网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


落实『驭数之术』发展,推进『积极防御』建设

2019-08-22 10:51 推荐: 浏览: 15 views 字号:

摘要: “云、大、物、移、智”的发展流行,使得我们的信息化基础设施越来越完备,在循序渐进这么多年的信息化建设历程中,有一个明显的特征就是信息系统积累了大量的数据,由此催生的不仅仅是数据利用的问题,同时也夹带着数据安全的问题。 数据就如脱缰的“野马”,驯服好了能为我们所...

“云、大、物、移、智”的发展流行,使得我们的信息化基础设施越来越完备,在循序渐进这么多年的信息化建设历程中,有一个明显的特征就是信息系统积累了大量的数据,由此催生的不仅仅是数据利用的问题,同时也夹带着数据安全的问题。

数据就如脱缰的“野马”,驯服好了能为我们所用,不能驯化就只能付诸东流,甚至可能出现“反噬”,所以驾驭好信息化过程中的“果实”(数据)需要创新技术的运用,同时对数据的安全保护理念也需要进行转变:从优化管理推进到积极防御。

01 这是最好的时代 也是最坏的时代

当地时间2019年7月24号,Facebook花了5,000,000,000美元跟美国联邦贸易委员(FTC)达成了关于用户隐私问题的和解,这个似乎是一个皆大欢喜的结果,但是背后深层次的原因细思极恐:Facebook仅仅是跟政府监管机构达成了和解,但是泄露的恰恰是数据应用中最为重要的数据之一公民的个人隐私,然而针对个人的隐私追责之路依然是遥遥无期。 欧洲有《GDPR》、中国有《网络安全法》、《个人信息安全规范》,这些法律法规的落地说明市场在觉醒,监管在重视,但是这其中似乎都有一个不可调和的“点”:隐私保护与数据使用。

我们在享受信息化所提供的便利的同时,也存在着个人隐私信息泄露的巨大风险。虽然上到监管、中到企业都有“原力觉醒”,法律法规对隐私数据的使用者都有巨额罚款的条款,然而个人信息已经泄露,产生的危害一直在持续,因此作为隐私关联人的个人,恰恰处于底层,个中诉求很难真正得到落实,深层次影响着个人的人身财产安危。

02 针对数据所面临的隐患

大数据蓬勃发展的今日,关键技术水平滞后、数据权属不明、安全监管力度不足、标准化体系不完善等典型问题普遍存在在技术、管理、符合性等方面均存在比较突出的数据安全问题:

涉密、敏感、重要、隐私

1)数据共享热潮下,数据汇聚及传输过程中数据权属不明,极易导致数据过度采集、滥用、误用。

传统模式中,信息化系统主建方是系统数据的所有方,而且数据只在有限的组织内部流转,数据的使用权、管理权、所有权等都比较明确。

然而当前数据共享及多类型数据应用模式下,数据流转的边界变得模糊,尤其是要确保数据利用,势必在信息采集与处置将变得不再约束,《隐私条款》只是对应用提供商的免责申明,而不是真正意义上落地的数据安全保护举措。 2)有效的评估与监管手段在数据流转中比较缺乏,容易形成数据安全责任的扯皮。

数据的流转是为了确保实现数据的最大价值及在不同组织机构间流通,然而良莠不齐的数据安全保护能力是当前此类组织机构面临的最大困境,一些高安全等级的数据随意流转到低安全级别的环境,大量的敏感数据处于明文存储的风险域之中,很多缺乏有效的安全评估,也缺少重要的事前安全责任界定。

尤其是相应的组织内部鲜有数据安全保护官、个人信息安全保护专员等安全岗位,使得数据安全责任更加难以落实。 3)由“治”到“护”的理念缺乏,数据的分类分级保护应该要做在前,才能实现数据在收集和处理过程中应根据数据的种类及重要程度有针对性地进行保护, 若存储不当或未作去标识化处理,易导致重要数据尤其是个人信息的丢失、泄露等问题。

建立以业务为核心的数据安全治理体系,是真正实现数据安全保护的重要前提。

4)新技术场景呼唤信息的安全技术措施,传统的安全技术手段已经无法有效保障个人隐私信息安全 。大、云、移、物已经将系统边界模糊化,开源技术的广泛应用,异构数据的汇聚与流动打破了原有的系统网络边界及可预设用户集合,边界变得更加模糊,用户行为的隐蔽性更加强,传统的基于边界防护的安全技术措施难以满足现有安全需求,身份鉴别、访问控制、 安全审计等传统的数据安全保护措施亟待创新。

数据安全防护新要求与现有传统安全保护理念间的冲突是新形势下数据安全风险的本质也是当前跟个人最相关的个人隐私信息风险的本质,结合实际业务的数据安全治理,利用比较合理的分类、分级的方法,并根据业务数据及个人信息所属类别、级别,统一数据安全策略管理,梳理出明确的安全保护要点及要求才是数据安全保护的“王道”。

 

03 积极开展数据安全防御建设

安全技术与安全保障手段,通常被认为是为了优化日常的信息化管理,然而一旦安全跟数据挂钩,安全技术与手段已经从稳健的、保守式的处理方式,应该转变到积极的、贴身式的保护模式。

(1)构建以P2DR模型为基础的积极数据安全防御体系建设,是数据安全治理能高效落地的切实保障。

利用数据安全治理+(监管)检查监测+防护体系,突出合规性、三头并重,互为因果、环环相扣,有效解决数据安全保护建设过程所面临的几大问题。

 

构建主动的、统一的、综合的数据安全积极防御体系,建立统一的策略规则和分析展示平台,深层次监视与分析数据安全风险,采用多种技术,真正实现数据安全的“积极防御”,实现数据安全融于业务管理,业务数据指导数据安全。

 

“驭数”必先“有术”,数据已经影响到我们目前生活的方方面面,根据国际著名的Ponemon研究机构的2019年最新的调研报告,数据泄露的“长尾”时代已经到来,一次数据泄露,其成本影响将会蔓延至事件发生后的数年。

由此可见,我们不能再停留在原先的被动式防御的传统老旧模式,而是应该利用新的技术,将数据安全引领走向纵深的积极主动的防御体系!

 

联系站长租广告位!

中国首席信息安全官


关闭


关闭