信息來源:企業(yè)網(wǎng)
進入大數(shù)據(jù)時代,誠如《經(jīng)濟學人》所說:數(shù)據(jù)成為新時代的石油,大數(shù)據(jù)幾乎可以搞定一切。數(shù)據(jù)經(jīng)由深度分析,轉(zhuǎn)而用于商業(yè)中,價值不可估量。
尼爾·波茲曼曾預言,我們終將毀于我們所熱愛的東西。
近幾年,數(shù)據(jù)泄露事件頻發(fā),并有愈演愈烈之勢,僅在2017年上半年,全球就有19億條記錄被泄或被盜,比2016年全年總量(14億)還多。這使得越來越多的企業(yè)“成也數(shù)據(jù),敗也數(shù)據(jù)”,安全痼疾引發(fā)強烈關注,數(shù)據(jù)安全行業(yè)迎來高速發(fā)展的春天。
據(jù)全球知名市場調(diào)研公司Gartner發(fā)布最新預測:2017年內(nèi),全球信息安全產(chǎn)品及服務支出將達到864億美元,比2016年增長7%;2018年,這一數(shù)字將增長到930億美元。據(jù)此,可以預見2018年數(shù)據(jù)安全行業(yè)將迎來爆發(fā)式發(fā)展。
伴隨數(shù)據(jù)安全行業(yè)大爆發(fā),政策、資源、人才、智力技術(shù)將快速朝該領域聚攏。以何種姿態(tài)迎接這一行業(yè)發(fā)展趨勢,是全球范圍內(nèi)所有參與建設數(shù)據(jù)安全大生態(tài)的政府、組織機構(gòu)、企業(yè)、個人需要思考的問題。在這一點上,我們已經(jīng)看到了國家、全球組織、行業(yè)等在立法層面給我們樹立的榜樣:
法律法規(guī)緊鑼密鼓,成為數(shù)據(jù)安全的緊箍咒:
1、GDPR
而在遙遠的歐盟體系中,將于2018年5月正式出臺史上最嚴數(shù)據(jù)安全保護法案——《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)。為什么稱史上最嚴呢?看看其規(guī)定的天價罰金自會明了。據(jù)悉,公司一旦違反該法案,最高罰金可達公司全球總收益的4%或2000萬歐元中的高者。懲罰并非目的,GDPR立法的重心在于規(guī)定個人數(shù)據(jù)處理的基本原則、數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)控制者和處理者的義務配置等。事實上,無論公司總部在哪兒,無論數(shù)據(jù)存儲和處理地點在哪兒,只要與身處歐盟的人做生意,或者監(jiān)視歐盟公民的行為,就必須遵從GDPR。也即,如果你收集歐盟公民的數(shù)據(jù),你就受到GDPR的管轄。此法案一出,GDPR覆蓋網(wǎng)內(nèi)的企業(yè)可謂人人自危,面對交不起的天價罰金,行動是唯一的選擇。
2、《網(wǎng)絡安全法》
作為高度重視數(shù)據(jù)在新常態(tài)中推動國家現(xiàn)代化建設的基礎性、戰(zhàn)略性作用的中國政府,面對日益嚴峻的數(shù)據(jù)安全態(tài)勢,站在建設網(wǎng)絡安全強國的戰(zhàn)略高度,出臺了我國網(wǎng)絡空間“基本大法”——《網(wǎng)絡安全法》。該法于2017年6月1日正式施行,對數(shù)據(jù)的安全保護,主要著眼于兩方面:一是要求各類組織切實承擔起保障數(shù)據(jù)安全的責任,即保密性、完整性、可控性;二是保障個人對其個人信息的安全可控?!毒W(wǎng)絡安全法》可以說完成了對數(shù)據(jù)安全保護三個階梯式層次的補充:從最基礎的數(shù)據(jù)安全,到個人數(shù)據(jù)的保護,然后關注最高層次國家層面的數(shù)據(jù)保護?!毒W(wǎng)絡安全法》的實施,讓數(shù)據(jù)保護有法可依,也驅(qū)動著各行業(yè)企業(yè)開始將數(shù)據(jù)安全建設納入信息化建設的重要地位。
3、《個人信息安全規(guī)范》
作為《網(wǎng)絡安全法》的一個有益補充,國家標準《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱:《個人信息安全規(guī)范》)也將于2018年5月1日實施。該規(guī)范在《網(wǎng)絡安全法》等法律法規(guī)的框架下,從國家標準層面,明確了企業(yè)收集、使用、分享個人信息的合規(guī)要求,為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向。據(jù)專家評價,這部法規(guī)的嚴格程度介于歐盟與美國之間,因此,同樣需要付出較大的關注和必要的行動來滿足要求。
除了上述幾大立法舉措,各行各業(yè)制定的關于數(shù)據(jù)安全保護的法律法規(guī)也開始收緊對數(shù)據(jù)安全威脅的管控。面對數(shù)據(jù)安全威脅觸發(fā)的高昂代價,順應大勢所趨,積極尋求數(shù)據(jù)安全治理已經(jīng)成為一種遠見卓識。越早地直面安全問題,越能夠在數(shù)據(jù)即資產(chǎn)的時代里游刃有余地展開運營活動??梢?,無論從立法層面還是現(xiàn)實需求層面看,數(shù)據(jù)安全市場都是一片藍海。
面對行業(yè)大爆發(fā),國內(nèi)的安全企業(yè)將大有可為:
視野聚焦回國內(nèi),中國的數(shù)據(jù)安全行業(yè)態(tài)勢如何?Gartner預測,到2021年,中國八成以上的大型企業(yè)將部署由本地供應商提供的網(wǎng)絡安全設備。其愿意在于,已經(jīng)施行的《網(wǎng)絡安全法》將幫助中國本土供應商進一步抗衡美制網(wǎng)絡安全產(chǎn)品。另外,中國本地供應商的產(chǎn)品價格低廉也是重要原因。從這一方面來看,國內(nèi)數(shù)據(jù)安全行業(yè)將迎來大發(fā)展。
由政策和市場需求催生的安全保護手段日漸豐富起來,面對快速推出的新技術(shù)、新產(chǎn)品,企業(yè)應當結(jié)合業(yè)務特征來開啟自身的數(shù)據(jù)安全建設之路。建議企業(yè)采取數(shù)據(jù)安全治理的思路,聚焦數(shù)據(jù)這一核心關鍵點(因為大部分數(shù)據(jù)都是存儲在數(shù)據(jù)庫中,所以要重點關注數(shù)據(jù)庫安全),堅持數(shù)據(jù)安全治理技術(shù)路線,構(gòu)建全面的數(shù)據(jù)安全保障體系,整體提升數(shù)據(jù)安全防護能力。
數(shù)據(jù)安全采用的常用技術(shù)推薦:
DAP(Data Audit and Protection)——提供了數(shù)據(jù)庫中發(fā)生的活動的報告與預警,屬于審計的范疇。其技術(shù)功能包括對數(shù)據(jù)庫的發(fā)現(xiàn)和分類,漏洞管理,應用關聯(lián)分析,入侵防御,對非結(jié)構(gòu)化數(shù)據(jù)安全性的支持,身份和訪問管理集成以及風險管理支持。
DLP(Data leakage prevention)——提供對敏感數(shù)據(jù)的可見性,無論是在端點上使用,在網(wǎng)絡上運動還是靜止在文件共享上。使用DLP,組織可以實時保護從端點或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)。較之DCAP工具最大的不同,DLP更側(cè)重于保護將離開組織的數(shù)據(jù)。
數(shù)據(jù)加密——考慮性能和成本,企業(yè)傾向只為最敏感的數(shù)據(jù)保存進行數(shù)據(jù)庫加密。在加密方法上用戶還關心保格式加密和無鑰匙加密等技術(shù)。
數(shù)據(jù)脫敏——數(shù)據(jù)脫敏技術(shù)旨在防止濫用敏感數(shù)據(jù),該技術(shù)為用戶提供虛構(gòu)但具備實用價值的數(shù)據(jù),數(shù)據(jù)經(jīng)歷單向轉(zhuǎn)換,屬于不可逆過程。目前該技術(shù)方法已被金融部門廣泛采用,醫(yī)療,政府和石油等行業(yè)的用戶也開始對脫敏表現(xiàn)出很大的興趣。
面對數(shù)據(jù)安全行業(yè)大爆發(fā),數(shù)據(jù)安全問題將升級為全球密切關切的大問題。企業(yè)作為重要參與者,積極部署新技術(shù)創(chuàng)造安全環(huán)境是應盡之責。而安全企業(yè)則要強化自身技術(shù)儲備,提供高價值數(shù)據(jù)安全解決方案,引領數(shù)據(jù)安全生態(tài)朝著健康、穩(wěn)定、高效的方向發(fā)展,擁抱機會,創(chuàng)造價值。