回看過去二十余年,政府與企業(yè)的信息化程度不斷加深�����,IT系統(tǒng)的復(fù)雜度與開放度隨之提升����;伴隨云計算、大數(shù)據(jù)�����、人工智能等新興技術(shù)的飛速發(fā)展�,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料,已經(jīng)成為組織的核心資產(chǎn)����,受到前所未有的重視與保護(hù)。
美國安全公司 Carbon Black 2017年發(fā)布的勒索軟件調(diào)查報告顯示��,和去年相比�����,暗網(wǎng)經(jīng)濟中勒索軟件的市場規(guī)模猛增了2502%�����。數(shù)據(jù)的安全問題���,已成為企業(yè)資產(chǎn)安全性��、個人隱私安全性�����、國家和社會安全的核心問題���。
數(shù)據(jù)泄露路徑多元化
過去的幾年間,大型數(shù)據(jù)泄露事件層出不窮���,幾乎涵蓋了所有行業(yè)�,這其中不免存在媒體聚焦度提升帶來的輿論轉(zhuǎn)移����,但究其根本是社會各界對于數(shù)據(jù)資產(chǎn)安全的關(guān)注度與日俱增��。這一系列數(shù)據(jù)泄露事件的不斷發(fā)生�����,正在倒逼政府主管機構(gòu)和企業(yè)對數(shù)據(jù)安全建設(shè)重視與落實���。
從不斷發(fā)生的數(shù)據(jù)泄露事件來看,泄露途徑既有黑客的攻擊��,更有內(nèi)部工作人員的信息販賣��、離職員工的信息泄露���、第三方外包人員的交易行為���、數(shù)據(jù)共享第三方的數(shù)據(jù)泄露、開發(fā)測試人員的違規(guī)等�����;究其原因既有安全意識的薄弱����,也有由于安全體系的老舊或安全策略的過時而導(dǎo)致的數(shù)據(jù)泄露����。
這些復(fù)雜的泄露途徑無一不在證明:傳統(tǒng)網(wǎng)絡(luò)安全中以抵御攻擊為中心�、以黑客為防御對象的策略和安全體系構(gòu)建存在重大的安全缺陷��,傳統(tǒng)網(wǎng)絡(luò)安全為中心需要向以數(shù)據(jù)為中心的安全策略轉(zhuǎn)變�。
數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)大爆發(fā)
安全事件層出不窮,企業(yè)資產(chǎn)和國家安全面臨挑戰(zhàn)���,個人隱私大范圍泄露�����,在數(shù)據(jù)高度發(fā)展的時代����,這些都為社會的安定���、個體自由與安全帶來了巨大挑戰(zhàn)��。因此各國都相繼出臺了大量的法規(guī)�����,對個人����、企業(yè)和國家重要數(shù)據(jù)進(jìn)行保護(hù)。這里列出一些重要的法規(guī)包括:
我國在2016年出臺�,2017年6月1日正式生效的網(wǎng)絡(luò)安全法,全稱《中華人民共和國網(wǎng)絡(luò)安全法》����。
歐盟在2015年出臺,2018年5月正式生效的一般數(shù)據(jù)保護(hù)條例�,全稱為《General Data Protection Regulation》(簡稱GDPR)。
我國在2018年正式出臺�����,5月1日正式生效��,個人信息安全規(guī)范�,GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》。
我國已經(jīng)在制定即將頒布的《數(shù)據(jù)出境管理辦法》�、《重要數(shù)據(jù)管理辦法》、《中華人民共和國密碼法》等��。
這些法律法規(guī)都將對企業(yè)和政府單位的IT安全策略制定和安全體系的架構(gòu)產(chǎn)生重要影響;在這些法規(guī)中都將數(shù)據(jù)作為了最為重要的防護(hù)對象�,提出了重要的安全要求;對于這些法規(guī)的遵守將影響企業(yè)的聲譽���、合規(guī)甚至存亡�。
數(shù)據(jù)安全建設(shè)需要有系統(tǒng)化思維和建設(shè)框架
隨著數(shù)據(jù)安全的重要度提升�����,用戶在這個方向的投資也在增大�,據(jù)KVB Research2017年大數(shù)據(jù)安全報告預(yù)測顯示��,大數(shù)據(jù)安全上2017年全球投資達(dá)到102億美金��,并且以17%的年復(fù)合增長率在擴大�,到2023年將達(dá)到309億美金,也就是2000億人民幣����。
KVB Research在big data security上的市場預(yù)測
而在我國隨著網(wǎng)絡(luò)安全法的出臺,數(shù)據(jù)資產(chǎn)價值得到確認(rèn)�,政府機構(gòu)和企業(yè)在這個方向的投資也在加大,以數(shù)據(jù)審計�����、脫敏和加密為目標(biāo)的數(shù)據(jù)安全投資正在成為采購的熱點。
當(dāng)前這些采購大多以單獨產(chǎn)品采購為主��,這些采購的發(fā)起部門也各不相同����。大型的IT組織正在陷入疑問,數(shù)據(jù)安全的建設(shè)是否有系統(tǒng)化的方法�?是否要沿用傳統(tǒng)的網(wǎng)絡(luò)安全的處理策略,通過邊界防護(hù)和防止攻擊的方式來進(jìn)行數(shù)據(jù)保護(hù)����?數(shù)據(jù)安全的責(zé)任主體,是由數(shù)據(jù)存儲所在的部門���、數(shù)據(jù)處理的業(yè)務(wù)部門還是負(fù)責(zé)對數(shù)據(jù)進(jìn)行運維的部門負(fù)責(zé)�����?這些不同的產(chǎn)品之間彼此割裂還是具有聯(lián)動性質(zhì)���?這些產(chǎn)品的應(yīng)用上應(yīng)該采用什么樣的安全措施等等,疑問叢生����。
這些疑慮非常正常�,因為數(shù)據(jù)與業(yè)務(wù)系統(tǒng)的高度融入���,數(shù)據(jù)如何被使用���、數(shù)據(jù)的價值更被業(yè)務(wù)部門所識別;但是安全法規(guī)�����,又通常由單位或企業(yè)的安全或保密部門所負(fù)責(zé)�;數(shù)據(jù)安全產(chǎn)品的采購和使用�,需要系統(tǒng)化的方法,需要與數(shù)據(jù)處理的業(yè)務(wù)場景整合�,既能保證數(shù)據(jù)使用行為不受影響,又能保證必要的安全措施能夠得到保障�����。
數(shù)據(jù)安全治理的思路�����,正是這種將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起,綜合業(yè)務(wù)��、安全�����、網(wǎng)絡(luò)等多部門多角色的訴求����,總結(jié)歸納為系統(tǒng)化的思路和方法。
產(chǎn)品咨詢:4000 258 365 
