能力成熟度是一種經過考驗的方法,目前在越來越多的領域被應用,美國甚至制定了網絡空間安全能力成熟度戰略。數據安全能力成熟度模型,是借鑒能力成熟度的核心思想,結合數據在組織內的生命周期以及構成安全能力的關鍵要素而構建的。一個組織的數據安全能力成熟度等級,說明了這個組織在數據安全保護方面的綜合能力水平。而這個水平的高低,則可以用于數據安全治理的各種相關工作。例如,相關政府部門或行業主管部門,可以根據本行業的數據敏感度特點決定哪些數據類型或者多大的數據規模需要多高的數據安全能力成熟度水平,進而讓數據安全能力成熟度足夠的組織才能夠處理特定數據,從而實現本行業安全與發展的平衡;在數據共享、轉移、交易等過程中,法律可以規定數據擁有者有義務要求數據接受者提供自己足夠的數據安全能力成熟度水平,從而避免數據在流動過程中進入安全更差的組織,從而減少數據流動導致的安全失控;根據特定行業、特定數據類型以及特定時段數據安全威脅的具體情況,國家主管部門可以設定和調整特定領域數據安全能力成熟度的衡量標準和等級要求,從而實現整體數據安全狀態的可控;組織可以通過自己的數據安全能力成熟度水平,讓消費者用更加客觀量化的方法衡量自己是否值得信任;等等。
以電商為例,猖獗的黑灰產絕大多數都是瞄準商家、獨立軟件供應商、物流等各個環節下手竊取訂單等信息,然后用于詐騙等活動。大數據時代,數據在開放、復雜、快速變化的業務和產品鏈條中高頻流動,數據成為復雜生態的每個環節中都無法剝離的部分。這是導致數據安全問題變得空前突出的根本原因,因為所有過去的數據安全方法基本上都失靈了。
用什么來衡量組織的數據安全呢?數據安全的能力成熟度可以作為基本抓手。
放在全球化的視野上看,如果我們做到這些的話,中國還將贏得在這個領域的全球影響力。因為中國不僅有龐大的數字經濟市場,而且在業務創新上領先全球。這意味著我們會遇到最豐富的場景,directadmin漢化 虛擬主機,我們能夠積累最豐富最有說服力的經驗。因此我們有機會告訴和引領全世界,大數據時代下的數據安全治理究竟該怎么做,只要我們有這個意識和雄心。
實現良幣驅逐劣幣,讓數據安全成為競爭力
在數據生命周期的不同階段,數據面臨的安全威脅、可以采用的安全手段有可能很不一樣。例如,在數據采集階段,可能存在采集數據被攻擊者直接竊取,或者個人生物特征數據不必要的存儲面臨泄露危險等;在數據存儲階段,可能存在存儲系統被入侵進而導致數據被竊取,或者授權用戶無應用場景支持訪問用戶敏感數據,或者存儲設備丟失導致數據泄露等;在數據處理階段,可能存在算法不當導致用戶個人信息泄露等。把不同階段從不同角度面臨的風險放到一起進行綜合考慮,建立強調整體而不是某個環節安全能力,是以數據為中心的安全的核心思想。
第三,安全也需要數據。
我們擔心泄露了自己的數據所以不安全,可是反過來,如果沒有數據的話我們也無法得到安全保護。徐玉玉案件因為壞人偷了她的相關數據而產生了危害,章盈穎案件我們則多么希望好人知道她的位置信息從而能幫助到她。追蹤老人或者兒童的位置信息可以防止他們走失,野外應急救援也需要位置信息,急救大夫需要病人的隱私健康信息才能救命,通過檢測用戶是否短時間在不同的城市登錄系統是今天幾乎所有產品判斷用戶賬戶是否被盜的基本手段……
越來越多的人似乎傾向于“誰都不信任”,甚至一些研究也在朝著這個方向努力。但是在今天除非你不生活在人類社會中,否則這種思路反而讓你陷入到更加不安全的地步。私密數據放在自己的手機上或者服務器上就更安全嗎?除非你的手機或者服務器從來不用任何形式和網絡發生鏈接,否則對網絡攻擊者來說,這些安全防護相對更弱的地方恰恰是更容易的目標。當然,如果你就認為自己能夠永遠打敗全世界所有的網絡攻擊者那也行。
關于數據安全的若干基本認識
有些業務場景更加復雜一些,例如包裹郵寄單上顯示的收發件人的詳細信息,在整個包裹流轉過程中都面臨泄露風險(現實中這些信息都是網絡黑灰產收購的對象)。但即便這類場景,也有“隱私面單”等相應的技術出現。防濫用也包括一個組織對外進行數據披露、數據共享、數據轉移等過程中的安全審核,這些審核工作確保這些行為合法,并且不會導致用戶或者組織自身的利益受損。臉書事件最早的問題就是出在這個環節。
我們的世界正在進入一個奇怪的分裂狀態:一方面人們為大數據時代即將在各個領域發生的革命性進步而激動難眠,一方面人們也在為數據安全和隱私保護問題擔心得睡不著覺。圍繞大數據的創新和安全,各種政策、法律、標準、產品和學術研究表現出空前的熱情。然而眼花繚亂的聲音卻使人們陷入了混亂,陷入了數據恐慌。如果我們不能盡快找到清晰的思路,不能盡快找到方法實現圍繞大數據的發展與安全之間的平衡,我們可能喪失人類歷史上迄今為止最大的一次發展機會,或者陷入最大的安全危機。本文要討論的,就是大數據時代下該如何進行數據治理的基本抓手與核心思路。
包括徐玉玉事件在內的各種案例,實際上都不是從所謂的“大數據”那里偷取數據的。網絡空間不存在物理位置的限制,因此現實中攻擊者更容易從各個安全薄弱的服務器或組織那里下手,而不是和防護嚴密的大型大數據公司對抗。
大數據時代,每個角落都在產生數據,而這些數據正是新時代人類的財富:我們不僅依靠這些數據提供更精準貼心的服務,更依賴這些數據實現醫療、健康、教育、安全、環境保護等各方面的革命性進步。可是人們擔心個人隱私在這個過程中被窺探,對似乎無所不在的數據采集記錄行為無法忍受。但是回想一下,人們曾經在日記里寫下自己最私密的事情、人們在自己的手機或計算機中存儲自己的私密照片或信件、人們在很多政府部門的系統里存儲自己的各種生物特征信息、人們在醫院的系統里存儲自己各種病情細節、人們向心理醫生傾訴自己的內心等等,這些時候為什么不擔心隱私泄露呢?
從已經破獲的并且披露的眾多電信詐騙案件中可以看出,大量內部人員濫用職權倒賣用戶信息,這些都屬于數據濫用的場景。目前大部分組織對這部分工作的意識淡薄、能力不夠。在技術上是能夠實現這類行為的監控的,配以制度的保障,可以有效遏制這類濫用行為。
防濫用指的是防止數據被不正當使用,directadmin漢化 虛擬主機,例如擁有數據的組織內部員工在無工作場景的情況下訪問用戶個人敏感數據。現實中,用戶的身份證信息、醫療檔案、購物記錄、財產情況等信息,都會存在各種組織的系統中。當用戶需要這些組織提供服務或者幫助的時候,這些組織的相應員工才可以根據用戶的授權來訪問這些數據。而如果這些組織中的員工未經用戶請求私自訪問這些數據,則屬于一種濫用行為。
關于數據安全,我們需要建立一些基本的認識。
