解构隐私信息泄漏难题,数安行提出数据运营安全新理念
近年来,随着全球信息化和数字化程度的不断加深,人类的生产生活方式正在发生深刻的变革,全球各行业都在加速数字化转型的进程 。而作为时代高速发展的核心动力,数据的价值得以凸显,爆发式增长,海量聚集的数据一面成为各行业的核心竞争力,一边也正在带来日益突出的数据安全风险 。
【解构隐私信息泄漏难题,数安行提出数据运营安全新理念】数据篡改、伪造、泄露、滥用,与针对企业数据的攻击、窃取、倒卖和劫持等安全事件层出不穷,如何保护数据安全已经成为当下各行业企业最为严峻的安全考验 。
以金融行业举例来看,金融行业在国民经济发展中占据着十分重要的地位,而作为数据密集型和科技驱动型行业,金融行业自身业务价值高,涉及资金、个人信息、征信信息等十分重要的数据,这些价值极高的个人金融信息数据正在成为不法分子紧盯的重点对象 。
根据中国互联网协会发布的《中国网民权益保护调查报告》,有78.2%的网民个人身份信息,63.4%的网民网络金融交易记录都曾被泄露过 。近年来 , 每年发生的金融隐私泄露事件以约35%的速度增加 , 2016年公开报道的金融隐私泄露事件1093起 , 2017年1511起 , 2018年1967起 , 2019年2300多起 , 2020年这个数字急剧增加 。
为什么中国金融业用户的隐私保护经常失败?
中国银行保险报最近发表了《金融业网络安全白皮书》 , 金融业数据保护主要存在数据安全相关法律法规体系不健全、金融业业务场景复杂、5G、AI等新兴技术带来了新的安全风险等多个挑战 。
首先 , 在法律法规水平上 , 与国际相比 , 中国数据安全和隐私保护相关立法起步较晚 , 今年国家就《中华人民共和国数据安全阀(草案)》和《中华人民共和国个人信息保护法(草案)》开始征求意见 , 行业监督机构也陆续发表了个人金融信息相关的安全标准 , 但总体来说 , 中国还没有形成严格的金融隐私保护法体系 , 各机构和平台主要以行政处罚为中心 。与其他国家经常发行数亿美元的天价违章停车票相比 , 很难对企业形成有效的抑制 , 重视企业的数据安全保护 。
其次 , 在技术水平上 , 5G等新技术的迅速应用给金融隐私保护带来了更多风险挑战 。截至2019年12月 , 微信号公众信号APP个人信息通报收到网民通报信息12125条信息 , 包括2300馀款app在内 , 移动金融app是非法手机使用个人信息的重大灾区云计算和大数据在为大数据分析提供便利的同时 , 收集了大量高价值数据
最后 , 金融业复杂多样的业务场景也是数据保护困难的重要原因 , 随着业务的发展 , 金融机构的业务系统多达数百个 , 应用场景多 , 其中承载了大量客户基础信息 , 业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据 。由于这些数据需要在每个系统之间进行不同的流动 , 数据流动的每个环节都有篡改和泄漏的风险 。
主要金融机构数据安全领域的控制实施情况
根据调查 , 目前金融业主要采用的数据安全保护手段仍然是传统的数据本身的保护 , 数据流通过程中数据共享的安全保护手段仍处于不足的状态 , 只有少量的金融机构进行相关试点和尝试 。
但实际上 , 数据的最大特征是流动 , 只有流动中的数据才能创造价值 。传统的防火墙和基于终端和边界的防护产品不能保护流动中的企业数据 。
如何根据企业业务状况构建动态系统化的长期安全运营机制 , 实现企业数据全生命周期安全管理战略落地 , 国内许多安全厂商以此为中心开展探索 。
数据运营安全对数据业务全过程的映射管理和安全防护
不久前 , 国内新一代数据安全技术创新厂商数据安全从数据运营的角度重新理解数据安全问题 , 国内首先提出数据运营安全(DataSecops)的防护理念 , 为数据运营嵌入数据安全属性 , 通过数据运营安全平台构建全过程数据自适应访问控制和防护规则体系 。
数据运营的安全目的是在不影响数据业务流程的正常运行的情况下 , 更有效地保护政治企业组织内的敏感数据资产 , 迅速应对敏感数据的扩散和滥用风险 , 将数据安全保护战略传达给参加数据运营的所有人 。安全保护和数据业务的独立运行互不影响 , 创造数据安全高效的价值 。
数据运营安全的解决构想 , 以数据运营为中心 , 要求数据存储和业务全过程无改造映射 , 安全防护和数据业务独立运营互不影响 , 实现真正的安全防护作为数据运营服务 , 促进数据安全有效流动 , 及时知道敏感的数据扩散风险 , 消除各种违规行为 , 迅速应对各种恶意泄露和攻击盗窃等危险事件 。
零信任数据运营安全平台原理图
数据安全行认为 , 数据安全风险发生在数据运营的各个环节 , 安全防护措施不仅要注视系统和网络安全 , 还要回到问题的本质 , 以数据运营的全过程为中心
数据运营安全与零信任结构的有机整合
数据安全CEO王文宇表示 , 数据安全基于零信任结构理论 , 构建了数据运营安全平台 , 将数据运营安全的思维产品化 , 以人工智能为中心 , 通过对数据业务的全过程进行无改造映射 , 不改变网络结构 , 不改造业务数安行在重要业务的访问保护和重要数据的隔离保护中使用零信任的安全结构 , 实现敏感数据的主客体的正确识别和风险动态评价 , 及时应对各种风险 。零信任的本质是持续验证 , 决不信任 , 身份验证和环境和用户风险评价是零信任的基础 , 也是数据运营安全的基础之一 , 两者具有有有机整合的基础逻辑基础 。
数安行数据运营安全平台对敏感的数据内容和使用环境进行持续的检查分析 , 对使用数据的主体用户也进行身份作用验证和持续的风险评价 , 使平台具有管理和双重验证用户身份和许可设备的能力 。
具有敏感数据、用户身份和风险的检测识别能力 , 可以正确识别内部扩散风险和非法滥用风险 。默认所有人和环境都不可靠 , 信赖状态也不断变化 , 基于这种持续、动态的风险评价 , 可以实现适应的安全防护 。
平台为企业提供自动化的数据价值发现和数据安全服务 , 实现隐私数据保护、商业秘密保护和数据业务的有效平衡 , 帮助用户管理追踪多种类型、多种来源的个人隐私数据和商业数据 , 促进各种数据作用的跨职能合作
数安行的价值是 , 我们建立能够实现数据运营安全的生态系统 , 为客户提供全场景的数据运营安全防护解决方案 , 让数据安全创造价值王文宇 。
