专访天融信李海鹏:谈数据安全防护实践

本文涉及的产品
数据安全中心,免费版
简介:
本文讲的是 专访天融信李海鹏:谈数据安全防护实践, 透过棱镜门事件的影响,企业越来越清晰的看到了数据安全的重要性。随着 信息化 的深入,数据已经成为企业的无形资产,因此,企业必须正视这些无形资产的防护问题。为此,我们采访了天融信数据安全中心经理李海鹏,共同探讨企业数据安全防护的话题。

111111111111111111111
▲天融信数据安全中心经理李海鹏

  “企业管理层认识到数据的价值和数据保护的复杂性是企业提高企业保护数据泄漏的关键!”

  棱镜事件的曝光在带来国家层面网络安全的普遍关注外,也给企业数据安全带来了一些警示,李海鹏谈到,棱镜事件至少有三个主体的数据泄漏,从美国政府而言,它的数据被前雇员泄漏;从普通用户而言,他的数据被为他提供服务的厂商泄漏;对第三方国家或组织而言,它们的数据被入侵而泄漏。由此,对于企业数据安全得到的警示就包含了几个方面,分别是数据泄漏很烦恼、数据资产最重要、人员管理是基础、IT供应链管理不可少、技术防范要打牢。

  信息化的浪潮使经济形态发生了巨大变化,企业的价值越来越体现在无形资产中,数据日益体现出资产的属性。数据是资产,所以吸引了犯罪分子从物理空间转向网络空间;数据是企业赖以生存与发展的基础,所以企业要加强保护数据资产。企业管理层认识到数据的价值和数据保护的复杂性是企业提高企业保护数据泄漏的关键,企业在日常经营中正确平衡数据利用和数据安全的关系的行为是树立全员数据安全意识的基础。

  “数据保护是涉及人、流程和技术的一体化工作!”

  数据保护是涉及人、流程和技术的一体化工作,既要有高层数据治理的高层建设,也要有数据管理体系建设和人员意识培养的制度。既然数据是资产,数据就要分类分级,对重要资产重点保护;数据是资产,数据就应明确生命周期各阶段的权属关系,明确数据使用的规则,以及出现泄漏的责任判定与罚则;数据是资产,就应明确数据的流动环节和授权,明确数据与应用的关系。

  企业数据策略就是要回答什么人在什么时间能通过什么应用与环境访问什么数据,以及回答如何对数据使用的审计等。李海鹏介绍到,在数据安全项目中,首先企业用户要进行业务梳理,通过业务分析确定数据模型、数据流模型、数据分级分类等,进而完成数据资源与数据保护的整体规划。特别地,在数据安全策略实践中要明确数据安全与网络环境安全的协作关系,充分利用已有的安全策略基础和安全建设基础。

  企业数据中含有许多员工的个人隐私数据,毫无疑问,关于具体个人的隐私数据在企业内部应当可以在不违背法律规定情况下经过授权使用,但同时绝对不能提供给外部使用。总体原则是个人隐私相关要通过授权使用。

  “对企业而言,在认识到数据资产的价值和数据泄漏的危害后,以往的安全防护模型依然有效!”

  数据安全解决方案是体系化的,要依据企业的数据安全策略理出实现的优先级,数据安全产品和方案都要围绕核心目标。李海鹏向记者介绍到,“通过大量的数据安全项目实践,我们总结出一套工程化的方法论,通过数据安全服务形成安全策略,通过数据安全解决方案解决整体保障,通过数据安全产品解决重点防护,通过广泛的合作来保障实施效果。”

  目前数据安全产品可以分为结构化数据安全产品、非结构化数据安全产品、数据使用与内容审计产品、数据防泄漏产品、数据加密产品、数据安全存储与备份恢复产品、人员与授权管理产品等,每类产品解决的问题有所差异,在选择时要重点考虑投入产出比、扩展性、兼容性等。李海鹏谈到,由于数据安全产品与数据管理、业务系统等直接相关,要发挥产品的最大效果,需要不断优化与调整策略,所以在选择产品时要特别注意售后服务能力。

  数据安全的风险与其它安全风险有许多不同之处,如数据泄漏不易被发现、数据泄漏对当前系统运行无影响,因此员工的数据安全意识的培训更加重要。李海鹏介绍到,企业许多员工并不了解他们正在使用的数据的价值所在,并错误地以为安全是由专人负责的,事不关己,并未充分认识到自己也是在企业数据安全中的重要角色,对员工的数据安全培训要进行纵向及交叉的培训,让各部门对彼此在数据安全职责进行了解,并结合周期性的安全攻击演习,以发现问题并进行警示。

  李海鹏谈到:“对企业而言,在认识到数据资产的价值和数据泄漏的危害后,以往的安全防护模型依然有效,如访问控制模型,现在的关注点从管制主体和网络中策略执行点转移到数据这个客体上。对数据保护,由于数据种类繁多、数据流动变化多、数据分散等,在数据保护中更加要重视事前的策略设计和数据的分类分级,要更加重视重点防护和事后的审计追踪。”

  对目前多数企业而言,建议首先开展数据的备份恢复建设,保证数据在灾难时能找到与可用,其次要对核心的在线系统的数据库数据进行重点保护,如加固、加密和审计,再者要进行网络数据防泄漏的建设,以便发现敏感数据流动情况并进行控制,同时要进行整体的非结构化数据集中管控,把分散的数据统一管起来,最后与企业数据资源规划同步形成完整的数据保护体系。

  “数据安全正在从网络环境安全向数据本身安全转移!”

  首先,随着云计算、虚拟化、移动互联网的发展,网络边界、应用和服务的边界迅速模糊化,数据安全迅速从网络环境安全向数据本身安全转移,传统的基于边界的手段虽然还能保持一定的作用,但却会因相对无效性从未来的安全体系中逐渐淡出。随着技术的发展,在企业级数据安全中数据的机密性保护和数据使用的审计会占据突出位置。

  其次,随着大数据的来临,数据的窃取会形成更加庞大的产业,企业数据的利用和企业数据安全的关系更加复杂,会更加体现安全促进利用、安全创造价值的趋势,数据安全关注的范围更加广泛,如个人隐私等等。


作者: 董建伟
来源:it168网站
原文标题:专访天融信李海鹏:谈数据安全防护实践
相关文章
|
6月前
|
安全 网络安全 数据库
“小红书基于零信任的数据安全落地实践”演讲实录
11月,为期两天的FCIS 2023网络安全创新大会(以下简称:“FCIS 2023大会”)在上海张江科学会堂圆满落幕。来自全球的数十位网络安全人物、企业安全负责人、技术大拿、研究学者等发表主题演讲,累计线下参会观众突破6000人次。 在主论坛E-Tech企业安全实践分享中,亿格云行业标杆客户「小红书安全技术负责人、首席数据官」周达发表了“基于零信任的数据安全建设实践”的主题演讲。分别从办公场景下的数据安全挑战、小红书全链路零信任体系和安全思考与展望三方面详细阐述。
|
容灾 安全 大数据
为数据安全而生,阿里云容灾备份方案场景实践解析
数字经济时代,数据正以超出想象的速度快速增长。短短几年,数据量已经从TB级别跃升到PB乃至ZB级别。
5415 0
|
6月前
|
存储 监控 安全
服务器防护:保障企业数据安全的坚固堡垒
在数字化时代,服务器作为存储、处理和传输企业关键数据的核心设备,其安全性显得尤为重要。服务器防护不仅是技术层面的挑战,更是企业安全战略的重要组成部分。本文将探讨服务器防护的重要性、常见威胁以及应对策略。
|
6月前
|
前端开发 安全 数据安全/隐私保护
《数据安全防护:加密算法在前端开发中的应用》
随着数据泄露事件层出不穷,加强数据安全防护变得尤为重要。本文将深入探讨在前端开发中应用加密算法的重要性和方法,帮助开发者更好地保护用户数据。
|
6月前
|
SQL 安全 PHP
PHP中的数据安全与防护措施探析
在当今信息时代,数据安全问题备受关注,尤其对于PHP开发者来说,保护用户数据至关重要。本文将从数据安全的重要性、常见威胁、以及防护措施等方面展开讨论,帮助PHP开发者加强数据安全意识,提升应对能力。
|
分布式计算 DataWorks 监控
DataWorks 数据安全介绍及实践 | 学习笔记
快速学习 DataWorks 数据安全介绍及实践,介绍了 DataWorks 数据安全介绍及实践系统机制, 以及在实际应用过程中如何使用。
DataWorks 数据安全介绍及实践 | 学习笔记
|
SQL 分布式计算 监控
8.DataWorks 数据安全介绍及实践(二)|学习笔记
快速学习8.DataWorks 数据安全介绍及实践
8.DataWorks 数据安全介绍及实践(二)|学习笔记
|
存储 运维 安全
阿里云数据管理服务DMS通过信通院“数据脱敏工具基础能力”专项测评,夯实数据安全防护能力
阿里云数据管理服务DMS也顺利通过中国信息通信研究院大数据产品能力评测“数据脱敏工具基础能力”专项测评,进一步增强数据安全防护能力。至此,DMS通过安全风险监测、细粒度权限控制、安全规则管控、敏感数据治理及操作审计为企业提供覆盖数据全生命周期的数据安全管理能力,有效保障企业数据安全。
794 0
阿里云数据管理服务DMS通过信通院“数据脱敏工具基础能力”专项测评,夯实数据安全防护能力
|
存储 安全 算法