上海
關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全,我們常聽到如下兩種不同聲音:
觀點一:網(wǎng)絡(luò)安全是數(shù)據(jù)安全的基礎(chǔ),把當年做網(wǎng)絡(luò)安全的那一套用數(shù)據(jù)安全再做一遍。
觀點二:數(shù)據(jù)安全如今普遍以為是網(wǎng)絡(luò)安全的延伸,實際情況是忽略數(shù)據(jù)資產(chǎn)與業(yè)務(wù)之間的關(guān)系,沒有厘清數(shù)據(jù)對象、數(shù)據(jù)實體和數(shù)據(jù)主體的關(guān)系,而一味的用等保思路滿足合規(guī)。WRONG!只有懂得數(shù)據(jù)價值才知道數(shù)據(jù)安全。
這兩種觀點也都有較明顯的代表人物,綜合安全廠商既做網(wǎng)絡(luò)安全,又做數(shù)據(jù)安全,可以將二者很好結(jié)合,提供綜合安全解決方案;專門的數(shù)據(jù)安全廠商,將數(shù)據(jù)安全與網(wǎng)絡(luò)安全解耦,強調(diào)業(yè)務(wù)場景。“網(wǎng)絡(luò)安全”和“數(shù)據(jù)安全”這兩到底啥關(guān)系,有啥異同?今天來捋一捋。
法規(guī)視角
廣義的網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護。它包括系統(tǒng)連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷,系統(tǒng)中的信息不因偶然的或惡意的行為而遭到破壞、更改或泄露狹義的網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)傳輸?shù)陌踩?/strong>
《中華人民共和國數(shù)據(jù)安全法》,自2021年9月1日起施行。 根據(jù)《數(shù)據(jù)安全法》第三條的定義,數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
數(shù)據(jù)安全要保證數(shù)據(jù)處理的全過程安全,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。
《數(shù)據(jù)安全法》第二十七條要求,開展數(shù)據(jù)處理活動應(yīng)對依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理的活動,應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護義務(wù)。
綜上,廣義的網(wǎng)絡(luò)安全包含數(shù)據(jù)安全;網(wǎng)絡(luò)安全是數(shù)據(jù)安全的基礎(chǔ),需在等保基礎(chǔ)上,實施數(shù)據(jù)安全保護。但數(shù)據(jù)安全的目的不只是安全與合規(guī),最大價值還是在促進數(shù)據(jù)安全有序流通,充分發(fā)揮業(yè)務(wù)數(shù)據(jù)價值。
自2025年1月1日起,《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》施行。
“以終為始”視角
以終為始的視角看安全防護,壞人有兩類:黑客和內(nèi)鬼。
對于黑客來說,攻擊的目的有三種:
- 看你不爽,讓你網(wǎng)絡(luò)癱瘓,服務(wù)不可用;
- 竊取數(shù)據(jù),暗網(wǎng)上賣點銀子;
- 勒索,加密勒索,曝光勒索,獲取利益。
- 對于內(nèi)鬼來說,兩個目的:
- 干得不爽,泄憤報復(fù),埋個雷;
- 內(nèi)部數(shù)據(jù)泄露,為情,為錢,為其他。
當下數(shù)據(jù)已經(jīng)成為與土地、勞動力、資本、技術(shù)并重的第五大生產(chǎn)要素,數(shù)據(jù)是企業(yè)的核心資產(chǎn)。2024年,西部數(shù)據(jù)交易中心與華夏銀行重慶分行攜手合作,成功創(chuàng)設(shè)并發(fā)放全國首筆“數(shù)據(jù)資產(chǎn)掛鉤抵押貸款”,為重慶兩江智慧城市投資發(fā)展有限公司提供130萬元貸款。與以往的數(shù)據(jù)資產(chǎn)信貸業(yè)務(wù)有所不同,此次業(yè)務(wù)極具創(chuàng)新性地將貸款利率與企業(yè)數(shù)據(jù)資產(chǎn)價值緊密掛鉤,當企業(yè)的數(shù)據(jù)資產(chǎn)價值不斷提升時,貸款利率便會隨之下降。
產(chǎn)品視角
2021年,美國總統(tǒng)拜登簽署行政令要求政府各級部門落實零信任技術(shù)。美國國防部發(fā)布了他們的零信任參考架構(gòu),其中數(shù)據(jù)級的訪問控制占了一大部分。SDP架構(gòu)是零信任理念目前最好的技術(shù)實現(xiàn)方案,也是最好的訪問控制安全架構(gòu)。用零信任架構(gòu)來落實數(shù)據(jù)的訪問控制是一種非常可行的選擇。零信任數(shù)據(jù)安全方案的主要特色在于數(shù)據(jù)的權(quán)限管控,可以基于身份和數(shù)據(jù)屬性進行細粒度的授權(quán)。由此可知,可以通過身份安全、網(wǎng)絡(luò)安全實現(xiàn)數(shù)據(jù)安全訪問控制。
項目視角
過去做網(wǎng)絡(luò)安全項目,梳理下客戶的網(wǎng)絡(luò)拓撲,就直接上設(shè)備了,不大關(guān)心客戶業(yè)務(wù)場景,類似黑盒。
數(shù)據(jù)安全和客戶業(yè)務(wù)強耦合,數(shù)據(jù)安全項目建設(shè)需要懂客戶業(yè)務(wù)場景,摸盤客戶數(shù)據(jù)資產(chǎn),梳理數(shù)據(jù)流轉(zhuǎn)鏈路,厘清數(shù)據(jù)對象、數(shù)據(jù)實體和數(shù)據(jù)主體的關(guān)系數(shù)據(jù)。數(shù)據(jù)安全項目實施,需要做大量的調(diào)研評估。同時,不能追求滿分安全,也沒有百分之百的安全,數(shù)據(jù)安全需要平衡安全和業(yè)務(wù)的關(guān)系。
文件硬盤數(shù)據(jù)銷毀
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
