热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

干货|方兴:以风险为基础的数据安全持续治理体系

6月20日,主题为“数据安全风险治理”的思享会在清数D-LAB成功举办,本期思享会由清数大数据产业联盟和清华校友总会AI大数据专委会共同主办࿰

640?wx_fmt=png


6月20日,主题为“数据安全风险治理”的思享会在清数D-LAB成功举办,本期思享会由清数大数据产业联盟和清华校友总会AI大数据专委会共同主办,邀请知名网络安全专家、全知科技CEO方兴作 “DT时代的数据安全体系”的主题分享,介绍了数据安全的特性及面临的挑战,当前数据安全解决方案的一些探索,详细阐述了以风险为基础的数据安全持续治理体系,同时与现场来自来自百度、字节跳动、京东金融、中国信息化协会人工智能分会、中国疾病预防控制中心等各行业头部企业单位的数据安全治理从业者进行了互动交流。


方兴是知名网络安全专家,历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全专家、翰海源CEO、阿里巴巴资深安全专家。2003年世界首发MS03-026漏洞(冲击波使用漏洞)细节,引发全球安全体系变革,2004年世界第一个发布WINDOWS内核溢出远程利用技术,最早的漏洞自动化挖掘研究者,第一个BLUEHAT中国演讲者,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。连续创业者,2010年联合创立翰海源,2015年翰海源被阿里巴巴全资收购,2017年创立全知科技。


640?wx_fmt=jpeg

知名网络安全专家、全知科技CEO方兴做主题分享

 

数据安全深层剖析


随着大数据技术的发展,互联网产业迎来了从IT时代到DT时代的转变,数据资源化价值凸显,方兴老师表示IT时代通过对信息的客观分析,提取知识,推理价值情报,而在DT时代数据由信息的载体变革为生产知识和情报的生产资料,通过数据的流通,链接流程以及通过对数据的二次加工,创造更大的价值。


数字化转型的核心是企业具备数据业务化能力,而数据的业务化是未来企业竞争的最核心的能力来源之一,也就是说每个行业活得好的企业,都会逐步形成跨系统甚至跨组织的数据流动,通过这些数据流动改进自己的生产营销组织管理客户体验各个环节获得增值,但对数据在多个系统和环节、组织的生产过程中的管理和风险控制变得越来越重要。


企业价值链决定了企业在安全投入上的比重。可以评估一下大型工业化企业在通用的业务安全、生产安全、资产安全上的投入,以及负责人员的职责权利角度,可以了解到对企业而言,保护业务和生产安全的需求远大于资产安全的需求。对于资产安全企业的投入度〈资产价值*风险概率,对于低概率或低价值资产,企业投入意愿很低。而对于业务安全,由于业务的循环往复,风险概率会大很多。而业务影响不仅是当期价值,还有未来预期的价值。生成安全影响的不仅是自身生成资料的价值,还有关联生产系统和业务的价值。未来从合规角度,政府更多关注企业给第三方和国家带来的风险而非企业自身的损失。


企业在“IT体系“的资产价值维度的投入虽然是最容易被认知和最早产生需求的,但随企业业务的互联网化和企业数字化转型发展,企业逐步会加大在“IT体系”的业务安全维度和生产安全(数据安全是最主要的维度)的投入。


数据安全挑战

 

大数据安全的重点是流动数据的安全,建设数据为中心的数据安全体系本质是适应数据作为生产资料的流动性,而流动数据安全的本质是从资产安全到生产安全。虽然在这个过程中许多数据已经进行了脱敏处理,但是数据的典型特征可关联推理,意思是只要可关联的数据都能带来危险,足够多的非敏感数据,可以推理出敏感数据,你认为不重要的数据,却能帮助攻击者获得需要的信息。由于没有经验借鉴,我们需要重新思考数据安全所面临的挑战:

 

  • 面临数据的流动性,由于业务的发展需求,数据跨系统甚至跨组织的流动,而在这样的流动性也让数据更具有很强的关联性,对于安全的威胁更大,这样的场景下传统基于信任边界的保护体系失效,要想保证数据安全,需要掌握数据流向,做好数据流动的实时监测追踪。

  • 数据的碎片化,数据在数据库、云盘、大数据平台、流量日志,被调用服务日志里分布存储,同一份数据可能多个系统有副本,数据安全难以统一管理,存在太多破碎点。

  • 安全、合规和生产效率达到平衡,数据安全治理需要大量的外包人员做运营管理、客服,这些人员因为工作需要必须接触数据,但难以用信任体系控制,传统强管控和信任模式难以实施。而且数据的使用效率和数据安全本身是冲突的,要在不影响数据效率的同时又要保证数据安全,这就需要去建立一套以数据安全风险动态监测和评估的数据安全风险持续治理体系。

 

数据安全理念探索


近年来,国家管控数据安全的力度不断加大,许多人也开始对数据安全理念展开了一些探索,方兴老师依次列举并说明了他的思考。

 

  • 数据生命周期模型,即将采集、传输、存储、使用、交换、销毁视作数据的生命周期,虽然数据生命周期模型为企业提供了指导性方案,但数据跨组织、跨系统、跨国界流动涉及到的责任主体变化很难通过数据生命周期所考虑,同时,使用拆解法的数据生命周期也很难建设起一套体系。

  • 以数据为中心的安全治理模型,即对数据分类分级,并基于数据类别的安全策略做数据识别。由于以数据识别为核心的碎片化应用场景产品太少,做数据治理的厂商又缺乏碎片化场景点的产品能力,所以此模型并未起到安全治理作用。

  • Gartner数据安全治理模型,这是一个从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。Gartner的数据安全治理框架是一个静态的风险模型,但数据风险、业务、数据资产本身就是不断在变动的,因此,此法也没有解决治理关注的核心问题。

 

那么如何解决数据安全面临的碎片化、流动性和业务效率的平衡?方兴老师认为需要一个动态模型,通过对实时风险的动态度量作为标尺,来平衡业务需求与安全的冲突,同时打通DCAP,让DCAP成为即是提供动态风险度量的采集点,也是执行数据安全策略调整的基石。


以风险为基础的数据安全持续治理体系


在数据安全方面,方兴老师主张以风险为基础,提出了“业务零打扰 数据更安全”的价值主张,在此之上去建立“数据安全持续治理体系”。因为对风险的动态度量才是平衡效率与安全的标尺,风险在较低和可控范围内,以业务效率优先;风险较大时,需要更多安全手段的介入控制风险而业务效率做出折衷,数据安全风险持续治理的核心是从数据资产出发,识别和发现企业敏感数据资产存储的系统和涉及敏感数据的应用,对数据和系统进行分类定级,围绕敏感数据资产流动时的暴露面、脆弱性,流向等风险分析评估数据安全风险。


依据这些安全风险,确定企业统一的数据安全策略,并依赖以数据为中心的各点数据安全产品,根据统一的数据安全策略实施数据安全风险监测,感知敏感数据资产、暴露面、脆弱点、流向、行为等各类风险(变动、策略违反行为、高风险事件、可疑威胁行为),对风险和威胁进行感知,结合统一的数据安全策略,给出响应的措施,最后映射到以数据为中心的各点数据安全产品上,执行对风险的响应。


核心是尽量减少对业务和数据流动的直接管控,通过依据对数据相关资产的识别追踪,实现更加精细化的对各类数据风险的实时监测,根据监测发现的风险结合统一的数据安全策略,决策相关的风险处置手段,再进行响应和风险控制,实现数据使用效率和安全风险可控的平衡,以达到治理的目的。

 640?wx_fmt=jpeg


在方兴老师精彩的分享过后,来自百度、字节跳动、京东金融、中国信息化协会人工智能分会、中国疾病预防控制中心等企业单位代表,以及其他十几位业内专家和校友等,现场就各自遇到的数据安全问题与方兴老师进行了交流和讨论,并为在场人员打开了数据和业务安全的新思路新见解。

 640?wx_fmt=jpeg

方兴老师与各行业数据安全治理方面的从业者交流

 

640?wx_fmt=jpeg

思享会合影


关于全知科技


全知科技(杭州)有限责任公司,是在数据安全领域引领理念和技术变革性创新的初创公司,让数据在流通中作为生产资料创造应有价值的同时控制好数据带来的风险,需要从全新的视角去理解企业对数据安全的业务需求。我们通过提供在数据生产过程中的数据安全管理和保护、数据风险感知和溯源、数据合规等产品,帮助客户在数字化转型的浪潮中,一起保护数据的价值。


思享会简介


思享会,是由清数大数据产业联盟与清华校友总会AI大数据专委会共同发起的思想交流平台,定位为小范围的深度交流,目标是希望通过思想交流与碰撞促进产业的数据创新,以及AI大数据与产业、资本的融合,帮助各产业发现和挖掘数据的价值,推进各产业智能化转型升级过程,促成联盟成员及校友之间的互助与合作,为参会嘉宾带来新灵感和新启发。


640?wx_fmt=jpeg

640?wx_fmt=jpeg


推荐阅读
  • 本文档详细介绍了服务器与应用系统迁移的策略与实施步骤。迁移不仅涉及数据的转移,还包括环境配置、应用兼容性测试等多个方面,旨在确保迁移过程的顺利进行及迁移后的系统稳定运行。 ... [详细]
  • Python安全实践:Web安全与SQL注入防御
    本文旨在介绍Web安全的基础知识,特别是如何使用Python和相关工具来识别和防止SQL注入攻击。通过实际案例分析,帮助读者理解SQL注入的危害,并掌握有效的防御策略。 ... [详细]
  • 本文详细介绍了如何利用go-zero框架从需求分析到最终部署至Kubernetes的全过程,特别聚焦于微服务架构中的网关设计与实现。项目采用了go-zero及其生态组件,涵盖了从API设计到RPC调用,再到生产环境下的监控与维护等多方面内容。 ... [详细]
  • 本文基于https://major.io/2014/05/13/coreos-vs-project-atomic-a-review/的内容,对CoreOS和Atomic两个操作系统进行了详细的对比,涵盖部署、管理和安全性等多个方面。 ... [详细]
  • 本文档详细规划了从基础到高级的软件测试学习路径,包括但不限于测试基础、Linux和数据库、功能测试、Python编程、接口测试、性能测试、金融项目实战、UI自动化测试等内容,旨在为初学者和进阶者提供全面的学习指导。 ... [详细]
  • MHA 架构详解与实践
    MHA(Master High Availability)是一种高效的主从切换解决方案,确保了数据的一致性和系统的高可用性。本文将详细介绍MHA的功能、主从切换流程以及配置步骤,并探讨其优缺点。 ... [详细]
  • 本文探讨了如何利用 Application 对象在 PHP 应用程序中共享数据,特别是在多用户环境中保持数据的一致性和安全性。文章还介绍了 Application 对象的基本结构、方法和事件,并提供了实际应用示例。 ... [详细]
  • WordPress FileManager 插件远程代码执行漏洞通告
    FileManager 是一款流行的 WordPress 文件管理插件。最近的安全更新揭示了该插件在6.9版本之前存在严重的远程代码执行漏洞。本文将详细介绍此漏洞的影响、原因及解决措施。 ... [详细]
  • 本文档提供了详细的MySQL安装步骤,包括解压安装文件、选择安装类型、配置MySQL服务以及设置管理员密码等关键环节,帮助用户顺利完成MySQL的安装。 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04
    雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04 ... [详细]
  • 本文详细介绍了PHP中的几种超全局变量,包括$GLOBAL、$_SERVER、$_POST、$_GET等,并探讨了AJAX的工作原理及其优缺点。通过具体示例,帮助读者更好地理解和应用这些技术。 ... [详细]
  • 如何在百度网盘中创建目录树结构?
    本文将详细介绍如何利用特定工具从百度网盘生成详细的目录树结构,帮助用户更好地管理和查找文件。 ... [详细]
  • 解决MySQL Administrator 登录失败问题
    本文提供了解决在使用MySQL Administrator时遇到的登录错误的方法,包括启动变量和服务部分禁用的问题。同时,文章还介绍了通过安全配置模式来解决问题的具体步骤。 ... [详细]
  • 通过调整BIOS设置,用户不仅能够更换主板的启动LOGO,还能自定义系统启动时的自检信息及CMOS设置界面,实现更加个性化的电脑启动体验。 ... [详细]
  • 梭子鱼NGFW在最新对比评测中拔得头筹
    梭子鱼下一代防火墙在最新的独立测试中展现出卓越性能,成为唯一实现100%恶意软件检测率且无误报的产品。 ... [详细]
author-avatar
栋逼逼丶
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有