您的位置: 白银信息港 > 故事

拿什么来保护我们的数据安全

发布时间:2019-12-05 06:53:33

什么是数据安全防御?专家戏称“就是不让黑客攻进来,即使进来了也要阻止他找到,即使找到也要阻止他拿走,即使拿走了也要阻止他看懂”。在当前大数据和云计算扑面而来的时代,数据安全防御技术和应用迎来一个前所未有的发展机遇期,当然,也将面临更多的挑战。近日,国内数据安全、移动安全、云安全及加密应用技术解决方案服务商北京明朝万达公司对外发布“Chinasec(安元)数据防泄漏网关产品”,引发了各界人士对大数据与云计算热潮下数据安全防护的思考与热议。

“互联网+”挑战数据安全防御

“企业开始做PC端加密防护,后来做移动加密防护,现在做NDLP网关防护。随着数据应用的不同,安全防护手段也不同。”明朝万达首席科学家喻波认为,随着“互联网+”迅速渗透应用到各个行业,数据安全防御技术也迎来前所未有的挑战,数据安全防护企业必须随着互联网应用的发展而发展,不断研发升级更多安全措施的安全产品。此次明朝万达发布的Chinasec(安元)数据防泄漏网关产品就是依据零拷贝和内容识别技术,对企业外网出口进行内容审计,监测或阻断敏感数据外发过程,可确保企业边界安全防护,极大提高了金融领域数据安全防护能力,同时丰富了明朝万达数据防泄漏产品线,打造成一整套的数据安全管理体系,限度提升业务系统价值,让安全真正服务于业务。

“安全标准首先应该从企业智能终端做起,然后上升到行业乃至国家标准,充分发挥市场配置资源的决定性作用。”中关村网络安全与信息化产业联盟EMCG工作组组长王克介绍,今年,该联盟发布了EMCG标准,即企业移动终端设备安全等级产品规格,管理API规范,终端应用开发、安装、运行管控机制三项标准,主要目的是解决我国移动终端产品种类、功能术语不一致,各终端操作系统接口不统一,安卓系统安全风险不断增大等问题。

“今年年底到明年年初,对应整个等级保护的标准体系所建立的新一代互联网等级保护的系列标准有望发布。”公安部信息安全等级保护评估中心张宇翔介绍,云计算、物联网、移动互联和工业控制等新技术新应用在国家关键信息基础设施领域的应用日益广泛,对信息安全等级保护原有标准体系中标准的适用性提出了挑战,例如定级对象的确定,具体的保护要求、实现方法和测评方法都将有所不同。目前在云计算、移动互联、物联网、管控四个领域面临的安全威胁和挑战都非常严峻,为应对这些挑战,中心已经建立了12个子标准。

数据防护仍有产业鸿沟

“随着云计算、大数据、移动互联网的普及,数据将成为企业重要资产,如何保护数据成为企业未来亟待解决的问题,信息安全防护正从传统边界防护向数据内容防护转变。”明朝万达研发副总裁张静介绍,在网络安全领域,数据防泄漏(DLP)产品在国内缺乏技术成熟稳定可靠的产品,市场主要由国外产品主导。为此,明朝万达近年来投入大量资金研发DLP网关,目的就是要在技术上实现自主可控,达到国内水平,摆脱国外产品垄断局面。

“通常情况下,高校、研究院所注重的是学术研究工作,基础型科技成果很难实现转化和产业化,即使部分应用型科技成果转化成产品、实践于市场,仍需要花较大的功夫完善。较之于高校、科研院所的研发工作,企业的研发工作更加‘接地气’。”明朝万达销售副总裁王东直言,企业开发产品时必须考虑市场的需要。这样以来,安全和效率在一定情况下会存在矛盾,毕竟创造效益是商业机构的本性,企业往往不会以降低效率为代价换取生产方面的安全保证。

“数据库在云上的加密难度是非常大的,国内外都没有太成熟的技术。”喻波注意到近日中科院和阿里正在联合研发量子加密产品,在他看来,量子加密未来是一个很好的方向,中科院和阿里已经在密钥分发的过程中用量子实现了加密,但是从实验室到产业化的距离和时间不可预测,而且造价昂贵,市场很难推广。

开放联合构成数据“安全墙”

“当下,移动终端APP上个人数据泄漏的情况十分普遍。一部分原因是APP开发者自身愿意拿这些数据去换钱,其开发的APP本身做了回传功能,用户也接受其功能;另一个原因是恶意包装,伪装成一个正常的APP博得用户信赖。”对此,喻波认为,这种情况是由两部分原因造成的:想要杜绝这类数据泄露,有必要把好APP认证关,类似苹果市场,恶意APP坚决不让上架,上架后发现伪装坚决拿下。当然,如果能够从APP上架之前进行安全检测,发布以后进行安全监控,形成完整的链条,将更有利于解决这一问题。

“当前,95%的手机安卓系统APP应用都被恶意代码或软件所围攻,存在超量收费、隐私泄露等隐患,虽然破坏力有限,但对于科技创新企业来说,信息安全是一个重要问题。”王克认为,有必要把小米、华为、联想等科技企业集合起来,通过标准化把手机APP的开发、上载、审核、发布、安装、运行等进行一条龙监控,建成一个独立的企业移动应用商店,这样,企业信息安全可自主自控,保障了信息安全。他介绍,今年1月,EMCG审议通过了《移动智能终端应用开发、安装、运行管控机制(指南)》。目前,已有部分大型国企按照标准制定实施方案。“也非常希望EMCG标准将来可以根据技术和产业发展需要,上升为行业标准和国家标准。”王克说。

“整个安全信息领域分成很多子行业,技术门槛比较高,一个企业在某一个方向上能够做到,其投入是相当大的。但用户的需求是全方位的,不是一家甚至少数几家企业就能够解决全部问题的。”明朝万达销售副总裁王东认为,对于用户来说形成一套整体的数据安全解决方案是非常必要的,因为没有任何一个厂商可以做所有产品,加强数据安全防御技术厂商之间的合作对用户来说可能更加适合。

“云数据安全需要云服务提供商(CSP)和客户共同承担责任,此外,由于云计算通常不会在固定地点进行,而且提供商不可能只位于特定国家,客户可能无法确定正在被处理的或存储的数据的实时位置,因此,政府要牢牢将数据主权握在手里。”张宇翔认为,客户的首要职责是理解自身打算迁移到云的工作所负载的风险概况并鉴定CSP资格;云服务提供商必须获得安全认证,并分享证明其云服务的安全性的审计报告。数据主权可认为是政府对所有存储于自己或第三方设施和场所,以及处于其他国家信息安全框架管辖下的信息的所有权及专属管辖权力。在云环境下,各方应通力确保以证书或第三方安全性审计报告的方式来保障CSP满足相应的资质。此外,他建议从四个方面推进云数据的安全,即建立隐私和数据保护法律框架;厘清数据控制者、处理方、客户方的安全保护职责;对数据的跨境流动拥有数据主权;以定期审查并持续监测方式确保安全。

辽宁省人民医院预约挂号
成都市新都区人民医院怎么样
宿迁治疗性病方法
乌鲁木齐癫痫病哪家医院治的好
常州治疗牛皮癣费用
猜你会喜欢的
猜你会喜欢的