世平信息董事長王世晞：博學(xué)、創(chuàng)見 擁抱數(shù)據(jù)安全治理新時(shí)代

近年來，數(shù)字經(jīng)濟(jì)的發(fā)展對網(wǎng)絡(luò)和數(shù)據(jù)安全提出更高要求。眾所周知，互聯(lián)網(wǎng)平臺(tái)匯聚海量用戶數(shù)據(jù)，隨著數(shù)據(jù)價(jià)值的不斷提升，用戶個(gè)人信息泄漏和非法利用、數(shù)據(jù)非法跨境流動(dòng)等風(fēng)險(xiǎn)不斷增多，各類敏感數(shù)據(jù)泄漏事件頻發(fā)。

此前Verizon 發(fā)布的 2018 數(shù)據(jù)泄漏報(bào)告顯示， 2017 年全球發(fā)生的 53000 余件網(wǎng)絡(luò)安全事件中，有 2216 起確認(rèn)為數(shù)據(jù)泄漏。2018 年3月，劍橋分析公司非法獲取臉書(Facebook)上超過 5000 萬用戶數(shù)據(jù)，并通過定向推送影響大選事件曝光，再次敲響大數(shù)據(jù)安全警鐘。

安全問題突出 數(shù)據(jù)資產(chǎn)安全成為新良方

數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的根本要素，安全形勢不容樂觀。為此，包括我國《網(wǎng)絡(luò)安全法》及配套法規(guī)、歐盟 GDPR 等在內(nèi)的安全合規(guī)要求日益明確，對于數(shù)據(jù)安全、業(yè)務(wù)運(yùn)行安全等的合規(guī)投入也進(jìn)一步增加。

一方面，數(shù)字經(jīng)濟(jì)下新業(yè)態(tài)豐富、市場主體眾多，具有跨界融合等特點(diǎn)，給傳統(tǒng)監(jiān)管體系帶來新的挑戰(zhàn)。另一方面，新興技術(shù)快速應(yīng)用引發(fā)新的安全風(fēng)險(xiǎn)，例如人工智能核心算法不透明，存在惡意操縱導(dǎo)致不正當(dāng)競爭風(fēng)險(xiǎn);區(qū)塊鏈技術(shù)應(yīng)用暴露多重風(fēng)險(xiǎn)，目前尚未形成覆蓋數(shù)據(jù)全生命周期的監(jiān)管思路。

在未來的數(shù)字洪流中，企業(yè)應(yīng)該如何有效利用數(shù)據(jù)，避免安全風(fēng)險(xiǎn)成為企業(yè)領(lǐng)導(dǎo)者關(guān)注的焦點(diǎn)。世平信息——一家專注于數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)管控 數(shù)據(jù)價(jià)值安全利用 的企業(yè)，在2018年青島召開的“2018年保密技術(shù)交流大會(huì)暨產(chǎn)品博覽會(huì)”上展示眾多的安全產(chǎn)品吸引了眾人的目光。

世平信息董事長王世晞，出身中國國防科技大學(xué)教授，談及為何選擇從業(yè)數(shù)據(jù)安全治理，王世晞這樣講到，2012年全球信息安全開始轉(zhuǎn)型，先前主要是基于網(wǎng)絡(luò)邊界的安全和應(yīng)用防護(hù)，以防火墻、VPN、IDS為主要解決手段，不能完全解決數(shù)據(jù)安全防護(hù)問題。對于信息系統(tǒng)或網(wǎng)絡(luò)安全，歸根到底最重要的是數(shù)據(jù)的安全，而數(shù)據(jù)安全必須明確，針對什么數(shù)據(jù)做什么防護(hù)的問題。另外，必須很好地平衡數(shù)據(jù)利用效率與安全防護(hù)措施代價(jià)。傳統(tǒng)的數(shù)據(jù)加解密法因?yàn)闃O大影響運(yùn)算效率，所以無法應(yīng)對高速膨脹中的海量數(shù)據(jù)共享交換數(shù)據(jù)安全需求，對業(yè)務(wù)數(shù)據(jù)進(jìn)行分類分級和分級安全防護(hù)，是如今大數(shù)據(jù)時(shí)代數(shù)據(jù)安全防護(hù)的有效解決之道。世平信息瞄準(zhǔn)這樣的時(shí)機(jī)，致力于數(shù)據(jù)安全治理領(lǐng)域，這也是世平信息成立的初衷。”

王世晞?wù)f到：“通常我們所說的信息安全涉及網(wǎng)絡(luò)安全、業(yè)務(wù)應(yīng)用安全以及數(shù)字資產(chǎn)安全。從網(wǎng)絡(luò)邊界來進(jìn)行防護(hù)雖然能起到很好的保護(hù)作用，但解決不了全部的安全問題。而數(shù)據(jù)才是企業(yè)生存的核心，就像一幢大樓，其中最為核心重要的是財(cái)務(wù)室，若保護(hù)整個(gè)大樓不僅代價(jià)高，而且也很困難。‘防止別人進(jìn)不來比較難’，而‘進(jìn)得來拿不走’則相對簡單些。”

在王世晞看來，隨著信息化的不斷發(fā)展，涉密信息、敏感信息和隱私信息已經(jīng)成為竊密攻擊的關(guān)鍵對象。例如：在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，用戶為了使用方便，很可能在直連互聯(lián)網(wǎng)或存在風(fēng)險(xiǎn)的計(jì)算機(jī)上處理帶有涉密信息的文檔，直接導(dǎo)致涉密信息泄漏。雖然各級保密主管部門非常重視對非涉密網(wǎng)的保密檢查，也配備了不少專項(xiàng)保密檢查工具，但是存儲(chǔ)在數(shù)據(jù)庫及其他后臺(tái)應(yīng)用服務(wù)器中的數(shù)據(jù)，一直是保密檢查的盲區(qū)和檢查難點(diǎn)，迫切需要數(shù)據(jù)庫保密檢查工具來滿足實(shí)際檢查工作的需要。為此我們開發(fā)了“數(shù)據(jù)庫保密檢查工具”，解決了此項(xiàng)保密檢查的盲區(qū)。

聚焦數(shù)據(jù)安全治理 對內(nèi)對外全面防護(hù)

數(shù)據(jù)資源的互聯(lián)互通、共享開放，使得基于邊界、針對外部入侵的傳統(tǒng)防御體系功效打折，因?yàn)檫@些防御體系無法應(yīng)對內(nèi)部竊取、濫用、疏忽等形成的數(shù)據(jù)泄漏。而市面上已有的數(shù)據(jù)防泄漏產(chǎn)品(DLP)雖然理念很好，但是保護(hù)哪些數(shù)據(jù)(數(shù)據(jù)分級)、如何防護(hù)(安全策略分級)?這些問題不清楚，DLP無法有效落地。還有：技術(shù)與策略、制度、機(jī)構(gòu)如何配合?這些問題大多應(yīng)用場合都沒有很好解決。數(shù)據(jù)安全治理是根本的解決之道，它做為有效的實(shí)現(xiàn)對外部及內(nèi)部的數(shù)據(jù)泄漏防護(hù)手段，為當(dāng)前數(shù)據(jù)安全的大勢所趨。

為什么數(shù)據(jù)安全治理能夠有效防護(hù)內(nèi)部與外部泄漏?

其一，數(shù)據(jù)安全治理首先在用戶信息系統(tǒng)中將需要防護(hù)的敏感數(shù)據(jù)找出來，然后盯住這些敏感數(shù)據(jù)執(zhí)行靶向監(jiān)控，盯住的是敏感數(shù)據(jù)本身而不是系統(tǒng)，不論敏感數(shù)據(jù)處于系統(tǒng)何處，如何流轉(zhuǎn)、變化、衍生，不論泄漏風(fēng)險(xiǎn)來自內(nèi)部還是外部。

其二，數(shù)據(jù)安全治理深入到用戶單位的各業(yè)務(wù)系統(tǒng)、流程和事項(xiàng)中，將海量數(shù)據(jù)按敏感性進(jìn)行分類分級，制定相應(yīng)的分類分級防護(hù)策略規(guī)則，并在實(shí)踐中不斷優(yōu)化規(guī)則，提高靶向監(jiān)控精確度。同時(shí)，很好地平衡了數(shù)據(jù)安全防護(hù)與數(shù)據(jù)利用效率的問題。

其三，數(shù)據(jù)安全治理既管信息系統(tǒng)又管人員，以技術(shù)、產(chǎn)品與咨詢、服務(wù)融合并行，與行業(yè)內(nèi)的業(yè)務(wù)專家和安全專家密切配合，在做好基于法規(guī)和業(yè)務(wù)梳理的數(shù)據(jù)分類分級同時(shí)，制定相應(yīng)的分類分級管控策略、組織制度、檢查評估等保障機(jī)制，確保數(shù)據(jù)泄漏防護(hù)的有效性。

傳統(tǒng)網(wǎng)絡(luò)安全為信息系統(tǒng)多方設(shè)防，對于系統(tǒng)內(nèi)的數(shù)據(jù)屬于靜態(tài)保護(hù)，因?yàn)榉烙胧┎浑S被保護(hù)的數(shù)據(jù)本身變化流動(dòng)，對系統(tǒng)內(nèi)部人員泄漏數(shù)據(jù)難以防范，所以是防外不防內(nèi)。大數(shù)據(jù)環(huán)境中，對內(nèi)部竊取、濫用、疏忽等數(shù)據(jù)泄漏風(fēng)險(xiǎn)有效的數(shù)據(jù)安全防護(hù)，關(guān)鍵在于明確哪些數(shù)據(jù)需要防護(hù)，各需要什么等級的防護(hù)，在此基礎(chǔ)上設(shè)置相應(yīng)的靶向防護(hù)策略與落地措施，即針對需要防護(hù)的各類各級敏感數(shù)據(jù)在其采集、存儲(chǔ)、使用、分享、流轉(zhuǎn)、銷毀全生命周期中進(jìn)行相應(yīng)的識(shí)別與追蹤防護(hù)。數(shù)據(jù)安全治理便是通過數(shù)據(jù)分類分級明確找出需要保護(hù)的敏感數(shù)據(jù)，然后通過一系列技術(shù)措施盯住這些敏感數(shù)據(jù)，無論敏感數(shù)據(jù)在全網(wǎng)什么地方、往哪里流動(dòng)變化衍生，都能執(zhí)行精準(zhǔn)的定位、追蹤、告警、阻斷、溯源等響應(yīng)，實(shí)現(xiàn)分類分級的監(jiān)控防護(hù)。所以，數(shù)據(jù)安全治理的落地技術(shù)措施實(shí)為靶向盯住敏感數(shù)據(jù)并隨之流轉(zhuǎn)變化的動(dòng)態(tài)監(jiān)控，形成全網(wǎng)追蹤、內(nèi)外兼防的數(shù)據(jù)防泄漏體系。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。