回看過去二十余年��,政府與企業(yè)的信息化程度不斷加深��,IT系統(tǒng)的復(fù)雜度與開放度隨之提升;伴隨云計算�、大數(shù)據(jù)、人工智能等新興技術(shù)的飛速發(fā)展�����,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料�����,已經(jīng)成為組織的核心資產(chǎn)����,受到前所未有的重視與保護(hù)。
美國安全公司 Carbon Black 2017年發(fā)布的勒索軟件調(diào)查報告顯示�����,和去年相比�����,暗網(wǎng)經(jīng)濟(jì)中勒索軟件的市場規(guī)模猛增了2502%��。數(shù)據(jù)的安全問題��,已成為企業(yè)資產(chǎn)安全性���、個人隱私安全性���、國家和社會安全的核心問題。
數(shù)據(jù)泄露路徑多元化
過去的幾年間��,大型數(shù)據(jù)泄露事件層出不窮�����,幾乎涵蓋了所有行業(yè)�,這其中不免存在媒體聚焦度提升帶來的輿論轉(zhuǎn)移,但究其根本是社會各界對于數(shù)據(jù)資產(chǎn)安全的關(guān)注度與日俱增���。這一系列數(shù)據(jù)泄露事件的不斷發(fā)生��,正在倒逼政府主管機(jī)構(gòu)和企業(yè)對數(shù)據(jù)安全建設(shè)重視與落實�����。
從不斷發(fā)生的數(shù)據(jù)泄露事件來看����,泄露途徑既有黑客的攻擊,更有內(nèi)部工作人員的信息販賣�����、離職員工的信息泄露�、第三方外包人員的交易行為、數(shù)據(jù)共享第三方的數(shù)據(jù)泄露���、開發(fā)測試人員的違規(guī)等����;究其原因既有安全意識的薄弱��,也有由于安全體系的老舊或安全策略的過時而導(dǎo)致的數(shù)據(jù)泄露���。
這些復(fù)雜的泄露途徑無一不在證明:傳統(tǒng)網(wǎng)絡(luò)安全中以抵御攻擊為中心���、以黑客為防御對象的策略和安全體系構(gòu)建存在重大的安全缺陷,傳統(tǒng)網(wǎng)絡(luò)安全為中心需要向以數(shù)據(jù)為中心的安全策略轉(zhuǎn)變��。
數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)大爆發(fā)
安全事件層出不窮��,企業(yè)資產(chǎn)和國家安全面臨挑戰(zhàn),個人隱私大范圍泄露�����,在數(shù)據(jù)高度發(fā)展的時代����,這些都為社會的安定��、個體自由與安全帶來了巨大挑戰(zhàn)��。因此各國都相繼出臺了大量的法規(guī)����,對個人、企業(yè)和國家重要數(shù)據(jù)進(jìn)行保護(hù)��。這里列出一些重要的法規(guī)包括:
我國在2016年出臺�����,2017年6月1日正式生效的網(wǎng)絡(luò)安全法�,全稱《中華人民共和國網(wǎng)絡(luò)安全法》。
歐盟在2015年出臺���,2018年5月正式生效的一般數(shù)據(jù)保護(hù)條例��,全稱為《General Data Protection Regulation》(簡稱GDPR)�。
我國在2018年正式出臺,5月1日正式生效�����,個人信息安全規(guī)范��,GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》�。
我國已經(jīng)在制定即將頒布的《數(shù)據(jù)出境管理辦法》、《重要數(shù)據(jù)管理辦法》�、《中華人民共和國密碼法》等。
這些法律法規(guī)都將對企業(yè)和政府單位的IT安全策略制定和安全體系的架構(gòu)產(chǎn)生重要影響�;在這些法規(guī)中都將數(shù)據(jù)作為了最為重要的防護(hù)對象,提出了重要的安全要求�����;對于這些法規(guī)的遵守將影響企業(yè)的聲譽(yù)��、合規(guī)甚至存亡��。
數(shù)據(jù)安全建設(shè)需要有系統(tǒng)化思維和建設(shè)框架
隨著數(shù)據(jù)安全的重要度提升�,用戶在這個方向的投資也在增大���,據(jù)KVB Research2017年大數(shù)據(jù)安全報告預(yù)測顯示,大數(shù)據(jù)安全上2017年全球投資達(dá)到102億美金��,并且以17%的年復(fù)合增長率在擴(kuò)大��,到2023年將達(dá)到309億美金����,也就是2000億人民幣�����。
KVB Research在big data security上的市場預(yù)測
而在我國隨著網(wǎng)絡(luò)安全法的出臺����,數(shù)據(jù)資產(chǎn)價值得到確認(rèn),政府機(jī)構(gòu)和企業(yè)在這個方向的投資也在加大��,以數(shù)據(jù)審計��、脫敏和加密為目標(biāo)的數(shù)據(jù)安全投資正在成為采購的熱點�����。
當(dāng)前這些采購大多以單獨產(chǎn)品采購為主,這些采購的發(fā)起部門也各不相同���。大型的IT組織正在陷入疑問�,數(shù)據(jù)安全的建設(shè)是否有系統(tǒng)化的方法�����?是否要沿用傳統(tǒng)的網(wǎng)絡(luò)安全的處理策略�,通過邊界防護(hù)和防止攻擊的方式來進(jìn)行數(shù)據(jù)保護(hù)?數(shù)據(jù)安全的責(zé)任主體�����,是由數(shù)據(jù)存儲所在的部門��、數(shù)據(jù)處理的業(yè)務(wù)部門還是負(fù)責(zé)對數(shù)據(jù)進(jìn)行運(yùn)維的部門負(fù)責(zé)����?這些不同的產(chǎn)品之間彼此割裂還是具有聯(lián)動性質(zhì)?這些產(chǎn)品的應(yīng)用上應(yīng)該采用什么樣的安全措施等等���,疑問叢生����。
這些疑慮非常正常,因為數(shù)據(jù)與業(yè)務(wù)系統(tǒng)的高度融入�,數(shù)據(jù)如何被使用、數(shù)據(jù)的價值更被業(yè)務(wù)部門所識別�;但是安全法規(guī),又通常由單位或企業(yè)的安全或保密部門所負(fù)責(zé)�����;數(shù)據(jù)安全產(chǎn)品的采購和使用����,需要系統(tǒng)化的方法,需要與數(shù)據(jù)處理的業(yè)務(wù)場景整合�����,既能保證數(shù)據(jù)使用行為不受影響�����,又能保證必要的安全措施能夠得到保障���。
數(shù)據(jù)安全治理的思路,正是這種將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起����,綜合業(yè)務(wù)�����、安全�、網(wǎng)絡(luò)等多部門多角色的訴求�,總結(jié)歸納為系統(tǒng)化的思路和方法。
產(chǎn)品咨詢:4000 258 365 
