"

亚慱体育app注册|首页拥有全球最顶尖的原生APP,每天为您提供千场精彩体育赛事,亚慱体育app注册|首页更有真人、彩票、电子老虎机、真人电子竞技游戏等多种娱乐方式选择,亚慱体育app注册|首页让您尽享娱乐、赛事投注等,且无后顾之忧!

"
400-675-9090

關于華途,誠信做事

聯系我們

中國軟件網報道 | 華途少帥謝永勝眼中的數據安全治理

[發布時間:2019/8/8 14:37:11]

專注于數據安全并不容易亚慱体育app注册|首页。這種壓力或許并不來源于技術上的突破或者產品的更迭,而是來源于生存的壓力。相對于傳統網絡層防護產品,數據安全的市場并不是很大,而且加密就已經占據了很大一部分。不管怎么樣,頂得住生存的壓力,忍得住數據安全的“寂寞”,這樣的公司就可以稱之為優秀。隨著《網絡安全法》、《數據安全管理辦法征求意見稿》的相繼發布,在數據安全這條路上跋涉了十二年的華途亚慱体育app注册|首页,眼看著風口越來越近。

(華途董事長謝永勝)

第二屆數據安全峰會上,華途董事長謝永勝提出了他眼中數據安全治理中的最關鍵的幾個環節,包括數據風險識別、數據資產發現、數據內容的機器學習與自動識別亚慱体育app注册|首页、敏感數據的訪問與權限控制、數據流轉的審計與分發管控以及行業的定制化開發這六點。

定制化開發比較容易理解,做企業級業務都會有這一步亚慱体育app注册|首页,談一談對其他五點的看法亚慱体育app注册|首页。

1

大數據時代數據本身發生了幾個非常明顯的變化:

第一,由小變大。大量的應用場景亚慱体育app注册|首页、大量的客戶以及合作伙伴都被連接起來,這個數據量的增長遠超人們的想象亚慱体育app注册|首页。甚至以前我們想都沒想到過的數據比如鼠標點擊頻率等,都可能成為輔助決策的關鍵亚慱体育app注册|首页。

第二,由靜變動。數據的計算、流轉、分發與交易是大數據時代最明顯的一個特征,有人說靜止的數據是負債,不僅不能產生價值還要耗費大量人力物力去保護它;流轉的數據才是資產,能給企業帶來源源不斷的收益。

第三,由簡單變復雜?;ヂ摼W的發展尤其是電商網絡、社交網絡、IoT亚慱体育app注册|首页、工業互聯網的崛起,大量的音頻、圖像以及視頻等非結構化數據涌入到了企業的視野中來。

數據量的增大、場景的增多,使得數據的存儲方式、計算方式以及交易方式發生了巨大的變化。數據可能存儲在本地的服務器,可能存儲在不同的公有云,會涉及到各種各樣的社交、電商、物流應用以及各種數據庫,企業可能根本就不知道我有哪些數據、我的數據都在哪里。搞清楚有哪些數據以及數據在哪里亚慱体育app注册|首页,是做數據安全的前提亚慱体育app注册|首页。所以亚慱体育app注册|首页,謝永勝把數據資產發現放在了一個很重要的位置上亚慱体育app注册|首页,我非常贊同。

更進一步,為了提升數據識別的自動化水平,謝永勝也提出了利用機器學習技術做內容識別亚慱体育app注册|首页。信息化建設的觸及階段,企業的核心數據大部分都是各類文檔,但是現在大量的非結構化數據涌入進來,給數據的分級分類工作帶來了很大的挑戰亚慱体育app注册|首页。從國內市場上來看,基于機器學習,把內容安全技術應用于DLP中,是大家通常的做法,其目的就在于可以實現敏感數據的分級保護、權限控制、安全審計等等多項工作。

2

數據的變化帶動了數據安全風險的變化亚慱体育app注册|首页,這個風險可以來自企業外部也可以來自企業內部;可以是技術上的,也可以是管理上的。

在過去ICT基礎設施還比較落后的時候,數據的價值很難體現在企業的日常運營過程中。所以過去我們保護數據的方法就是利用加密機把重要文檔加密存放起來亚慱体育app注册|首页,或者利用DLP配置一些規則,來阻止重要文檔的泄露。那個時候,企業其實很少考慮到風險識別的問題亚慱体育app注册|首页。

但后來伴隨著軟硬件技術的發展亚慱体育app注册|首页,我們引入了IaaS、引入了各類云存儲、Hadoop或者Spark大數據集群、各類開源數據庫等等,就是希望能利用這些工具,充分挖掘數據的價值。如前文所說,大數據時代最重要的一個變化是數據的流動,數據不僅僅會從一個部門流動到另外一個部門,還會從一家企業流動到另外一家企業,甚至還會涉及到數據跨境亚慱体育app注册|首页。這其中的風險將會比過去多得多。并且,這些新技術的引入必然帶來新的漏洞和新的攻擊方法。所以亚慱体育app注册|首页,謝永勝將風險識別放在了第一位,足以說明風險識別的重要程度。

(2019 第二屆數據安全峰會)

舉幾個比較火的例子。

第一亚慱体育app注册|首页,勒索病毒。勒索病毒可以簡單理解成為一種可以快速自我復制的加密軟件,但它絕對可以算的上是加密的“克星”。因為企業一旦感染亚慱体育app注册|首页,加密是沒有用的,勒索軟件可以對文檔進行二次加密。企業如果沒有做好相應的異地容災,那基本上只能祈禱對方在收到贖金之后能信守承諾了。在永恒之藍事件中,開放445端口就是一種風險,沒及時安裝微軟推送的補丁,也是一種風險亚慱体育app注册|首页。

第二,APT攻擊。當黑客利用魚叉郵件或者其他社會工程學的方法,成功入侵到企業內網并且控制了大量的特權賬號,那基本意味著企業內部的數據全部暴露在了黑客的眼前。今年亚慱体育app注册|首页,特權賬號的管理也上了Gartner的十大安全項目。

第三,來自企業內部和供應鏈企業的風險。實際上這一點是最容易被忽視的。員工利用既定權限非法訪問數據所帶來的風險,絲毫不亞于黑客攻擊。企業必須要知道正在訪問敏感數據的人是誰,你對數據都做了什么。

3


前兩個例子是屬于外部的攻擊亚慱体育app注册|首页。當然不論是什么類型的攻擊,都要利用到技術本身的漏洞。嚴格而言,漏洞的治理和網絡層、應用層的攻防并不屬于數據安全的范疇,但它卻給數據安全帶來了嚴重的威脅。

第三個例子主要說的是企業的內部風險。風險有很多種,比如員工通常都是在企業內網訪問數據,突然他的IP出現在了一個未知區域,或者該員工希望將數據下載到本地。出現這種情況,就有可能是該員工的賬戶被黑客入侵,也有可能是外部人員收買了該員工。

應付這種情況通常的做法是引入動態的訪問控制來取代過去的靜態口令,用比較時髦的說法就是零信任身份安全。其原理是系統通過行為識別技術來監測訪問行為,一旦監測到異常訪問,即通過多因子認證等方式來驗證訪問者的身份,并且需要對該用戶的訪問行為進行審計。2017年RSAC創新沙盒冠軍得主UnifyID就是身份安全的典型代表企業。

當然,來自供應鏈的風險同樣難以防范。除了針對供應商的權限管理以及訪問控制外,還會涉及到數據流轉過程中的脫敏、審計以及分發管控等等。

所以謝永勝就強調了解決數據安全問題,應該是網絡安全和數據安全共同融合,底層要解決外部的攻擊風險,做好網絡層與應用層的檢測與相應,另一方面要通過準入、訪問權限控制以及數據庫加密、數據庫脫敏,包括向數據庫、防火墻、數據庫審計、流量管理和網絡傳輸的安全,解決數據本身的安全。

最終,謝永勝是希望能夠做到數據安全的態勢感知,實現數據資產發現、風險識別、威脅防護以及追蹤溯源的閉環。

4

最后說一句。數據治理不僅僅是技術層面和管理層面的事情,還需要政策和法規方面的支持。美國的的cloud法案給了美國人在數據方面的“長臂管轄權”亚慱体育app注册|首页,GDPR規定了所有在歐盟開展生意的企業都要遵守這個規定。

目前,中國還沒有類似的法案。如謝永勝所說亚慱体育app注册|首页,作為數據安全的服務者和從業者來講,我們希望國家要加快推動數據安全相關法律和標準的推出,讓企業有體系化的思路、思維解決數據安全問題。

服務熱線

咨詢:400-675-9090

電話:0571-89988028

傳真:0571-89988028-8000

產品試用申請表

您的姓名
公司名稱
聯系方式  
Email
公司地址
需求描述

補充說明:
1亚慱体育app注册|首页、申請提交成功后,一個工作日之內將有專人與您聯系。
2、華途保證,您所提供的個人信息只用于我們為您提供您所申請的服務,并且用嚴格的技術手段加以保護,未經您的授權不向第三方提供,請放心填寫!