今年在數(shù)據(jù)安全領(lǐng)域發(fā)生了許多大事:6月10日《數(shù)據(jù)安全法》正式獲得通過,并將于2021年9月1日正式施行;網(wǎng)絡安全審查辦公室先后對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”啟動網(wǎng)絡安全審查;國家網(wǎng)信辦針對多款App違法違規(guī)收集使用個人信息先后進行通報等。
在安全合規(guī)趨緊的當下,企業(yè)加強數(shù)據(jù)安全能力建設已是勢所必然。
對于網(wǎng)絡安全特別是數(shù)據(jù)安全來說,2021年絕對是令人印象深刻的一年。雖然2021年剛剛過半,但在半年的時間里關(guān)于網(wǎng)絡安全發(fā)生了許多的大事。
特別是近期關(guān)于數(shù)據(jù)安全的一系列熱門事件成為社會廣泛關(guān)注的焦點。
數(shù)據(jù)安全再成焦點
數(shù)字時代下,數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟發(fā)展的核心生產(chǎn)要素。隨著數(shù)據(jù)價值的不斷提升,來自數(shù)據(jù)安全的風險也與日俱增,數(shù)據(jù)安全已成為國家社會發(fā)展的重要課題。
賽迪智庫網(wǎng)絡安全研究所發(fā)布的《數(shù)據(jù)安全治理白皮書》指出,我國數(shù)據(jù)安全面臨七大挑戰(zhàn):
數(shù)據(jù)販賣嚴重侵害個人隱私;數(shù)據(jù)跨境流動帶來國家安全隱患;高價值特殊敏感數(shù)據(jù)泄露風險加??;重要數(shù)據(jù)安全面臨外來攻擊威脅加大;新技術(shù)新應用催生新型數(shù)據(jù)安全風險;互聯(lián)網(wǎng)平臺企業(yè)濫采濫用個人信息并實施數(shù)據(jù)壟斷;國際數(shù)據(jù)規(guī)則制定話語權(quán)與我國互聯(lián)網(wǎng)應用領(lǐng)先地位嚴重不匹配。
由此可以看出,從個人、企業(yè)、社會乃至國家層面,數(shù)據(jù)安全帶來的嚴峻挑戰(zhàn)是全方位的,也是最為緊迫的問題之一。
數(shù)據(jù)安全就是企業(yè)生命線
6月10日正式通過的《數(shù)據(jù)安全法》從數(shù)據(jù)安全與發(fā)展、安全制度、安全保護義務、政務數(shù)據(jù)安全與開放四大領(lǐng)域?qū)?shù)據(jù)安全提出了具體要求,明確了開展數(shù)據(jù)活動的組織、個人的數(shù)據(jù)安全保護義務,落實數(shù)據(jù)安全保護責任,同時也加大了對違法的處罰力度。
數(shù)據(jù)無處不在,來自數(shù)據(jù)安全的威脅也是無處不在。對于企業(yè)而言,因數(shù)據(jù)泄露導致的損失越來越成為企業(yè)難以承受之重。
IBM發(fā)布的《2020年數(shù)據(jù)泄露成本報告》顯示,數(shù)據(jù)泄露事件給企業(yè)造成的平均成本為386萬美元,而其中員工賬戶遭受攻擊是最昂貴的原因。
越是安全防護能力薄弱的企業(yè),對安全風險和攻擊行為的發(fā)現(xiàn)時間越久,等到發(fā)現(xiàn)網(wǎng)絡攻擊并帶來潛在的數(shù)據(jù)泄露問題時已經(jīng)為時已晚了。
為避免來自網(wǎng)絡攻擊導致的數(shù)據(jù)泄露風險,企業(yè)需要做到快速識別即將發(fā)生的安全風險。一般來說如果有以下情況,企業(yè)需要提高警惕:
出現(xiàn)異常登錄活動;出現(xiàn)異常的文件和數(shù)據(jù)庫的更改操作;出現(xiàn)可疑或未知的文件;帳戶和或憑據(jù)被異常鎖定或更改;安全投入過少,對敏感數(shù)據(jù)的保護力度不夠;異常管理活動;網(wǎng)絡速率莫名降低,資源占用突然增大等。
當然,以上只是遭遇網(wǎng)絡攻擊的基本表象。在應對網(wǎng)絡威脅時,快速發(fā)現(xiàn)和識別風險,及時響應威脅,是企業(yè)防范網(wǎng)絡攻擊的有效方法。
加強數(shù)據(jù)安全能力建設
合規(guī)是前提,落地是關(guān)鍵
在國內(nèi),《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、等保2.0等法律法規(guī)規(guī)定了組織對網(wǎng)絡安全特別是數(shù)據(jù)安全的保護義務。因此,不管是出于合規(guī)的要求,還是企業(yè)自身安全建設的需要,加強對數(shù)據(jù)安全能力的建設已成企業(yè)當務之急。
另一方面,隨著歐盟出臺《通用數(shù)據(jù)保護條例》(GDPR)以來,世界范圍內(nèi)各個國家或地區(qū)針對數(shù)據(jù)安全的管控日趨嚴格,相關(guān)法律法規(guī)不斷出臺。
確保數(shù)據(jù)跨境流動下的數(shù)據(jù)安全合規(guī)問題同樣成為跨國企業(yè)無法繞開的重要課題。
對此,賽迪智庫網(wǎng)絡安全研究所在《數(shù)據(jù)安全治理白皮書》中提出建議:
鼓勵企業(yè)運用技術(shù)手段強化數(shù)據(jù)安全治理。鼓勵企業(yè)開展區(qū)塊鏈、隱私計算等數(shù)據(jù)安全保障技術(shù)的研究,提高技術(shù)成果轉(zhuǎn)化率,切實保護用戶數(shù)據(jù)安全。
建立企業(yè)數(shù)據(jù)安全能力成熟度評估制度。通過明確不同類型的數(shù)據(jù)安全能力成熟度要求,推動企業(yè)建立與數(shù)據(jù)類型和規(guī)模相匹配的數(shù)據(jù)安保能力,實現(xiàn)業(yè)務競爭力與安全的正向掛鉤,并組織開展數(shù)據(jù)安全能力成熟度評估。
建立企業(yè)數(shù)據(jù)流向監(jiān)管制度。鼓勵企業(yè)開發(fā)、使用追蹤數(shù)據(jù)使用情況及流向的工具,明晰數(shù)據(jù)用途,配合國家開展數(shù)據(jù)資源使用情況追蹤調(diào)查。
而從技術(shù)層面開展數(shù)據(jù)安全防護,關(guān)鍵在落地。
在安全技術(shù)手段方面,可以通過采用假名等技術(shù)措施,即以無法用于識別個人身份的方式存儲和處理數(shù)據(jù)。
加密是最重要的技術(shù)解決方案之一,當然加密技術(shù)有強弱之分,若要確保盡可能安全的程度,還需要確保采用最新加密技術(shù),并與其他多種驗證方式相結(jié)合。
使用機密計算可以進一步加強合規(guī)性。該技術(shù)通過使用基于硬件的完全隔離的可信執(zhí)行環(huán)境來保護數(shù)據(jù)在運行時的完整性、機密性和可用性,即使基礎(chǔ)設施遭到破壞,數(shù)據(jù)也能夠保持安全。
當下火熱的零信任理念也成為解決數(shù)據(jù)安全問題的新思路,零信任以“持續(xù)驗證,永不信任”為理念,通過與其他相關(guān)安全技術(shù)相結(jié)合,近年來在多種應用場景得到了許多成功的落地實踐。
深信服首席數(shù)據(jù)安全專家訾然表示,對于企業(yè)而言,當下首先要解決的事情明確數(shù)據(jù)處理活動概覽和數(shù)據(jù)安全合規(guī)要求、梳理數(shù)據(jù)資產(chǎn),形成重要數(shù)據(jù)保護目錄、重要數(shù)據(jù)保護和監(jiān)控。
深信服通過以數(shù)據(jù)為中心,圍繞數(shù)據(jù)生命周期全過程,融合技術(shù)、管理和運營,打造涵蓋“云、網(wǎng)、端”的時空一體化動態(tài)安全防護體系,確保數(shù)據(jù)流轉(zhuǎn)全過程持續(xù)處于有效保護、合法利用的狀態(tài),保障數(shù)據(jù)安全釋放價值。
奇安信集團副總裁韓永剛認為,《數(shù)據(jù)安全法》給安全行業(yè)帶來了空前機遇,也給企業(yè)帶來更高要求。
安全企業(yè)需為客戶盡快開展數(shù)據(jù)安全治理和建立數(shù)據(jù)安全保護體系,尤其在身份安全、零信任、行為審計、數(shù)據(jù)敏感地圖等領(lǐng)域加速技術(shù)創(chuàng)新。為此,奇安信推出精準防護、基于數(shù)據(jù)流轉(zhuǎn)的安全保護、數(shù)據(jù)安全態(tài)勢感知、數(shù)據(jù)要素數(shù)據(jù)交易安全等幾大關(guān)鍵舉措。
安全與發(fā)展是一體之兩翼,驅(qū)動之兩輪,在做好數(shù)據(jù)利用的同時確保數(shù)據(jù)安全,平衡好二者關(guān)系亦是如此。
《數(shù)據(jù)安全法》的正式發(fā)布,為數(shù)字經(jīng)濟的安全健康發(fā)展提供了有力的制度支撐,我國數(shù)據(jù)安全迎來新的發(fā)展良機。
對于企業(yè)而言,這是挑戰(zhàn)更是機遇,各行業(yè)企業(yè)要在滿足安全合規(guī)的前提下,不斷加強自身數(shù)據(jù)安全能力建設,迎接暴風驟雨后的晴天。