傳統(tǒng)信息安全體系忽視了數(shù)據(jù)本身的安全,已經成為數(shù)據(jù)泄密大規(guī)模爆發(fā)的溫床。隨著移動應用的廣泛使用,和大數(shù)據(jù)時代海量數(shù)據(jù)的新特點出現(xiàn),數(shù)據(jù)泄密將會進一步加劇發(fā)生。而正在到來的云計算時代,數(shù)據(jù)安全更成為最重要的關注點。如何通過全新的數(shù)據(jù)安全理論和技術架構,從根本上避免數(shù)據(jù)泄密?
針對當前的數(shù)據(jù)安全現(xiàn)狀,和面向未來的云計算時代,全球頂尖的數(shù)據(jù)安全專家各抒己見,各展其能,紛紛推出了不同類型的數(shù)據(jù)安全理論。多年以來的探索和發(fā)展中,以解決下一代數(shù)據(jù)安全為核心任務的全新體系已經誕生。
北京思智泰克是由全球頂級密碼學和防泄密專家劉昊原所創(chuàng)立,基于十年來在密碼和加密技術方面的深度研究,以及在政府、軍隊軍工、涉密單位和企業(yè)級用戶的廣泛應用基礎上,已經推出面向當前和未來數(shù)據(jù)安全需求的全新數(shù)據(jù)安全體系。
一、傳統(tǒng)網絡分層安全體系的缺陷是大規(guī)模數(shù)據(jù)泄密的根源
有效地分析網絡安全現(xiàn)狀和數(shù)據(jù)泄密的各種原因,找出根本點,是創(chuàng)建全新數(shù)據(jù)安全體系的第一步。這一步往往是最重要的,直接決定著新體系的成敗。
劉昊原,這位獲得過世界最高級別的密碼學成就的專家指出,傳統(tǒng)的信息安全體系,以BMB-17為例,主要從物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個方面來評估企業(yè)的安全現(xiàn)狀。在這樣的信息安全體系中,雖然應用安全和數(shù)據(jù)安全是其所強調的核心部分,也是評估企業(yè)保密工作情況的重要參考點,但恰好在數(shù)據(jù)安全環(huán)節(jié)基本上是一片空白。
在過去十多年的信息安全發(fā)展史上,不管是殺毒軟件、防火墻、入侵檢測防御這“老三樣”,還是終端管理、桌面管理、郵件管理、應用管理等,都不是直接以數(shù)據(jù)為中心的安全產品。這些產品主要的作用,是用來保護網絡系統(tǒng)的物理安全,以及各種應用的業(yè)務安全,而不是用于防止數(shù)據(jù)泄密的措施。
由于傳統(tǒng)的分層安全體系,在建設中缺少“數(shù)據(jù)安全”這一環(huán)節(jié),所以才存在這么多的數(shù)據(jù)泄密漏洞,直接導致大規(guī)模數(shù)據(jù)泄密事件的發(fā)生。
二、基于業(yè)務流,建立數(shù)據(jù)的全生命周期安全體系是前提
在傳統(tǒng)安全防護模式下,各個系統(tǒng)都得到了嚴密的保護。但是各個系統(tǒng)內的數(shù)據(jù)卻并沒有直接進行保護。而且,由于各種系統(tǒng)之間的連接,以及數(shù)據(jù)在脫離系統(tǒng)之后的應用方面,缺少有效的防護,結果形成了一個又一個的獨立“安全孤島”。
從各種惡意攻擊中也發(fā)現(xiàn),攻擊系統(tǒng)之間的連接比直接攻擊指定系統(tǒng)要容易得多,相關流程中的薄弱環(huán)節(jié)會讓安全防護崩潰。云計算的出現(xiàn)增加了安全防護的復雜性與未知性,對數(shù)據(jù)的不同生命周期都提出了安全考驗,可信云計算面臨新的挑戰(zhàn)。用戶數(shù)據(jù)從終端通過傳輸環(huán)節(jié)進入云端,在虛擬化環(huán)境中分散存放。受“安全孤島”效應的影響,數(shù)據(jù)在云端的存儲、遷移、應用過程中都面臨著未知的安全風險。數(shù)據(jù)是云計算的核心,所以,保護數(shù)據(jù)的安全性是云計算的重點與難點。這就需要從源頭上考慮,并且消除獨立的“安全孤島”,消除分散系統(tǒng)之間的薄弱環(huán)節(jié),讓云計算變得可信。
在數(shù)據(jù)的不同生命周期,所面臨的可信環(huán)境不同,其安全風險也就不同,只有在全生命周期里都能對用戶數(shù)據(jù)提供可靠的安全防護,才是可信的云計算。簡單而言,能夠保護數(shù)據(jù)生命周期的各個方面安全性的云計算才是可信的云計算。這就需要將信息安全保護方式從關注處理數(shù)據(jù)的系統(tǒng)的可信性模型轉到為數(shù)據(jù)本身提供安全防護的模型。
數(shù)據(jù)的全生命周期安全防護,意味著從數(shù)據(jù)創(chuàng)建、存儲、使用、流轉和銷毀的整個過程對數(shù)據(jù)進行保護。要分析數(shù)據(jù)的全生命周期,就不得不基于業(yè)務流進行。單純地談數(shù)據(jù)保護,往往只會覆蓋部分環(huán)節(jié),而基于業(yè)務流,對于數(shù)據(jù)的全生命周期保護才有更為全面和實際的意義。
針對企業(yè)級用戶來說,用全生命周期來分析,數(shù)據(jù)可以分為以下幾個部分:
1、數(shù)據(jù)的創(chuàng)建、產生環(huán)節(jié)
內部核心數(shù)據(jù)部門,比如研發(fā)部、設計部等
內部的辦公區(qū)域,比如財務、銷售、行政機構等
2、數(shù)據(jù)的使用環(huán)節(jié)
針對具體的文檔和數(shù)據(jù)的使用、分配等
3、數(shù)據(jù)的存儲環(huán)節(jié)
服務器區(qū)、臺式機、工作站、移動存儲設備、筆記本電腦等
4、數(shù)據(jù)流轉環(huán)節(jié)
個體之間的、部門之間的數(shù)據(jù)交互,以及數(shù)據(jù)需要交換到外部等
5、數(shù)據(jù)的銷毀環(huán)節(jié)
針對數(shù)據(jù)的直接刪除,或者各種存儲設備如服務器、移動存儲設備、硬盤等的報廢等
三、部署和實施針對數(shù)據(jù)進行安全保護的先進系統(tǒng)是關鍵
要想實現(xiàn)這種全數(shù)據(jù)生命周期的安全防護,至少需要做的五點:
1、對數(shù)據(jù)進行嚴密的加密防護;
2、更加精準的身份認證;
3、確保數(shù)據(jù)的細粒度使用權限;
4、對數(shù)據(jù)流轉和使用的各個環(huán)節(jié)進行掌控;
5、對數(shù)據(jù)全生命周期進行安全審計。
如前所述,不管是殺毒軟件、防火墻、入侵檢測防御這“老三樣”,還是終端管理、桌面管理、郵件管理、應用管理等等,都不是直接以數(shù)據(jù)為中心的安全產品。
目前全球針對數(shù)據(jù)安全為中心的系統(tǒng),有兩大類型,一類是以賽門鐵克為代表的數(shù)據(jù)丟失防護(DLP),另一類就是以思智泰克為首的企業(yè)權限管理ERM。
思智泰克,創(chuàng)立于2001年,是中國首批從事加密技術和產品開發(fā)的國內安全廠商,與國家信息安全技術研究中心簽署有戰(zhàn)略合作協(xié)議。思智ERM是第五代革命性數(shù)據(jù)無損加密系統(tǒng),在政府、軍隊軍工、電信、制造、汽車、設計院所等近萬家用戶實施,是國內加密軟件行業(yè)處于領先地位的品牌,一直處在加密軟件產品研發(fā)和應用的前沿。
四、科學而有效的數(shù)據(jù)防泄密風險評估和治理是保證
要確保建立全生命周期的數(shù)據(jù)安全體系,就必須有一套科學嚴謹?shù)姆椒ㄕ摗R匀蝾I先的企業(yè)權限管理ERM產品的代表者思智泰克的體系為例,主要有以下三個方面的要點:
1、數(shù)據(jù)安全評估
思智泰克有一套自成體系的數(shù)據(jù)安全評估方法,主要針對數(shù)據(jù)安全保護的意識、措施和制度三個方面來考察。評估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀,要考慮三個基本環(huán)節(jié):人、設備和數(shù)據(jù)。其中必須以人為本,以數(shù)據(jù)為中心,以設備為落腳點。
企業(yè)領導是否有數(shù)據(jù)保密意識?員工是否能遵守保密制度?這些都是重點。企業(yè)領導和員工具備良好的保密意識,部署實施先進的防泄密系統(tǒng),輔之健全措施和制度,能大大提升企業(yè)核心資產的信息安全。
2、數(shù)據(jù)安全風險分析
不同類型的數(shù)據(jù)形式,以及數(shù)據(jù)的不同狀態(tài),都有其不同的泄密風險層級。根據(jù)思智泰克的方法論,對數(shù)據(jù)可以分為以下幾種類型:業(yè)務類(客戶資料、財務報表、交易數(shù)據(jù)、分析統(tǒng)計數(shù)據(jù));行政類(市場宣傳計劃,采購成本、合同定單、物流信息、管理制度等);機要類(公文、統(tǒng)計數(shù)據(jù)、機要文件,軍事情報、軍事地圖);科研類(調查報告、咨詢報告、招投標文件、專利、客戶資產、價格;設計類,包括設計圖、設計方案、策劃文案等)。文檔和數(shù)據(jù)往往并不是以靜態(tài)的方式保存,還包括數(shù)據(jù)的使用、流轉、外發(fā)等形式。
針對數(shù)據(jù),可以分為不同的風險等級,比如內部核心數(shù)據(jù)部門,像研發(fā)部、設計部等,風險高度集中;而內部的辦公區(qū)域,比如財務、銷售、行政機構等,也需要加強防范;對于服務器區(qū)域,數(shù)據(jù)的存在方式以及訪問的權限都需要重點把控;對外出辦公的人員,注重安全的同時也需要兼顧便捷;對外發(fā)數(shù)據(jù)和文檔,需要嚴密控制。往往在實際應用中,數(shù)據(jù)處于不同的場景,其管控的方式也不一樣。
3、數(shù)據(jù)安全風險治理
面對前面提到的種種風險,企業(yè)該如何避開這些風險?將企業(yè)面臨的數(shù)據(jù)泄露風險降到最低?這就是涉及到對風險的管控和治理。
要做好企業(yè)風險治理,首先必須明確目標,這個目標就是將企業(yè)信息泄露風險降到可接受水平。,就是要分析企業(yè)信息安全盲點,包括技術上和制度上的,然后逐一消除這些盲點。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.hanmeixuan.com/
本文標題:下一代數(shù)據(jù)安全之:全新的數(shù)據(jù)防泄密體系
本文網址:http://www.hanmeixuan.com/html/consultation/1083955156.html
相關文章
