《中智观察》第1606篇推送
作者:雨涵
编辑:小瑞瑞
头图来源:摄图网
2021年7月,滴滴因存在严重违法违规收集使用个人信息问题,被多部门进驻联合审查引发热议;去年8月,阿里云用户注册信息泄露事件备受关注;同年9月,小鹏汽车擅自采集上传43万张人脸照片,被罚10万元……
这些被曝光的数据泄露事件或许只是冰山一角。
根据《2021 Data Breach Report》数据显示,2021年共记录了全球1862起数据泄露事件,刷新了2020年(1108起)的最高记录。
如今,数据作为数字经济时代的重要生产要素,在不断改变人们生活和交往方式的同时,也深刻影响人们的行为和思考方式以及价值观念和道德观念,并带来了潜在风险。
对于企业来说,目前的数据安全发展现状如何?企业该怎么样做好数据安全防护?未来的数据安全市场又会面临哪些机遇和挑战……
为此,中国软件网于近期采访了奇安信科技集团股份有限公司(以下简称“奇安信”)、广东道一信息技术股份有限公司(以下简称“道一云”)、杭州世平信息科技有限公司(以下简称“世平信息”)三家企业,分享了他们对于数据安全的理解,以及在数据安全防护方面的一些经验。
‖现状之困
随着5G、大数据等新技术的发展和应用,各类数据迅猛增长、海量聚集。在数据资源的不断累积的同时,如何完善数据基础制度,以顶层设计统筹数据资源,让数据持续发挥其应有的价值显得尤为重要。
奇安信向中国软件网表示,如今的网络安全、数据安全已经不仅仅是查缺补漏的工具,而是一个社会发展的前提,数据安全领域更需要一个全新的系统工程的方法论进行解构。企业目前面临的技术性挑战,不单纯是黑客、漏洞和攻防问题,更多涉及的是数据共享、交易、流通中的安全问题。因此随着隐私计算、零信任体系、身份治理等方面新技术的发展和完善,包括主客体之间的访问关系等问题将会被解决,实现实体防护之间的跃迁。
“目前我国to B企业在数据安全领域,基本从零开始,安全意识刚刚起步,整体还处于启动规划阶段。” 世平信息认为,在当前阶段,数据安全治理中的数据安全管理、分类分级产品服务和数据安全方案规划,是现阶段首先开展的数据安全工作。目前国内数据安全企业规模较小、产品单一。传统的网络安全厂商虽然规模较大,但在数据安全领域投入较少,提供的方案中大多以网络安全产品方案为主。
虽然在数字化浪潮的推动下,企业开启了数字化管理模式。尤其是一些大型SaaS企业不仅具有专业化的IT团队,能够提供顶尖的数据安全服务,但值得关注的是,在高速发展的SaaS行业,鱼龙混杂的安全问题依然日益凸显。
“由于SaaS服务模式的特殊性,用户数据是集中存放并由厂商统一管理。由于不同的SaaS企业管理和技术参差不齐,行业内存在安全事件和数据泄露的可能性。”道一云认为,目前行业现状存在三个方面的问题,第一,从行业看,数据安全风险加剧,平台更易成为攻击目标,存在引发数据泄露的风险较高。第二,虽然国家相继发布了《数据安全法》《个人信息保护法》等法律法规,但针对SaaS领域数据安全的管理体系还不健全。数据所有权、使用权、管理权等权益没有被相关的法律明确界定和完全保护。第三,一些企业对于数据安全治理需求不明晰、治理主流措施不成熟,统一的数据安全防护技术适用性不足,缺乏关键的技术产品。
‖经验之谈
近年来,企业在为各行业提供服务的同时,也收集了大量数据。这些数据一旦泄露,势必将造成重大的影响和后果。在大数据时代,企业该如何保护数据安全,三家受访企业也基于各自的经验给出了答案。
奇安信凭借持续的研发创新和以实战攻防为核心的安全能力,介绍了自己的三大经验。首先是要建立体系化技术。以能力为导向,奇安信推出内生安全框架和数据安全能力框架,体系化地构建安全能力。其次是持续进行规划。在能力框架作为理论的前提下,依赖国家对于网络安全的规划,帮助客户“解锁”安全能力。再次是加大对研发的投入。目前奇安信投入了营收的40%,用于研发和创新。
(奇安信数据安全运行构想图)
作为一家服务过1500万用户的SaaS企业,道一云对数据安全的重视程度很高。“我们每年都会申请第三方权威机构进行国家信息安全等级保护三级认证的测评,防止服务和应用安全漏洞等外在威胁。道一云也在不断更新自身技术框架和第三方开源框架版本,主动发现安全问题并提供安全补丁更新。
成立于2010年的世平信息基于在数据安全合规管控市场的经验,以数据为中心由内向外层次设防,构建了与传统网络安全互补的五层数据安全体系,即D 数据资产管理、C 合规与风险管理、T 靶向数据监控、I 智能数据防护和I 综合安全措施。在主营业务和产品方面,世平信息提供的数据安全产品系列、数据安全管控平台和数据安全治理服务相关产品已在政府、保密、军工、金融、教育、医疗、制造等行业得到广泛应用。此外,世平信息的数据安全合规管控平台、数据数据卫士-数据脱敏系统、安全合规检测工具、业内首创数据安全API网关等,在服务政企客户的同时,也深入数据和业务流程及风险场景,全方位满足合规性和内生性数据安全需求。
‖上云之见
如今,随着云计算的不断普及,企业上云已然成为趋势。一旦选择上云,作为企业核心资产的数据也会随之转移到云端,企业的安全担忧随之而来。上云是否成为解决数据安全的最好途径?
奇安信认为,上云与否需要根据企业具体的业务进行权衡。“网络安全没有最好的解决方案,只有最合适的解决方案。对一个组织而言,最贴合业务的解决方案就是最合适的。”
数据加密能力和解密能力是云上数据安全的重要体现。自2015年就已经全力拥抱云服务的道一云表示,阿里、腾讯等云服务商采取了包括防DDos、入侵检测、病毒查杀、应用防火墙等在内的诸多防护措施,并依托用户体量和海量资金投入,采购安全设备,吸引顶级安全人才,能够为数据安全保驾护航。
“上云无法解决数据安全问题”,世平信息强调,上云无法转移保障数据安全的责任,上云后用户仍然需要承担保障数据安全的责任。
针对上云的客户,世平信息提供了一整套的数据安全合规防护管控方案,帮助用户提升数据安全风险管控、数据价值保护与数据安全态势感知能力。在数据安全合规管控方面,世平信息针对云端大数据保密合规管控,也做了大量的实践。对政务集约化网站、统建应用的数据安全保密合规,在多省部署实施了数据安全保密合规管控平台的项目,识别分析违规存储、违规流转的敏感信息,并进行统一分析展示。
‖未来之势
根据公开数据显示,全球数据治理市场在2021年达到17.8亿美元,预估在2027年将达到48.1亿美元。全球范围内日益严峻的网络安全问题,企业收集数据后的保管和使用都使得数据安全风险增大,这对数据安全的技术创新能力也提出了新的要求。
奇安信从技术角度提到,隐私计算将成为解决数据利用和安全性的重要途径。以奇安信推出的“数据交易沙箱”为例,基于“数据不动程序动”、“数据可用不可见”的安全理念,采用调试环境与运行环境隔离的技术来解决数据流通交易过程中的数据隐私安全问题。该技术通过构建一个可信计算环境,使得外部程序可以在该平台上进行执行。这样,既可以使用外部程序对数据进行加工处理,也可以保障数据的安全。
世平信息预测,数据安全合规管控、数据安全泄露防护、数据安全治理服务将成为未来发展的方向。随着数据安全市场的快速发展,也给数据安全厂商带来了发展机遇。“数据安全是一个同应用和数据紧耦合的技术手段,只有行业化解决方案及行业化数据安全策略才能数据安全有效落地,深耕行业是数据安全厂商的必由之路。”
对于数据安全的未来发展趋势,道一云认为,随着各行业数字化的发展,关于数据安全法规和政策体系将不断健全完善,数据权属、交易模式等将随着探索上升到制度层面,推动行业自律。同时,随着数据量的不断增多,以及大数据技术的发展和完善,数据中蕴含的价值量快速提升,数据对于工业互联网的发展和产业链协同创新均有重要作用,数据安全防护的重要性将日益凸显,数据安全保护市场前景广阔。
为此,道一云认为从国家层面看,需要从法规上加快不同行业领域数据安全保护,需要建立国家级分布式网络安全大脑,提升网络攻击协同预警能力;建设网络安全基础设施体系,提升网络安全服务能力;建立“可用不可见”的数据流通共享新模式。从企业层面看,在深刻认识到数据安全保护重要性的同时,建立本地化运营团队,构建大数据安全系统,展开数据长期的分析和提炼,包括数据生产、采集、分析、应用开发,把大数据分析能力赋能给各层面人员做决策支持。
此外,在谈到数据共建的问题时,道一云表示,数据共建在当前的数据化浪潮中有一定的优越性,通过开放数据共建生态,对海量的数据分析每年能在全球行业内激发多达万亿级别的经济价值,从而达成产业共赢的目的。在这个大背景下,道一云倡导企业应该积极融入到数据共建的生态圈中,为企业和客户的信息安全发挥价值。
“数据共建的目的是完成数据交易,盘活数据资产,挖掘数据价值,打造数据交易生态。”世平信息认为,目前各地都在探索数据交易的法律法规,遇到的核心难点是数据确权和数据估值,涉及到数据主体同意权和撤回同意权,在数据共建的过程中,“数据平台”要具备预警机制,并同时具备数据发现和及时进行处置的能力。
扫码报名参会/进群
扫码报名参会/进群
发布时间:2022.04.08
联系我们:13811945312