前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)字經(jīng)濟企業(yè)數(shù)據(jù)安全防護開展思考范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:隨著新一輪科技革命和產(chǎn)業(yè)變革的蓬勃興起,數(shù)據(jù)已成為繼土地、勞動力、資本、技術(shù)之后最為活躍的關(guān)鍵生產(chǎn)要素,對經(jīng)濟發(fā)展、社會進步、民生改善和國家治理產(chǎn)生了深刻地影響。本文主要總結(jié)了數(shù)字經(jīng)濟時代下企業(yè)在數(shù)據(jù)安全防護方面的新挑戰(zhàn)和新要求,討論了數(shù)據(jù)安全防護的體系構(gòu)成,提出了在技術(shù)手段和管理措施方面的相關(guān)建議。
關(guān)鍵詞:數(shù)據(jù)管理數(shù)據(jù)安全技術(shù)手段
1數(shù)字經(jīng)濟時代企業(yè)數(shù)據(jù)安全面臨多重挑戰(zhàn)
當(dāng)前,云計算、大數(shù)據(jù)、區(qū)塊鏈、人工智能等技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新不斷賦能經(jīng)濟社會各領(lǐng)域,新產(chǎn)品、新業(yè)態(tài)、新模式不斷涌現(xiàn),數(shù)字經(jīng)濟的內(nèi)涵和外延不斷豐富。數(shù)字經(jīng)濟發(fā)展的同時,也帶動了數(shù)據(jù)的產(chǎn)生、流通和應(yīng)用更加普遍和密集,使企業(yè)數(shù)據(jù)安全防護面臨新的挑戰(zhàn)。
1.1新設(shè)施帶來的安全挑戰(zhàn)
網(wǎng)絡(luò)基礎(chǔ)設(shè)施是國家、企業(yè)和個人核心數(shù)據(jù)的載體,是數(shù)據(jù)安全保護的重要基礎(chǔ)性環(huán)節(jié)。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施的傳統(tǒng)界定范疇來看,主要包括存儲設(shè)備、運算設(shè)備和其他基礎(chǔ)軟件等。然而,隨著新技術(shù)新業(yè)務(wù)的發(fā)展與創(chuàng)新,數(shù)據(jù)基礎(chǔ)設(shè)施的范疇不斷擴展,數(shù)據(jù)中心(IDC)和移動終端等集成了存儲、運算以及基礎(chǔ)軟件的功能,成為日益重要的數(shù)據(jù)基礎(chǔ)設(shè)施,也開始面臨越來越多的挑戰(zhàn)。一方面,攻擊者更多的將注意力集中到存儲海量數(shù)據(jù)的云計算數(shù)據(jù)中心,其遭遇DDoS攻擊的占比達到70%。另一方面,信息泄露事件頻發(fā),數(shù)據(jù)泄露和丟失已成為數(shù)據(jù)中心面臨的巨大安全風(fēng)險。根據(jù)RiskBasedSecurity公布的數(shù)據(jù),2019年已經(jīng)發(fā)現(xiàn)超過3800多起數(shù)據(jù)泄露事件攻擊了企業(yè)或者機構(gòu),并且在過去的四年里增加了超過50%。
1.2新技術(shù)帶來的安全挑戰(zhàn)
分布式計算存儲、數(shù)據(jù)深度挖掘及數(shù)據(jù)管理可視化等新技術(shù)能夠大大提升數(shù)據(jù)資源的規(guī)模存儲和處理能力,但也給企業(yè)數(shù)據(jù)的防護帶來了新的挑戰(zhàn),云計算和多業(yè)務(wù)融合是其中顯著的代表。首先,云計算的主要特點是采用了分布式的存儲和計算,該方式能夠有效防止個人數(shù)據(jù)在本地出現(xiàn)大規(guī)模泄露,但目前黑客已經(jīng)可通過分析信息分片的方式,對被分割的原始數(shù)據(jù)進行復(fù)原。其次,隨著多項信息通信技術(shù)的融合,新型業(yè)務(wù)的復(fù)雜度進一步提高,也帶來了更加復(fù)雜的應(yīng)用安全風(fēng)險,使得原有的安全防護技術(shù)和體系難以應(yīng)對。對于單一的技術(shù)而言,通常已經(jīng)形成了比較完善的安全解決方案,而隨著多項技術(shù)的交叉融合,針對單一技術(shù)的解決方案可能不再有效。例如,英特爾處理器在2018年5月初,又被曝出發(fā)現(xiàn)8個新的“幽靈式”硬件漏洞,攻擊者可以竊取運行在同一個物理內(nèi)核的另外一個進程的隱私數(shù)據(jù),顯示出云主機系統(tǒng)與虛擬機之間的兼容問題。
1.3新應(yīng)用帶來的安全挑戰(zhàn)
數(shù)字經(jīng)濟時代的新應(yīng)用主要體現(xiàn)在信息通信技術(shù)與交通、金融、醫(yī)療等領(lǐng)域融合所產(chǎn)生的新的互聯(lián)網(wǎng)應(yīng)用、平臺和場景,如自動駕駛、網(wǎng)絡(luò)約租車、智能投顧等。計算機信息技術(shù)對大數(shù)據(jù)的收集、儲存、歸類、處理及分享創(chuàng)造了更加方便和靈活的方式,許多企業(yè)決策、問題分析、模型構(gòu)建等問題都要借助大數(shù)據(jù)分析來實現(xiàn),大數(shù)據(jù)在各個領(lǐng)域的廣泛應(yīng)用,不僅有助于提升各個領(lǐng)域的工作效率,同時也對計算機網(wǎng)絡(luò)信息安全的防護和管理帶來挑戰(zhàn)。首先,垂直行業(yè)線下管理機制自成體系,不同部門各司其職,在互聯(lián)網(wǎng)引入后,部門間的監(jiān)管職責(zé)邊界較為模糊,已有線下管理職責(zé)發(fā)生交叉,目前尚未形成廣泛認可的監(jiān)管體制框架,給新業(yè)務(wù)的安全管理帶來挑戰(zhàn),網(wǎng)約車平臺監(jiān)管就是明顯的例子。其次,數(shù)字化生活、智慧城市、工業(yè)大數(shù)據(jù)等新技術(shù)、新業(yè)務(wù)、新領(lǐng)域創(chuàng)造出紛繁多樣的數(shù)據(jù)應(yīng)用場景,使得數(shù)據(jù)安全保護具體情境更為復(fù)雜。最后,企業(yè)隱私保護的安全責(zé)任更加突出,近年來各類隱私泄露事件層出不窮。據(jù)英國科技研究機構(gòu)報道,F(xiàn)acebook公司于2019年12月再次出現(xiàn)數(shù)據(jù)泄露問題,超過2.67億用戶數(shù)據(jù)被泄露,任何人都可以直接訪問該數(shù)據(jù)庫。這反映出了互聯(lián)網(wǎng)平臺企業(yè)在確保數(shù)據(jù)多渠道流通的同時,需要更加注重保證數(shù)據(jù)的機密性、完整性和可用性。
1.4企業(yè)自身安全防護基礎(chǔ)和意識不足
數(shù)字經(jīng)濟時代,雖然企業(yè)不斷完善信息化相關(guān)手段和舉措,但在利用新技術(shù)進行數(shù)據(jù)安全防護方面仍然比較被動。在基礎(chǔ)安全防護方面,我國在芯片、系統(tǒng)中央處理器(CPU)、核心元器件等硬件方面仍然主要依靠進口,且尚未形成安全自主可控的軟件系統(tǒng)生態(tài),企業(yè)信息化建設(shè)在底部就面臨安全威脅。在安全意識方面,企業(yè)重技術(shù)、重業(yè)務(wù)、輕安全的思想還普遍存在,過度重視信息化設(shè)備和技術(shù),對于數(shù)據(jù)安全防護緊迫性的認識不夠,影響了相關(guān)投入。根據(jù)相關(guān)數(shù)據(jù)統(tǒng)計,在企業(yè)信息化建設(shè)工作中,有超過50%的企業(yè)依然未設(shè)置防火墻,45.4%的企業(yè)未設(shè)置安全審計系統(tǒng),超過60%的企業(yè)沒有設(shè)置網(wǎng)絡(luò)入侵監(jiān)視系統(tǒng)。
2數(shù)字經(jīng)濟時代完善企業(yè)數(shù)據(jù)防護體系的總體思路
2.1明確企業(yè)層面的防護目標(biāo)
對企業(yè)而言,最為關(guān)鍵的防護目標(biāo)是平衡好國家安全、企業(yè)商業(yè)秘密、業(yè)務(wù)正常運行和客戶合法利益這四方面。一是應(yīng)滿足國家相關(guān)法律法規(guī)對于個人信息保護、重要數(shù)據(jù)安全等方面的制度性要求,履行企業(yè)自身的合規(guī)義務(wù)。二是還應(yīng)確保企業(yè)自身數(shù)據(jù)和用戶數(shù)據(jù)的安全性、機密性、完整性、可用性。
2.2構(gòu)建以數(shù)據(jù)為中心的安全防護體系
數(shù)據(jù)安全防護建設(shè)需要以“數(shù)據(jù)為中心”。具體而言,需要進一步明細數(shù)據(jù)來源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)生命周期、數(shù)據(jù)應(yīng)用場景?;诖耍瑯?gòu)建起由數(shù)據(jù)安全制度規(guī)程、管理機制、技術(shù)手段組成的全面覆蓋的數(shù)據(jù)安全防護體系,形成閉環(huán)管理鏈條。(1)數(shù)據(jù)安全制度是企業(yè)數(shù)據(jù)安全實踐的指導(dǎo)。黨的十八屆四中全會提出有關(guān)全面推進依法治國的重要論斷,要求堅持法治國家、法治政府、法治社會一體建設(shè),實現(xiàn)科學(xué)立法、嚴格執(zhí)法、公正司法、全民守法,促進國家治理體系和治理能力現(xiàn)代化。因此,企業(yè)數(shù)據(jù)安全制度和規(guī)程應(yīng)建立在國家整體對于企業(yè)商業(yè)秘密、國家重要數(shù)據(jù)、個人隱私保護制度的基礎(chǔ)之上,進一步根據(jù)企業(yè)自身業(yè)務(wù)流程,明確具體場景下的數(shù)據(jù)收集、處理、存儲、使用、轉(zhuǎn)移的規(guī)則和責(zé)任主體。(2)數(shù)據(jù)安全管理統(tǒng)籌是落實企業(yè)數(shù)據(jù)安全實踐的關(guān)鍵。隨著企業(yè)IT系統(tǒng)和環(huán)境的不斷完善,運維服務(wù)、系統(tǒng)集成、數(shù)據(jù)存儲的規(guī)模不斷擴大,信息和數(shù)據(jù)安全對于企業(yè)而言愈發(fā)重要。在這種態(tài)勢下,企業(yè)應(yīng)著眼全局、把握細節(jié),成立專門的數(shù)據(jù)安全管理機制,自上而下建立起相應(yīng)的組織架構(gòu),確保企業(yè)數(shù)據(jù)安全的全生命周期管理的戰(zhàn)略、制度能夠有效實施。(3)數(shù)據(jù)安全技術(shù)手段是企業(yè)彌補數(shù)據(jù)制度不足的重要保障。技術(shù)的變化永遠超前于制度的構(gòu)建,新的信息技術(shù)不僅會帶來新的安全風(fēng)險,也是數(shù)據(jù)安全管理的重要輔助手段,為落實企業(yè)數(shù)據(jù)安全管理制度的總體目標(biāo)提供技術(shù)支持。例如,云端技術(shù)將定義新的網(wǎng)絡(luò)安全導(dǎo)向,近年來廠商積極研發(fā)新技術(shù),未來將有更多企業(yè)和用戶選擇虛擬機間安全問題的解決方案;可視化工具能夠有效洞察每臺虛擬機的獨立行動和互動,采用流量監(jiān)控、應(yīng)用識別及用戶識別等技術(shù),幫助用戶鑒別是否存在攻擊和非正常行為。
3企業(yè)開展數(shù)據(jù)安全防護實踐的措施建議
數(shù)字經(jīng)濟時代,企業(yè)應(yīng)進一步加強技術(shù)研發(fā),同步完善各項管理措施,實現(xiàn)“技管”與“人管”的有機結(jié)合,實現(xiàn)企業(yè)數(shù)據(jù)安全管理的目標(biāo)。
3.1技術(shù)防護措施建議
企業(yè)應(yīng)按照數(shù)據(jù)收集、存儲、傳輸、使用、共享、銷毀這一全生命周期加強數(shù)據(jù)安全的技術(shù)防護。(1)在數(shù)據(jù)的收集環(huán)節(jié),企業(yè)重點工作為對于數(shù)據(jù)進行分類、對于數(shù)據(jù)類型和安全等級進行達標(biāo)。同時,企業(yè)還應(yīng)將相應(yīng)功能內(nèi)嵌入運維管理系統(tǒng),保證各類數(shù)據(jù)安全制度有效地落地實施。(2)在數(shù)據(jù)的存儲環(huán)節(jié),企業(yè)可以采取數(shù)據(jù)加密、硬盤加密等多種技術(shù)方式保障數(shù)據(jù)物理存儲的安全性。對于企業(yè)在云端數(shù)據(jù)的安全,則應(yīng)按照數(shù)據(jù)中心或云計算安全評估技術(shù)標(biāo)準要求,嚴格根據(jù)數(shù)據(jù)類型進行對應(yīng)的技術(shù)手段。(3)在數(shù)據(jù)的傳輸環(huán)節(jié),企業(yè)重點工作包括采用加密或匿名化等手段對于數(shù)據(jù)進行處理。一方面,應(yīng)通過非對稱加密算法等不同技術(shù)手段對于數(shù)據(jù)傳輸鏈路或直接對于數(shù)據(jù)進行加密。另一方面,由于個人信息的收集、傳輸、處理標(biāo)準較高,數(shù)據(jù)泄露風(fēng)險日益嚴峻,企業(yè)還可通過算法等技術(shù)手段對于個人信息進行匿名化處理,再將相關(guān)數(shù)據(jù)用于流通領(lǐng)域。(4)在數(shù)據(jù)的使用環(huán)節(jié),企業(yè)既可以沿用配置防火墻、數(shù)據(jù)加密等傳統(tǒng)網(wǎng)絡(luò)安全防護措施,也可以采用數(shù)據(jù)安全域、數(shù)據(jù)日志管理和審計等、數(shù)據(jù)流量異常監(jiān)控等新的數(shù)據(jù)安全技術(shù)措施。(5)在數(shù)據(jù)共享環(huán)節(jié),企業(yè)可加強對于共享第三方主體的背景審查,并且將共享和披露數(shù)據(jù)的具體場景與具體的數(shù)據(jù)安全域技術(shù)進行結(jié)合。此外,還可以構(gòu)建統(tǒng)一的數(shù)據(jù)共享平臺,采用許可或授權(quán)的方式對數(shù)據(jù)離開平臺進行管理。(6)在數(shù)據(jù)的銷毀環(huán)節(jié),企業(yè)需要采用硬件或軟件方式,實現(xiàn)磁盤中數(shù)據(jù)的永久刪除和不可恢復(fù),包括硬盤粉碎機、硬盤折彎機等硬件處理方式,以及多次填充垃圾信息等軟件數(shù)據(jù)處理方式。
3.2管理制度措施建議
企業(yè)在管理制度方面可以采取的措施包括明確管理制度規(guī)程、完善安全管理架構(gòu)、構(gòu)建數(shù)據(jù)安全責(zé)任體系等。(1)在明確管理制度和規(guī)程方面,企業(yè)應(yīng)根據(jù)國家相關(guān)法律法規(guī)要求,進一步通過企業(yè)自身制度明確數(shù)據(jù)分級分類的標(biāo)準,同時在企業(yè)層面形成數(shù)據(jù)安全管理的總體要求,將其內(nèi)化為不同部門的工作任務(wù)。此外,還應(yīng)進一步明確數(shù)據(jù)全生命周期管理的實施細則,進一步加強與第三方合作/共享數(shù)據(jù)的安全管理分工,與國家關(guān)鍵數(shù)據(jù)或個人信息的管理制度做好銜接。(2)在數(shù)據(jù)安全管理架構(gòu)設(shè)置方面,企業(yè)應(yīng)建立從領(lǐng)導(dǎo)班子到業(yè)務(wù)主辦人員的數(shù)據(jù)安全管理組織架構(gòu)。為了更加有效地執(zhí)行企業(yè)數(shù)據(jù)安全管理制度,還可在涉及較大數(shù)據(jù)量的業(yè)務(wù)部門設(shè)置專職或兼職的安全管理崗位,做好與企業(yè)數(shù)據(jù)安全管理統(tǒng)籌部門的溝通和銜接,落實企業(yè)安全管理制度要求。(3)在構(gòu)建數(shù)據(jù)安全責(zé)任體系方面,企業(yè)應(yīng)增強法律意識和合規(guī)意識,加強對于涉及數(shù)據(jù)處理的合同審查,明確相關(guān)責(zé)任人及獎懲制度。此外,企業(yè)還應(yīng)進一步提升所有員工的數(shù)據(jù)安全意識,建立相應(yīng)的數(shù)據(jù)安全教育培訓(xùn)機制,組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)。
參考文獻
[1]王融.大數(shù)據(jù)時代:數(shù)據(jù)保護與流動規(guī)則[M].北京:人民郵電出版社,2017.
[2]馬義.大數(shù)據(jù)時代背景下計算機網(wǎng)絡(luò)信息安全防護技術(shù)研討[J].電腦知識與技術(shù),2017(25).
[3]朱輝,袁亮,孫琴.大數(shù)據(jù)時代企業(yè)信息安全管理體系分析[J].信息與電腦(理論版),2019(22).
作者:趙楨 單位:中國公路工程咨詢集團有限公司