回看过去二十余年,政府与企业的信息化程度不断加深,IT系统的复杂度与开放度随之提升;伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。
美国安全公司 Carbon Black 2017年发布的勒索软件调查报告显示,和去年相比,暗网经济中勒索软件的市场规模猛增了2502%。数据的安全问题,已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。
数据泄露路径多元化
过去的几年间,大型数据泄露事件层出不穷,几乎涵盖了所有行业,这其中不免存在媒体聚焦度提升带来的舆论转移,但究其根本是社会各界对于数据资产安全的关注度与日俱增。这一系列数据泄露事件的不断发生,正在倒逼政府主管机构和企业对数据安全建设重视与落实。
从不断发生的数据泄露事件来看,泄露途径既有***的***,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等;究其原因既有安全意识的薄弱,也有由于安全体系的老旧或安全策略的过时而导致的数据泄露。
这些复杂的泄露途径无一不在证明:传统网络安全中以抵御***为中心、以***为防御对象的策略和安全体系构建存在重大的安全缺陷,传统网络安全为中心需要向以数据为中心的安全策略转变。
数据安全相关法规和标准大爆发
安全事件层出不穷,企业资产和国家安全面临挑战,个人隐私大范围泄露,在数据高度发展的时代,这些都为社会的安定、个体自由与安全带来了巨大挑战。因此各国都相继出台了大量的法规,对个人、企业和国家重要数据进行保护。这里列出一些重要的法规包括:
我国在2016年出台,2017年6月1日正式生效的网络安全法,全称《×××网络安全法》。
欧盟在2015年出台,2018年5月正式生效的一般数据保护条例,全称为《General Data Protection Regulation》(简称GDPR)。
我国在2018年正式出台,5月1日正式生效,个人信息安全规范,GB/T 35273《信息安全技术 个人信息安全规范》。
我国已经在制定即将颁布的《数据出境管理办法》、《重要数据管理办法》、《×××密码法》等。
这些法律法规都将对企业和政府单位的IT安全策略制定和安全体系的架构产生重要影响;在这些法规中都将数据作为了最为重要的防护对象,提出了重要的安全要求;对于这些法规的遵守将影响企业的声誉、合规甚至存亡。
数据安全建设需要有系统化思维和建设框架
随着数据安全的重要度提升,用户在这个方向的投资也在增大,据KVB Research2017年大数据安全报告预测显示,大数据安全上2017年全球投资达到102亿美金,并且以17%的年复合增长率在扩大,到2023年将达到309亿美金,也就是2000亿人民币。
KVB Research在big data security上的市场预测
而在我国随着网络安全法的出台,数据资产价值得到确认,政府机构和企业在这个方向的投资也在加大,以数据审计、脱敏和加密为目标的数据安全投资正在成为采购的热点。
当前这些采购大多以单独产品采购为主,这些采购的发起部门也各不相同。大型的IT组织正在陷入疑问,数据安全的建设是否有系统化的方法?是否要沿用传统的网络安全的处理策略,通过边界防护和防止***的方式来进行数据保护?数据安全的责任主体,是由数据存储所在的部门、数据处理的业务部门还是负责对数据进行运维的部门负责?这些不同的产品之间彼此割裂还是具有联动性质?这些产品的应用上应该采用什么样的安全措施等等,疑问丛生。
这些疑虑非常正常,因为数据与业务系统的高度融入,数据如何被使用、数据的价值更被业务部门所识别;但是安全法规,又通常由单位或企业的安全或保密部门所负责;数据安全产品的采购和使用,需要系统化的方法,需要与数据处理的业务场景整合,既能保证数据使用行为不受影响,又能保证必要的安全措施能够得到保障。
数据安全治理的思路,正是这种将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。