專訪天融信李海鵬:談資料安全防護實踐
▲天融信資料安全中心經理李海鵬
“企業管理層認識到資料的價值和資料保護的複雜性是企業提高企業保護資料洩漏的關鍵!”
稜鏡事件的曝光在帶來國家層面網路安全的普遍關注外,也給企業資料安全帶來了一些警示,李海鵬談到,稜鏡事件至少有三個主體的資料洩漏,從美國政府而言,它的資料被前僱員洩漏;從普通使用者而言,他的資料被為他提供服務的廠商洩漏;對第三方國家或組織而言,它們的資料被入侵而洩漏。由此,對於企業資料安全得到的警示就包含了幾個方面,分別是資料洩漏很煩惱、資料資產最重要、人員管理是基礎、IT供應鏈管理不可少、技術防範要打牢。
資訊化的浪潮使經濟形態發生了巨大變化,企業的價值越來越體現在無形資產中,資料日益體現出資產的屬性。資料是資產,所以吸引了犯罪分子從物理空間轉向網路空間;資料是企業賴以生存與發展的基礎,所以企業要加強保護資料資產。企業管理層認識到資料的價值和資料保護的複雜性是企業提高企業保護資料洩漏的關鍵,企業在日常經營中正確平衡資料利用和資料安全的關係的行為是樹立全員資料安全意識的基礎。
“資料保護是涉及人、流程和技術的一體化工作!”
資料保護是涉及人、流程和技術的一體化工作,既要有高層資料治理的高層建設,也要有資料管理體系建設和人員意識培養的制度。既然資料是資產,資料就要分類分級,對重要資產重點保護;資料是資產,資料就應明確生命週期各階段的權屬關係,明確資料使用的規則,以及出現洩漏的責任判定與罰則;資料是資產,就應明確資料的流動環節和授權,明確資料與應用的關係。
企業資料策略就是要回答什麼人在什麼時間能通過什麼應用與環境訪問什麼資料,以及回答如何對資料使用的審計等。李海鵬介紹到,在資料安全專案中,首先企業使用者要進行業務梳理,通過業務分析確定資料模型、資料流模型、資料分級分類等,進而完成資料資源與資料保護的整體規劃。特別地,在資料安全策略實踐中要明確資料安全與網路環境安全的協作關係,充分利用已有的安全策略基礎和安全建設基礎。
企業資料中含有許多員工的個人隱私資料,毫無疑問,關於具體個人的隱私資料在企業內部應當可以在不違背法律規定情況下經過授權使用,但同時絕對不能提供給外部使用。總體原則是個人隱私相關要通過授權使用。
“對企業而言,在認識到資料資產的價值和資料洩漏的危害後,以往的安全防護模型依然有效!”
資料安全解決方案是體系化的,要依據企業的資料安全策略理出實現的優先順序,資料安全產品和方案都要圍繞核心目標。李海鵬向記者介紹到,“通過大量的資料安全專案實踐,我們總結出一套工程化的方法論,通過資料安全服務形成安全策略,通過資料安全解決方案解決整體保障,通過資料安全產品解決重點防護,通過廣泛的合作來保障實施效果。”
目前資料安全產品可以分為結構化資料安全產品、非結構化資料安全產品、資料使用與內容審計產品、資料防洩漏產品、資料加密產品、資料安全儲存與備份恢復產品、人員與授權管理產品等,每類產品解決的問題有所差異,在選擇時要重點考慮投入產出比、擴充套件性、相容性等。李海鵬談到,由於資料安全產品與資料管理、業務系統等直接相關,要發揮產品的最大效果,需要不斷優化與調整策略,所以在選擇產品時要特別注意售後服務能力。
資料安全的風險與其它安全風險有許多不同之處,如資料洩漏不易被發現、資料洩漏對當前系統執行無影響,因此員工的資料安全意識的培訓更加重要。李海鵬介紹到,企業許多員工並不瞭解他們正在使用的資料的價值所在,並錯誤地以為安全是由專人負責的,事不關己,並未充分認識到自己也是在企業資料安全中的重要角色,對員工的資料安全培訓要進行縱向及交叉的培訓,讓各部門對彼此在資料安全職責進行了解,並結合週期性的安全攻擊演習,以發現問題並進行警示。
李海鵬談到:“對企業而言,在認識到資料資產的價值和資料洩漏的危害後,以往的安全防護模型依然有效,如訪問控制模型,現在的關注點從管制主體和網路中策略執行點轉移到資料這個客體上。對資料保護,由於資料種類繁多、資料流動變化多、資料分散等,在資料保護中更加要重視事前的策略設計和資料的分類分級,要更加重視重點防護和事後的審計追蹤。”
對目前多數企業而言,建議首先開展資料的備份恢復建設,保證資料在災難時能找到與可用,其次要對核心的線上系統的資料庫資料進行重點保護,如加固、加密和審計,再者要進行網路資料防洩漏的建設,以便發現敏感資料流動情況並進行控制,同時要進行整體的非結構化資料集中管控,把分散的資料統一管起來,最後與企業資料資源規劃同步形成完整的資料保護體系。
“資料安全正在從網路環境安全向資料本身安全轉移!”
首先,隨著雲端計算、虛擬化、移動網際網路的發展,網路邊界、應用和服務的邊界迅速模糊化,資料安全迅速從網路環境安全向資料本身安全轉移,傳統的基於邊界的手段雖然還能保持一定的作用,但卻會因相對無效性從未來的安全體系中逐漸淡出。隨著技術的發展,在企業級資料安全中資料的機密性保護和資料使用的審計會佔據突出位置。
其次,隨著大資料的來臨,資料的竊取會形成更加龐大的產業,企業資料的利用和企業資料安全的關係更加複雜,會更加體現安全促進利用、安全創造價值的趨勢,資料安全關注的範圍更加廣泛,如個人隱私等等。
相關文章
- 【訪談】河北張北縣長李鵬舉談“中國數壩”大資料產業發展大資料產業
- 談談保護敏感資料的最佳實踐
- 肖鵬:微博資料庫那些事兒(圖靈訪談)資料庫圖靈
- 產業安全專家談丨如何建立“開箱即用”的資料安全防護系統?產業
- 安全防護系統構設計與實踐
- 騰訊安全李濱:騰訊雲資料安全與隱私保護探索與實踐
- 吉林大學資料庫安全防護資料庫
- 產業安全專家談丨如何為政務大資料平臺構築安全防護能力?產業大資料
- 大資料專案實踐(五)——Hue安裝大資料
- 專訪CSS魔法:學海無涯,而吾生有涯(圖靈訪談)CSS圖靈
- 網站資料安全防護措施有哪些?網站
- 案例 | 美創助力鎮海區大資料發展管理中心構建“數改”安全防護力大資料
- 大型國有銀行資料安全防護案例
- 直播預告(今日15:00—18:00)丨中原鯤鵬訓練營 · 鯤鵬資料庫實踐沙龍資料庫
- 大資料時代下,金融行業資料安全防護如何落地?大資料行業
- 李曉鵬系統學習法
- 基於分類分級的醫療臨床資料合規共享與安全防護建設實踐
- 網站安全防護對跨域資料洩露網站跨域
- 李廈戎:一個在生物領域創業的資料控(圖靈訪談)創業圖靈
- 奇虎360資料專家傅志華訪談問題有獎徵集(圖靈訪談)圖靈
- GMTC-閒魚Flutter實踐效果訪談Flutter
- 《反脆弱邊緣:反脆弱實踐》訪談
- 白宸—阿里雲資料庫專家,訪談問題有獎徵集(圖靈訪談)阿里資料庫圖靈
- MySQL 安全防護MySql
- 機器學習業務實踐之路-李博-專題視訊課程機器學習
- 案例|綠盟DAS助力某高校資料庫安全防護加固資料庫
- 為您介紹最佳的資料庫安全防護措施資料庫
- Istio技術與實踐6:Istio如何為服務提供安全防護能力
- 《J2EE 最佳實踐》作者訪談錄
- 四個保護資料安全的技術實踐
- 安全防護 守好家門 也談埠的開關(轉)
- 美團李凱揭祕資料庫發展三大趨勢 | TiDB Hackathon 評委訪談資料庫TiDB
- 《資料科學實戰》作者Cathy O'Neil訪談問題有獎徵集(圖靈訪談)資料科學圖靈
- Web安全防護(二)Web
- Oracle資料庫靜默安裝實踐Oracle資料庫
- 海雲安個人隱私資訊保安影響評估系統入個人資訊保護創新實踐案例
- 專訪澳鵬田小鵬博士:以AI資料服務,賦能各行業AI商業化程式AI行業
- 阿里巴巴雲原生應用安全防護實踐與 OpenKruise 的新領域阿里UI