无边界网络时代数据安全如何做到无懈可击
2022-05-30侯彬炳
侯彬炳
这两年,国家对安全合规的要求越来越高,对于掌握大量用户信息的企业来说,必须严格按照相关要求,进行分级分类保护,在法律框架规范内进行数据共享、使用和传输。
那么,国家为什么要狠抓网络安全,尤其特别重视数据安全?
“这都是数字化转型带来的结果,不仅是中国,在全世界,各个行业都把安全看成是数字经济发展的基石。”中国信息协会信息安全专委会副主任李京春认为,数据成为新动能,是重要的生产要素,相应的法律法规必须与时俱进,才能进一步规范和推动数据要素市场的培育和数据产业链的形成。
前不久,2022数据安全技术大会暨中国信息协会信息安全专业委员会年会在北京成功召开。在北京市通信管理局和北京经济技术开发区管委会指导下,本次大会由中国信息协会信息安全专业委员会主办,由中国信息协会信息安全专业委员会数据安全技术工作部和北京天空卫士网络安全技术有限公司联合承办,逾3 000家企业线上参与,嘉宾、用户、厂商以“线上+线下”的方式奏响数据安全最强音。会议期间,李京春李主任发表了重要讲话,并就数据安全相关话题接受了专业媒体采访。
无规矩不成方圆
如今,不管是国家,还是企业,都把数据看成是黄金、石油,如果不加以治理,难免会出现负面影响,甚至是重大损失。在李京春看来,有些企业在利益的驱使下,非常有可能会冲破道德底线,掠夺数据,或者去窃取数据。所以,数据不再是简单的原始数据的一次性使用,一定要在满足数据安全需求的前提下,进行数据积累、数据治理以及数据使用。
目前,从行业数据安全整体现状来看,还处于初级阶段。虽然,我国数字经济发展很快,也取得了很多可喜的成绩,但许多行业、个人信息保护和数据安全保护的整体能力仍然处在保护不规范、不充分、不全面、不彻底的状态,亟待加强合规性、安全性、完整性、可用性、可控性的保护和数据安全治理。而《网络安全法》《数据安全法》《个人信息保护法》相继实施,等于有了与需求相配套的可操作、可落地的基础标准规范,通过一些试点、示范案例来落实法律法规要求,可以形成符合全社会、全行业利益的数据安全治理制度与体系。
另外,国际环境复杂多变,网络安全已不是每家企业、每个人的事,而是已上升为国家战略,必须全面加强安全保护。同时,网络安全不但要保护数据和信息本身,也要关注数据和信息访问的主体和客体的安全。比如人、社会、程序,谁能访问数据,哪个设备能读取数据,哪个程序能启动数据等,这些都需要有身份认证,这是主体安全。而承载数据和信息的客体是什么?这需要关注承载客体的安全,小到内存、文件,大到系统、平台,这些都是客体。
值得一提的是,网络安全不只网络本身,而是网络空间安全,更具体的定义是信息安全,其中涵盖了数据安全。随着互联网边界的扩展,传统的信息安全概念也变小了,所以有人提出全面的网络安全应该覆盖到网络空间、赛博空间的安全。所以,今天的网络安全是一个大IT网络概念,除了传统网络,还包括声、光、电、磁及其他类型的网络数据传输。比如,对声波传输的反窃听,电力载波的对抗,都是现代化的网络战最典型特征。涉及到数据层面,除了计算机的数据、互联网的数据,未来还有元宇宙数据。在物理世界跟虚拟世界互通、互操作过程中产生的数据,也是数据安全保护的核心内容。
简单理解,数据和信息安全保护,并不是一个新课题,数据治理只是数据全生命周期中的基础性工作。但时代不同,数据安全保护策略也在变革,必须采用与之匹配的法律体系和更先进的技术,满足新应用发展需求。但现在看,数据安全保护任重道远,还不够充分、全面、规范、彻底。相信随着法律法规的完善以及各种新技术、新手段的出现,这种境遇会逐步改善!
数据安全处理自动化
对于有着大量个人信息的企业来说,要想合理合法运营业务,必须提升数据安全意识,构建以人和数据为中心的安全架构。
“公司从2015年成立就一直深耕数据安全领域,提倡以人为中心构建数据安全体系。”在天空卫士合伙人兼高级技术总监杨明非看来,要想对数据进行有效管理和分类,需要采用自动化的手段,解决负责的业务场景和流程问题。
天空卫士最新发布的多维度数据防泄露解决方案,最典型特征就是自动化理念,具体包括数据分类分级的自动化、数据安全处理的自动化,以及应用场景层面的行为分析自动化。
第一,数据分类分级的自动化。是指围绕数据分类分级,对不同价值的数据采取不同的保护方式和手段,并且通过自动化手段去简化复杂流程,通过发现、扫描等方式,对相应的数据进行聚类,然后输出聚类的特征,或者给出一些自动分类分级的建议,整个过程都在自动化的平台上完成。不管企业的数据是在数据库、文件存储,还是在个人终端电脑上,都可以在尽量少的人工参与的情况下,完成对数据分类分级的识别。
第二,数据安全处理的自动化。可以在数据全生命周期进行,包括从数据创建开始,到后期的存储、使用和传输,用户可以对数据进行标记、权限设置、审计动作,还可以进行可视化管理,了解数据的最终流向。用户能在各个网络节点、个人终端节点,包括一些关键的业务节点,捕获或者分析数据。
第三,应用场景层面的行为分析自动化。要想做到以人为中心,以数据为中心,就需要对人的行为进行分析,去处理问题。通过人工智能技术,用户可以在正常事件中找到潜在的异常点。
当然,安全问题是一个综合型的问题,我们不能“头疼医头、脚疼医脚”,在网络、终端、云这种无边界的网络环境下,数据安全风险无处不在。不管公司数据、个人数据还是国家数据,可能在不经意间,就通过手机、电脑、iPad或者通过云端泄露出去。
所以,天空卫士的处理模式是采用统一的、成体系化的数据安全策略,包括数据分类分级的识别,分类分级的保护,数据的加密、脱敏、标签,围绕数据形成一个保护层,这是第一层。在这个保护层之上,是数据的通路层,包括外部访问入口、邮件、手机、终端等应用的整个体系,不管数据来自哪个通路,都可以进行流量的截获或者处理,这是第二层。在最外层,再形成一个网络安全威胁保护层,阻止对数据可能会产生危害的病毒、木马、恶意链接的侵入,包括对各种各样的APT攻击、钓鱼或者垃圾邮件的有效拦截。通过3层立体式防护,可以全面确保数据安全。
其中,统一管控平台将发挥重要价值,可以对所有通路和数据安全设备统一下发策略,并根据行为分析技术,把中间的数据安全通路产生的数据进行一个完整的行为分析,发现可能潜在的风险和威胁。
以智能汽车场景为例,在汽车网联化、自动化、智能化的趋势下,汽车网络安全、数据安全已成为汽车交通安全的重要延伸,跟交通安全相伴相随,密不可分。除了关注传统汽车领域涉及的交通安全、驾驶安全、人身安全等问题,如何全面关注车端网络安全、数据安全?
“车企需要提高网络安全和数据安全意识,加强网络安全和数据安全合规管理,确保合规采集、使用、存储车辆数据。严格保护用户隐私数据,平衡数据流通与泄露风险,使智能网联汽车产业能健康快速发展。”正如李京春李主任在汽车分论坛所言,守护智能汽车数据安全不只是车企的责任,更需要多方主體共同发力,让数据能流转起来,共享起来,应用起来。通过海量数据处理,能够帮助车企有效分析驾乘人员的使用习惯,进而及时安全提醒辅助驾驶,不断更新迭代新功能,打造出更多、更完美的新产品。
总之,安全无小事,只有做到数据安全的无懈可击,才能充分发挥数据价值,享受数字化转型带来的成果。