公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

《孫子兵法》的數(shù)據(jù)安全實踐

閱讀量：次

信息技術(shù)日新月異，數(shù)據(jù)已成為數(shù)字經(jīng)濟發(fā)展的核心生產(chǎn)要素，是國家重要資產(chǎn)和基礎(chǔ)戰(zhàn)略資源。隨著數(shù)據(jù)價值的愈加凸顯，數(shù)據(jù)安全風(fēng)險與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)販賣等數(shù)據(jù)安全事件頻發(fā)，為個人隱私、企業(yè)商業(yè)秘密、國家重要情報等帶來了嚴(yán)重的安全隱患。IBM security發(fā)布的《2021年數(shù)據(jù)泄露成本報告》顯示，數(shù)據(jù)泄露成本增長了近 10%，達(dá)到了 424 萬美元，創(chuàng)下歷史新高。應(yīng)對數(shù)據(jù)安全威脅，如同一場沒有硝煙的戰(zhàn)爭，能否打贏是關(guān)乎到個人隱私、社會安全乃至國家安全的重大問題。戰(zhàn)必有術(shù)，作為中國古典軍事文化遺產(chǎn)的璀璨瑰寶，《孫子兵法》的光輝在如今的數(shù)字化時代依然具有指導(dǎo)性意義。

【始計篇：兵者，國之大事】

數(shù)據(jù)作為土地、勞動力、資本、技術(shù)之后的第五生產(chǎn)要素，是我國經(jīng)濟增長的核心力量，數(shù)據(jù)安全已成為數(shù)字經(jīng)濟時代最緊迫和最基礎(chǔ)的安全問題，加強數(shù)據(jù)安全治理已成為維護(hù)國家安全和國家競爭力的戰(zhàn)略需要。正所謂，“兵者，國之大事。死生之地，存亡之道，不可不察也”。

《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《個人信息保護(hù)法》等法律的相繼落地施行，為數(shù)據(jù)保護(hù)提供了政策支持，護(hù)航數(shù)據(jù)安全，從而最大化發(fā)揮數(shù)據(jù)價值。

【作戰(zhàn)篇：知己知彼，百戰(zhàn)不殆】

維護(hù)數(shù)據(jù)安全有法可依，具體的數(shù)據(jù)安全工作如何展開？

首先，準(zhǔn)備工作包括：

制定安全規(guī)劃，確定數(shù)據(jù)安全的邊界范圍、目標(biāo)、基本原則以及工作重心。

設(shè)立專門的組織機構(gòu)，并細(xì)化數(shù)據(jù)安全管理職責(zé)和職能，明確各部門的協(xié)同配合和職責(zé)劃分。

建立完整的制度體系。在數(shù)據(jù)安全框架體系的基礎(chǔ)上，制定綱領(lǐng)、指南與安全實現(xiàn)設(shè)計規(guī)范以及管理辦法。建立完整的數(shù)據(jù)安全體系，確定面對不同的數(shù)據(jù)安全風(fēng)險采用何種技術(shù)方式應(yīng)對，并進(jìn)行落實。建立數(shù)據(jù)安全運營體系，使得數(shù)據(jù)安全工作能夠持續(xù)的改進(jìn)優(yōu)化，保證安全工作長久有效。

其次，在數(shù)據(jù)安全防護(hù)工作開展之前，需要進(jìn)行梳理評估數(shù)據(jù)資產(chǎn)。包括數(shù)據(jù)資產(chǎn)運行環(huán)境安全評估、數(shù)據(jù)分類分級以及權(quán)限梳理，以便清楚數(shù)據(jù)資產(chǎn)狀況，如數(shù)據(jù)資產(chǎn)的分類情況，敏感數(shù)據(jù)的分布情況，訪問者來源，訪問者本身擁有的權(quán)限是否滿足最小夠用原則。《數(shù)據(jù)安全法》的第二十一條明確指出“各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點保護(hù)”。對數(shù)據(jù)及相關(guān)信息進(jìn)行梳理，對數(shù)據(jù)進(jìn)行分類分級，是數(shù)據(jù)安全重要的第一步。正如兩軍交戰(zhàn)除了”勇”還要知己知彼，所謂“知彼知己者，百戰(zhàn)不殆”。

數(shù)據(jù)梳理

在對數(shù)據(jù)進(jìn)行梳理及分類分級后，針對數(shù)據(jù)不同的安全級別以及不同的應(yīng)用場景采取不同的防護(hù)，即“水因地而制流，兵因敵而制勝”，如此才能做到“致人而不致于人”。

對數(shù)據(jù)的訪問登錄采取多因子身份驗證，進(jìn)行持續(xù)認(rèn)證，動態(tài)訪問控制，防止非法訪問登錄；

對開發(fā)測試庫的數(shù)據(jù)需要進(jìn)行脫敏處理，防止開發(fā)測試環(huán)境的數(shù)據(jù)泄露；

對敏感數(shù)據(jù)的訪問采取精細(xì)化訪問控制、審批機制以及動態(tài)脫敏處理，防止對敏感數(shù)據(jù)的越權(quán)訪問，惡意操作等；

對高度敏感數(shù)據(jù)進(jìn)行密文存儲處理，保證即使被盜也無法訪問明文數(shù)據(jù)；

對外發(fā)的數(shù)據(jù)進(jìn)行數(shù)字水印保護(hù)，確保數(shù)據(jù)泄露能快速溯源；

對所有的數(shù)據(jù)訪問進(jìn)行審計，對敏感數(shù)據(jù)的訪問采取更嚴(yán)格的審計策略，做到全流程的完整操作審計，發(fā)生數(shù)據(jù)泄露時能及時告警，也能為追溯提供證據(jù)。

數(shù)據(jù)防護(hù)

【謀攻篇：不戰(zhàn)而屈人之兵】

?在數(shù)據(jù)安全工作中，僅僅防止竊取者的惡意行為是遠(yuǎn)遠(yuǎn)不夠的。數(shù)據(jù)安全防護(hù)是一個長期的工作，應(yīng)當(dāng)在做好防護(hù)的基礎(chǔ)上建立好安全工作的持續(xù)運營機制，快速響應(yīng)，持續(xù)改進(jìn)，并建立起良好的數(shù)據(jù)安全態(tài)勢感知與數(shù)據(jù)訪問的行為基線，實時監(jiān)控分析。一旦發(fā)現(xiàn)偏離于正?；€的訪問行為，就要對攻擊者的一舉一動進(jìn)行預(yù)警，以防止其進(jìn)一步破壞系統(tǒng)，竊取數(shù)據(jù)。

對數(shù)據(jù)全生命周期的、全方位的立體化防護(hù)，讓數(shù)據(jù)竊取者感受不到一絲希望，主動放棄，做到“不戰(zhàn)而屈人之兵”，達(dá)到攻擊者不敢應(yīng)戰(zhàn)，不戰(zhàn)而降的至高境界。

?數(shù)據(jù)安全不僅要從技術(shù)層面做好防范，還要我們每個人提高數(shù)據(jù)安全意識，在日常生活中要謹(jǐn)防落入贈送福利換取隱私數(shù)據(jù)的陷阱，如注冊送禮品，掃碼抽大獎，從數(shù)據(jù)的采集階段就筑牢數(shù)據(jù)安全防線。“故善用兵者，屈人之兵而非戰(zhàn)也”。征服不靠打勝仗，數(shù)據(jù)安全的世界里只靠技術(shù)手段也是萬萬不能的，數(shù)據(jù)安全要從規(guī)劃、組織、制度、技術(shù)、運營多個層面共同發(fā)力，相互配合，最終保證數(shù)據(jù)采集、傳輸、存儲、使用、共享和銷毀等生命周期各階段的安全。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

??? AiLPHA大數(shù)據(jù)智能安全事業(yè)群在安恒信息首席科學(xué)家劉博博士帶領(lǐng)下，以“智引新安全，數(shù)領(lǐng)大未來”為理念，打造行業(yè)引領(lǐng)的態(tài)勢感知、數(shù)據(jù)安全、零信任、隱私計算系列產(chǎn)品。目前AiLPHA平臺產(chǎn)品已經(jīng)服務(wù)于全國200多家省市級監(jiān)管單位，3000余家中大型政府、企業(yè)、金融、運營商等單位。產(chǎn)品和技術(shù)累計獲得世界互聯(lián)網(wǎng)大會領(lǐng)先科技成果、工信部示范試點項目、“攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體精品案例”等60多個獎項，團(tuán)隊擁有核心技術(shù)發(fā)明專利400余項，承擔(dān)省部級重大課題10項，核心產(chǎn)品AiLPHA態(tài)勢感知平臺連續(xù)多年被第三方咨詢機構(gòu)評為國內(nèi)綜合排名第一。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>