机房360首页
当前位置:首页 » 系统安全 » 数据安全2——数据安全务虚杂谈

数据安全2——数据安全务虚杂谈

来源:腾讯网 作者: 更新时间:2021/2/4 10:19:13

摘要:那么本期,为了让大家对数据安全的全景有一个相对清晰的认知,因此我就从数据安全相关概念和定义去做一些普及,本期内容不会涉及具体的安全建设方法论,更多是作为科普性质做一些务虚的启蒙介绍,如果大家对数据安全管控感兴趣

  01

  前言

  上一期文章我们从权限模型的迭代路径聊了聊数据安全,但其实数据安全的范畴非常广泛,不是一个权限管控就能解决的,只是因为数据安全比较小众,因此选取大家比较熟悉的权限作为数据安全启蒙第一课。

  那么本期,为了让大家对数据安全的全景有一个相对清晰的认知,因此我就从数据安全相关概念和定义去做一些普及,本期内容不会涉及具体的安全建设方法论,更多是作为科普性质做一些务虚的启蒙介绍,如果大家对数据安全管控感兴趣,我还是强烈建议去研究下我第一期关于权限的内容,当然,更多关于数据安全的建设方法介绍,我会在后面几期内容阐述。

  02

  背景

  聊之前,还是先说一说为什么要关注数据安全:首先,自然是今年以来大家能明显感受到国家对用户隐私保护的逐渐重视,以及对互联网安全监管的收紧,国家安全法律法规趋于严格,一旦核心数据泄露,公司将面临严厉的行政处罚。

  其次,攻击后果越来越严重,可能引发颠覆性风险:随着数据资产在各个公司中的重要性逐渐增强,数据不再是一项可有可无的存在,无论你有意无意,数据资产的安全管控责任甚至能直接关系到企业的生死。

  例如,2017年,Yahoo!在被收购时,因俄罗斯军方入侵泄露的10亿用户信息,收购价格减少3.5亿美元;2017年9月15日,美国征信公司Equifax因被黑客入侵窃取数据,股价由141跌到92元,跌幅65%;2019年,美国一家成立几十年的邮件服务商VFEmail因黑客删除所有数据倒闭;2019年5月26日,易到租车因黑客入侵加密核心数据库,业务停摆数日,恢复困难。

  03

  概念

  那什么是信息安全?什么是技术安全?什么是数据安全?

  1、信息安全

  可能一提到安全,大家往往脑袋里想的可能是电影里的经典画面:一个天才少年敲几行代码就把美国国防部给黑掉了,这可能也是每一个小男孩儿时最想实现的梦想之一吧。

  但其实大家不知道的是,黑客的攻防只是安全领域比较小众的一个领域,而我们日常说的安全,其实是非常广的概念,广到每一个人几乎每天都有在涉及,包括政治安全、声誉安全、财务安全、公共安全、信息安全等等内容,可以说涵盖一切生产生活内容,而信息安全其实只是其中的一个分支。

  当然,各家互联网公司定义标准不一,如图1,以阿里云安全架构为例,阿⾥云提供了共11 个不同层⾯的安全架构保障,其中包括物理安全,硬件安全,虚拟化安全,云产品安全等4 个云平台层⾯的安全架构保障;以及账户安全,主机安全,应⽤安全,网络安全,数据安全,安全运营,业务安全等7 个云⽤户层⾯的安全架构保障。

  图1:阿里云安全架构图

  2. 技术安全

  互联网行业整体归属于信息行业,因此,技术安全整体属于信息安全范畴,信息安全的定义各家标准不一,如图1,以阿里云安全架构为例,而根据行业惯例把技术安全分成互联网通信安全、服务安全、数据安全、计算环境安全、物理安全、研发安全、操作安全等七个子领域,其中数据安全就是今天我们要介绍的范畴。

  3. 数据安全

  一张图概括数据安全,数据安全就是数据全生命周期中的处理管控符合安全法规。如图2,以安全行业经典的4A标准(账号、认证、鉴权、安全审计)作为横向划分,数据生产消费全链路(采集-传输-存储-加工-交换-应用-消费)均需满足账号、认证、鉴权和安全审计要求。

  图2:互联网公司数据安全生态位示意图

  04

  目标

  由此可见,上一期文章中我介绍的权限管控其实只是非常小的一个范畴,做好权限管控可不等于就做好了数据安全。那要这样才能做好数据安全管控?回答这个问题之前,不妨让我们把目光先转国外,参考亚马逊和谷歌的经验,基础安全工作建设大致上会经历3个阶段:“不信任外网”“不信任内网”“0信任”,每个阶段,对技术安全7个子领域的能力均有不同要求,能力雷达图示意如下:

  图3:技术安全能力要求雷达图

  借鉴圈内安全人士的评估,国内第二梯队公司如美团、百度、京东、滴滴、头条普遍处于“不信任外网”第一阶段,国内第一梯队公司阿里、腾讯处于“不信任内网”第二阶段,国外谷歌、亚马逊处于“0信任”第三阶段。纵观国内安全状况,可以说,绝大部分公司在技术安全领域做好外网隔离,即做好不信任外网都已经不易,更别说关注度更低的数据安全,所以,虽然我说权限管控不等于数据安全,但又不得不承认,现阶段要求各家公司在数据全链路体系中做到账号认证和开启鉴权可能都是一个比较大比较难的系统性工程了。

  因此,从战略上来说,实事求是的讲,现阶段,能做到“防君子不防小人”或许是一个比较性价比高的目标,即——能在公司日常数据生产应用流转中做到账号认证开启,权限授予最小化,数据血缘可追溯,操作行为有审计就能解决80%以上数据泄露case,而至于黑客攻防、内奸防范,不纠结,国内一线大厂自己都还没解决好呢,咱们就先不惦记了。

  05

  建议

  数据安全看似门槛超高,但其实最难的恰恰不是要开发什么黑科技以阻挡黑客进攻,最难的其实是培养安全防控意识。我曾经听过一句话,“一流的将军是让国家从不经历战争的将军,二流的将军是能打胜战的将军,三流的将军是打败战的将军,但大家往往只记住打了胜战的二流将军”。

  在数据安全领域,我深以为然,数据安全管控最好的公司往往不是技术最强的公司,而是安全意识最好的公司。最简单的例子,快递单上的个人电话号码,又有几家公司能做到脱敏显示?因此,这是技术实现的问题吗,我认为不是,这是意识问题!注重隐私保护,不随意授权,不随意将密码分发给他人等等,这些不需要投入技术做开发的安全管控措施,这些不被人看上的立法和管控措施,其实才是做好数据安全最重要的基石!

  责任编辑:张华

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/202124/n0954136887.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片