世平信息董事長王世晞：博學、創(chuàng)見 擁抱數(shù)據(jù)安全治理新時代

近年來，數(shù)字經(jīng)濟的發(fā)展對網(wǎng)絡和數(shù)據(jù)安全提出更高要求。眾所周知，互聯(lián)網(wǎng)平臺匯聚海量用戶數(shù)據(jù)，隨著數(shù)據(jù)價值的不斷提升，用戶個人信息泄漏和非法利用、數(shù)據(jù)非法跨境流動等風險不斷增多，各類敏感數(shù)據(jù)泄漏事件頻發(fā)。

此前Verizon 發(fā)布的 2018 數(shù)據(jù)泄漏報告顯示， 2017 年全球發(fā)生的 53000 余件網(wǎng)絡安全事件中，有 2216 起確認為數(shù)據(jù)泄漏。2018 年3月，劍橋分析公司非法獲取臉書(Facebook)上超過 5000 萬用戶數(shù)據(jù)，并通過定向推送影響大選事件曝光，再次敲響大數(shù)據(jù)安全警鐘。

安全問題突出 數(shù)據(jù)資產(chǎn)安全成為新良方

數(shù)據(jù)作為數(shù)字經(jīng)濟的根本要素，安全形勢不容樂觀。為此，包括我國《網(wǎng)絡安全法》及配套法規(guī)、歐盟 GDPR 等在內(nèi)的安全合規(guī)要求日益明確，對于數(shù)據(jù)安全、業(yè)務運行安全等的合規(guī)投入也進一步增加。

一方面，數(shù)字經(jīng)濟下新業(yè)態(tài)豐富、市場主體眾多，具有跨界融合等特點，給傳統(tǒng)監(jiān)管體系帶來新的挑戰(zhàn)。另一方面，新興技術(shù)快速應用引發(fā)新的安全風險，例如人工智能核心算法不透明，存在惡意操縱導致不正當競爭風險;區(qū)塊鏈技術(shù)應用暴露多重風險，目前尚未形成覆蓋數(shù)據(jù)全生命周期的監(jiān)管思路。

在未來的數(shù)字洪流中，企業(yè)應該如何有效利用數(shù)據(jù)，避免安全風險成為企業(yè)領(lǐng)導者關(guān)注的焦點。世平信息——一家專注于數(shù)據(jù)資產(chǎn)風險管控 數(shù)據(jù)價值安全利用 的企業(yè)，在2018年青島召開的“2018年保密技術(shù)交流大會暨產(chǎn)品博覽會”上展示眾多的安全產(chǎn)品吸引了眾人的目光。

世平信息董事長王世晞，出身中國國防科技大學教授，談及為何選擇從業(yè)數(shù)據(jù)安全治理，王世晞這樣講到，2012年全球信息安全開始轉(zhuǎn)型，先前主要是基于網(wǎng)絡邊界的安全和應用防護，以防火墻、VPN、IDS為主要解決手段，不能完全解決數(shù)據(jù)安全防護問題。對于信息系統(tǒng)或網(wǎng)絡安全，歸根到底最重要的是數(shù)據(jù)的安全，而數(shù)據(jù)安全必須明確，針對什么數(shù)據(jù)做什么防護的問題。另外，必須很好地平衡數(shù)據(jù)利用效率與安全防護措施代價。傳統(tǒng)的數(shù)據(jù)加解密法因為極大影響運算效率，所以無法應對高速膨脹中的海量數(shù)據(jù)共享交換數(shù)據(jù)安全需求，對業(yè)務數(shù)據(jù)進行分類分級和分級安全防護，是如今大數(shù)據(jù)時代數(shù)據(jù)安全防護的有效解決之道。世平信息瞄準這樣的時機，致力于數(shù)據(jù)安全治理領(lǐng)域，這也是世平信息成立的初衷。”

王世晞說到：“通常我們所說的信息安全涉及網(wǎng)絡安全、業(yè)務應用安全以及數(shù)字資產(chǎn)安全。從網(wǎng)絡邊界來進行防護雖然能起到很好的保護作用，但解決不了全部的安全問題。而數(shù)據(jù)才是企業(yè)生存的核心，就像一幢大樓，其中最為核心重要的是財務室，若保護整個大樓不僅代價高，而且也很困難。‘防止別人進不來比較難’，而‘進得來拿不走’則相對簡單些。”

在王世晞看來，隨著信息化的不斷發(fā)展，涉密信息、敏感信息和隱私信息已經(jīng)成為竊密攻擊的關(guān)鍵對象。例如：在計算機網(wǎng)絡應用中，用戶為了使用方便，很可能在直連互聯(lián)網(wǎng)或存在風險的計算機上處理帶有涉密信息的文檔，直接導致涉密信息泄漏。雖然各級保密主管部門非常重視對非涉密網(wǎng)的保密檢查，也配備了不少專項保密檢查工具，但是存儲在數(shù)據(jù)庫及其他后臺應用服務器中的數(shù)據(jù)，一直是保密檢查的盲區(qū)和檢查難點，迫切需要數(shù)據(jù)庫保密檢查工具來滿足實際檢查工作的需要。為此我們開發(fā)了“數(shù)據(jù)庫保密檢查工具”，解決了此項保密檢查的盲區(qū)。

聚焦數(shù)據(jù)安全治理 對內(nèi)對外全面防護

數(shù)據(jù)資源的互聯(lián)互通、共享開放，使得基于邊界、針對外部入侵的傳統(tǒng)防御體系功效打折，因為這些防御體系無法應對內(nèi)部竊取、濫用、疏忽等形成的數(shù)據(jù)泄漏。而市面上已有的數(shù)據(jù)防泄漏產(chǎn)品(DLP)雖然理念很好，但是保護哪些數(shù)據(jù)(數(shù)據(jù)分級)、如何防護(安全策略分級)?這些問題不清楚，DLP無法有效落地。還有：技術(shù)與策略、制度、機構(gòu)如何配合?這些問題大多應用場合都沒有很好解決。數(shù)據(jù)安全治理是根本的解決之道，它做為有效的實現(xiàn)對外部及內(nèi)部的數(shù)據(jù)泄漏防護手段，為當前數(shù)據(jù)安全的大勢所趨。

為什么數(shù)據(jù)安全治理能夠有效防護內(nèi)部與外部泄漏?

其一，數(shù)據(jù)安全治理首先在用戶信息系統(tǒng)中將需要防護的敏感數(shù)據(jù)找出來，然后盯住這些敏感數(shù)據(jù)執(zhí)行靶向監(jiān)控，盯住的是敏感數(shù)據(jù)本身而不是系統(tǒng)，不論敏感數(shù)據(jù)處于系統(tǒng)何處，如何流轉(zhuǎn)、變化、衍生，不論泄漏風險來自內(nèi)部還是外部。

其二，數(shù)據(jù)安全治理深入到用戶單位的各業(yè)務系統(tǒng)、流程和事項中，將海量數(shù)據(jù)按敏感性進行分類分級，制定相應的分類分級防護策略規(guī)則，并在實踐中不斷優(yōu)化規(guī)則，提高靶向監(jiān)控精確度。同時，很好地平衡了數(shù)據(jù)安全防護與數(shù)據(jù)利用效率的問題。

其三，數(shù)據(jù)安全治理既管信息系統(tǒng)又管人員，以技術(shù)、產(chǎn)品與咨詢、服務融合并行，與行業(yè)內(nèi)的業(yè)務專家和安全專家密切配合，在做好基于法規(guī)和業(yè)務梳理的數(shù)據(jù)分類分級同時，制定相應的分類分級管控策略、組織制度、檢查評估等保障機制，確保數(shù)據(jù)泄漏防護的有效性。

傳統(tǒng)網(wǎng)絡安全為信息系統(tǒng)多方設防，對于系統(tǒng)內(nèi)的數(shù)據(jù)屬于靜態(tài)保護，因為防御措施不隨被保護的數(shù)據(jù)本身變化流動，對系統(tǒng)內(nèi)部人員泄漏數(shù)據(jù)難以防范，所以是防外不防內(nèi)。大數(shù)據(jù)環(huán)境中，對內(nèi)部竊取、濫用、疏忽等數(shù)據(jù)泄漏風險有效的數(shù)據(jù)安全防護，關(guān)鍵在于明確哪些數(shù)據(jù)需要防護，各需要什么等級的防護，在此基礎(chǔ)上設置相應的靶向防護策略與落地措施，即針對需要防護的各類各級敏感數(shù)據(jù)在其采集、存儲、使用、分享、流轉(zhuǎn)、銷毀全生命周期中進行相應的識別與追蹤防護。數(shù)據(jù)安全治理便是通過數(shù)據(jù)分類分級明確找出需要保護的敏感數(shù)據(jù)，然后通過一系列技術(shù)措施盯住這些敏感數(shù)據(jù)，無論敏感數(shù)據(jù)在全網(wǎng)什么地方、往哪里流動變化衍生，都能執(zhí)行精準的定位、追蹤、告警、阻斷、溯源等響應，實現(xiàn)分類分級的監(jiān)控防護。所以，數(shù)據(jù)安全治理的落地技術(shù)措施實為靶向盯住敏感數(shù)據(jù)并隨之流轉(zhuǎn)變化的動態(tài)監(jiān)控，形成全網(wǎng)追蹤、內(nèi)外兼防的數(shù)據(jù)防泄漏體系。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。