随着数字经济的发展,“连接—在线—数据”将是数字社会的永恒主题。连接和在线的结果是所有人类行为和经济活动数据化,数据既是过去人类行为的结果,也是预测未来人类行为的基础。 于是,打车公司会收集用户出行数据 ,音乐公司收集用户听音乐的习惯数据,搜索引擎收集用户搜索数据,移动支付厂商收集用户的支付数据等等。
数据这种资源和其他资源最大的区别在于, 它具有非竞争性(Nonrivalry) ,可以无限复制重复使用。非竞争性一方面意味着相比于传统的竞争性物质资本,数据资产能给社会带来更多的经济价值,但一方面也产生了大量的隐私问题。数据里面含有大量用户的敏感信息,导致在数据交换的时候,还有道德和法律风险。因此,在现代社会中,别说公司和公司之间, 就算是同一个公司的不同部门,在交换数据的时候也是格外的小心谨慎。不同公司之间建立在共享数据的前提下的合作,往往是很难达成的。很多企业在数字化转型的过程中,面对数据安全相关的诸多法律,和执行标准,都难以适从,想要满足数据安全要求也无从下手。
而且,建立数据安全的价值效益并不明显,除了避免被罚款以外,获得客户的信任度以外,很难在经营层面创造价值,使得数据安全的并不会努力推行,也没有深入去整合。
根本原因在于,很多企业法律内控部门只是依照法律来进行公司内部不同流程和对象的设计控制,但是这些仅仅停留在对于法律条文的字面解读和满足。而企业的IT 技术团队建设,仅从实用的角度来考虑工具或者技术算法,使得法务和技术两边并没有结合在一起,是两张皮在运行,使得安全整体管控无法进行下去。
传统上一般的公司在IT层面基本都做过安全治理相关的内容,即建设了基础安全设施,并搭建了安全组织,对于IT的设施和系统也进行了相应的安全技术完善。但是在数字化转型过程中,则更需要考虑的是以数据和产品视角,以用户为中心的安全管理体系,来满足数据安全相关法律法规的管控和隐私要求。
在企业数字化转型过程中,数据从收集到提取,转换,加载,分析,流动等过程中,都面临着安全风险,主要有以下几个方面:
1、数据流动的风险。数字化转型带来了大量数据的共享交换,各系统之间、各部门之间、内部与外部之间、甚至于各行业之间,这些数据的流动在带来巨大价值的同时,也带来了极大的安全风险,企业对于流动中数据的控制力会越来越弱。
2、数据资产不明确。企业数字化转型伴随着的是大量的系统应用及网络中流动的大量数据,只有知道你有什么,才能针对它们去做管理、做分类分级、安全防护。如果连这些都不明确,无疑是一个非常大的安全隐患。
3、安全事件追溯取证困难。在发生安全事件后,企业需要马上进行事件的调查回溯,要知道是谁泄露的及事故发生的整个过程,避免事件的二次发生以及责任的界定和追责去责。
4、用户违规的风险。近年来,由于内部用户所造成的数据泄露事件层出不穷,并且据威瑞森发布的《2021年数据泄露调查报告》中显示85%的数据泄露与人为因素有关。这都在说明着内部威胁已然成为了攻破企业安全防线的大敌。
企业如何有效保护数据的安全
1、持续风险评估。从数据资产价值的维度,评估不同敏感级别数据的访问频度和风险,数据脱敏级别风险,数据传输风险,数据流向合规风险等多个方面和场景,根据风险评估结果,输出风险评估报告。
2、数据发现、分类分级。通过自动化的方式持续不间断的从网络流量中还原文件和敏感字段,并且进行深度内容扫描,同时基于我们内置与自定义的规则,自动进行数据的分类及敏感级别的划分。使用户能够在任何时候都可以非常清晰的看到网络中流动的数据,都是什么样的构成,什么样的类型。
3、预警、告警、溯源。通过持续采集和处理网络流量,评估事件在上下文环境中是否有异常行为,以及异常的程度,排序事件的重要性及可能的对业务影响,并对高风险用户及实体进行事前预警、事中告警、事后溯源。
4、持续优化改善。数据安全治理是一个长期过程,通过自动化数据发现,持续更新和统计数据资产;定期的风险评估,适应业务和环境的变化,发现潜在的风险和漏洞;持续监控检测,保证数据的无遗漏,全面监测各种行为;预警、告警和溯源,高效及时处理和响应安全事件,也为防御策略和体系优化提供非常有价值的参考,随着这个闭环过程持续不断的进行下去,才能保护好数据,用好数据。
5、持续监控检测。7×24小时不间断的进行监测,以数据为核心,发现和识别数据,监测数据流转过程、检测数据敏感级别等;用户监测和审计,全面监测用户行为,账号的活动时间、访问业务情况、数据敏感级别等,具体数据操作行为,发现数据风险和用户违规行为。
数据安全解决方案有些哪些关键点?
数据安全解决方案主要包括数据识别(数据分类分级)、数据审计(包括 API 层面)、数据防护、数据共享、身份认证、加密等子方向。这些子方向常用的技术方法:
① 数据识别:自然语言处理(NLP)、图像识别、知识图谱(KG)等。
② 数据审计:用户异常行为分析(UEBA)、全链路分析。
③ 数据防护:脱敏算法、水印算法、网络 DLP、终端 DLP、隐私计算。
④ 身份认证:IAM、零信任、堡垒机。
⑤ 加密:透明加密、公钥基础设施 PKI。
常用的技术选型:
① 数据识别:ip+ 端口主动扫描,拆词归类。
② 数据审计:agent 流量解析、网络流量解析。
③ 数据防护:脱敏(遮盖、替换、加密、hash 等)、水印(伪行、伪列、空格)、网络 DLP(解析 SMTP、HTTP、FTP、SMB 等)。
④ 身份认证:临时口令、多因素认证等。
⑤ 加密:密钥管理服务、数字认证服务、密码计算服务、时间戳服务、硬件安全服务。
核心技术环节:
① 高效率的数据分类分级,谓词切分与语义识别技术。
② 全链路测绘+风险监测。
③ 同态加密、多方计算、联邦学习、隐私求交等。
数据安全的核心挑战:
数据是流动的,挑战就是要解决数据流动和数据安全天然存在的矛盾。这个和网络安全里常用的暴露面收敛的思路是完全不一样的。
DSMM 成熟度模型里定义的采集、传输、存储、处理、交换、销毁都涉及。数据安全治理优先解决数据采集、数据存储、数据处理场景下的安全。
数据安全前沿趋势:
① 数据分类分级和数据血缘的关联。
② 全链路数据分析,有两个难点:如何将端、应用、数据资产三个层面的信息进行关联分析;如何测绘出数据流转,并从数据流转中发现风险。
③ 隐私计算。指在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合,达到对数据“可用、不可见”的目的,实现数据价值的转化和释放。