下，數據匯聚及傳輸過程中數據權屬不明，極易導致數據過度採集、濫用、誤用。

傳統模式中，信息化系統主建方是系統數據的所有方，而且數據只在有限的組織內部流轉，數據的使用權、管理權、所有權等都比較明確。

然而當前數據共享及多類型數據應用模式下，數據流轉的邊界變得模糊，尤其是要確保數據利用，勢必在信息採集與處置將變得不再約束，《隱私條款》只是對應用提供商的免責申明，而不是真正意義上落地的數據安全保護舉措。 2）有效的評估與監管手段在數據流轉中比較缺乏，容易形成數據安全責任的扯皮。

數據的流轉是爲了確保實現數據的最大價值及在不同組織機構間流通，然而良莠不齊的數據安全保護能力是當前此類組織機構面臨的最大困境，一些高安全等級的數據隨意流轉到低安全級別的環境，大量的敏感數據處於明文存儲的風險域之中，很多缺乏有效的安全評估，也缺少重要的事前安全責任界定。

尤其是相應的組織內部鮮有數據安全保護官、個人信息安全保護專員等安全崗位,使得數據安全責任更加難以落實。 3）由“治”到“護”的理念缺乏，數據的分類分級保護應該要做在前，才能實現數據在收集和處理過程中應根據數據的種類及重要程度有針對性地進行保護, 若存儲不當或未作去標識化處理,易導致重要數據尤其是個人信息的丟失、泄露等問題。

建立以業務爲核心的數據安全治理體系，是真正實現數據安全保護的重要前提。 

 

4）新技術場景呼喚信息的安全技術措施，傳統的安全技術手段已經無法有效保障個人隱私信息安全 。大、雲、移、物已經將系統邊界模糊化，開源技術的廣泛應用，異構數據的匯聚與流動打破了原有的系統網絡邊界及可預設用戶集合，邊界變得更加模糊，用戶行爲的隱蔽性更加強,傳統的基於邊界防護的安全技術措施難以滿足現有安全需求，身份鑑別、訪問控制、 安全審計等傳統的數據安全保護措施亟待創新。

 

數據安全防護新要求與現有傳統安全保護理念間的衝突是新形勢下數據安全風險的本質也是當前跟個人最相關的個人隱私信息風險的本質，結合實際業務的數據安全治理，利用比較合理的分類、分級的方法，並根據業務數據及個人信息所屬類別、級別，統一數據安全策略管理，梳理出明確的安全保護要點及要求才是數據安全保護的“王道”。

 

03 積極開展數據安全防禦建設

安全技術與安全保障手段，通常被認爲是爲了優化日常的信息化管理，然而一旦安全跟數據掛鉤，安全技術與手段已經從穩健的、保守式的處理方式，應該轉變到積極的、貼身式的保護模式。

 

構建以P2DR模型爲基礎的積極數據安全防禦體系建設，是數據安全治理能高效落地的切實保障。

 

利用數據安全治理+（監管）檢查監測+防護體系，突出合規性、三頭並重，互爲因果、環環相扣，有效解決數據安全保護建設過程所面臨的幾大問題。

 

構建主動的、統一的、綜合的數據安全積極防禦體系，建立統一的策略規則和分析展示平臺，深層次監視與分析數據安全風險，採用多種技術，真正實現數據安全的“積極防禦”，實現數據安全融於業務管理，業務數據指導數據安全。

 

“馭數”必先“有術”，數據已經影響到我們目前生活的方方面面，根據國際著名的Ponemon研究機構的2019年最新的調研報告，數據泄露的“長尾”時代已經到來，一次數據泄露，其成本影響將會蔓延至事件發生後的數年。

由此可見，我們不能再停留在原先的被動式防禦的傳統老舊模式，而是應該利用新的技術，將數據安全引領走向縱深的積極主動的防禦體系！