数字经济时代企业数据安全防护分析

前言:寻找写作灵感?中文期刊网用心挑选的数字经济时代企业数据安全防护分析,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。

数字经济时代企业数据安全防护分析

摘要:随着新一轮科技革命和产业变革的蓬勃兴起,数据已成为继土地、劳动力、资本、技术之后最为活跃的关键生产要素,对经济发展、社会进步、民生改善和国家治理产生了深刻地影响。本文主要总结了数字经济时代企业数据安全防护方面的新挑战和新要求,讨论了数据安全防护的体系构成,提出了在技术手段和管理措施方面的相关建议。

关键词:数据管理;数据安全;技术手段

1数字经济时代企业数据安全面临多重挑战

当前,云计算、大数据、区块链、人工智能等技术创新和应用创新不断赋能经济社会各领域,新产品、新业态、新模式不断涌现,数字经济的内涵和外延不断丰富。数字经济发展的同时,也带动了数据的产生、流通和应用更加普遍和密集,使企业数据安全防护面临新的挑战。

1.1新设施带来的安全挑战

网络基础设施是国家、企业和个人核心数据的载体,是数据安全保护的重要基础性环节。从网络基础设施的传统界定范畴来看,主要包括存储设备、运算设备和其他基础软件等。然而,随着新技术新业务的发展与创新,数据基础设施的范畴不断扩展,数据中心(IDC)和移动终端等集成了存储、运算以及基础软件的功能,成为日益重要的数据基础设施,也开始面临越来越多的挑战。一方面,攻击者更多的将注意力集中到存储海量数据的云计算数据中心,其遭遇DDoS攻击的占比达到70%。另一方面,信息泄露事件频发,数据泄露和丢失已成为数据中心面临的巨大安全风险。根据RiskBasedSecurity公布的数据,2019年已经发现超过3800多起数据泄露事件攻击了企业或者机构,并且在过去的四年里增加了超过50%。

1.2新技术带来的安全挑战

分布式计算存储、数据深度挖掘及数据管理可视化等新技术能够大大提升数据资源的规模存储和处理能力,但也给企业数据的防护带来了新的挑战,云计算和多业务融合是其中显著的代表。首先,云计算的主要特点是采用了分布式的存储和计算,该方式能够有效防止个人数据在本地出现大规模泄露,但目前黑客已经可通过分析信息分片的方式,对被分割的原始数据进行复原。其次,随着多项信息通信技术的融合,新型业务的复杂度进一步提高,也带来了更加复杂的应用安全风险,使得原有的安全防护技术和体系难以应对。对于单一的技术而言,通常已经形成了比较完善的安全解决方案,而随着多项技术的交叉融合,针对单一技术的解决方案可能不再有效。例如,英特尔处理器在2018年5月初,又被曝出发现8个新的“幽灵式”硬件漏洞,攻击者可以窃取运行在同一个物理内核的另外一个进程的隐私数据,显示出云主机系统与虚拟机之间的兼容问题。

1.3新应用带来的安全挑战

数字经济时代的新应用主要体现在信息通信技术与交通、金融、医疗等领域融合所产生的新的互联网应用、平台和场景,如自动驾驶、网络约租车、智能投顾等。计算机信息技术对大数据的收集、储存、归类、处理及分享创造了更加方便和灵活的方式,许多企业决策、问题分析、模型构建等问题都要借助大数据分析来实现,大数据在各个领域的广泛应用,不仅有助于提升各个领域的工作效率,同时也对计算机网络信息安全的防护和管理带来挑战。首先,垂直行业线下管理机制自成体系,不同部门各司其职,在互联网引入后,部门间的监管职责边界较为模糊,已有线下管理职责发生交叉,目前尚未形成广泛认可的监管体制框架,给新业务的安全管理带来挑战,网约车平台监管就是明显的例子。其次,数字化生活、智慧城市、工业大数据等新技术、新业务、新领域创造出纷繁多样的数据应用场景,使得数据安全保护具体情境更为复杂。最后,企业隐私保护的安全责任更加突出,近年来各类隐私泄露事件层出不穷。据英国科技研究机构报道,Facebook公司于2019年12月再次出现数据泄露问题,超过2.67亿用户数据被泄露,任何人都可以直接访问该数据库。这反映出了互联网平台企业在确保数据多渠道流通的同时,需要更加注重保证数据的机密性、完整性和可用性。

1.4企业自身安全防护基础和意识不足

数字经济时代,虽然企业不断完善信息化相关手段和举措,但在利用新技术进行数据安全防护方面仍然比较被动。在基础安全防护方面,我国在芯片、系统中央处理器(CPU)、核心元器件等硬件方面仍然主要依靠进口,且尚未形成安全自主可控的软件系统生态,企业信息化建设在底部就面临安全威胁。在安全意识方面,企业重技术、重业务、轻安全的思想还普遍存在,过度重视信息化设备和技术,对于数据安全防护紧迫性的认识不够,影响了相关投入。根据相关数据统计,在企业信息化建设工作中,有超过50%的企业依然未设置防火墙,45.4%的企业未设置安全审计系统,超过60%的企业没有设置网络入侵监视系统。

2数字经济时代完善企业数据防护体系的总体思路

2.1明确企业层面的防护目标

对企业而言,最为关键的防护目标是平衡好国家安全、企业商业秘密、业务正常运行和客户合法利益这四方面。一是应满足国家相关法律法规对于个人信息保护、重要数据安全等方面的制度性要求,履行企业自身的合规义务。二是还应确保企业自身数据和用户数据的安全性、机密性、完整性、可用性。

2.2构建以数据为中心的安全防护体系

数据安全防护建设需要以“数据为中心”。具体而言,需要进一步明细数据来源、数据质量、数据生命周期、数据应用场景。基于此,构建起由数据安全制度规程、管理机制、技术手段组成的全面覆盖的数据安全防护体系,形成闭环管理链条。(1)数据安全制度是企业数据安全实践的指导。党的十八届四中全会提出有关全面推进依法治国的重要论断,要求坚持法治国家、法治政府、法治社会一体建设,实现科学立法、严格执法、公正司法、全民守法,促进国家治理体系和治理能力现代化。因此,企业数据安全制度和规程应建立在国家整体对于企业商业秘密、国家重要数据、个人隐私保护制度的基础之上,进一步根据企业自身业务流程,明确具体场景下的数据收集、处理、存储、使用、转移的规则和责任主体。(2)数据安全管理统筹是落实企业数据安全实践的关键。随着企业IT系统和环境的不断完善,运维服务、系统集成、数据存储的规模不断扩大,信息和数据安全对于企业而言愈发重要。在这种态势下,企业应着眼全局、把握细节,成立专门的数据安全管理机制,自上而下建立起相应的组织架构,确保企业数据安全的全生命周期管理的战略、制度能够有效实施。(3)数据安全技术手段是企业弥补数据制度不足的重要保障。技术的变化永远超前于制度的构建,新的信息技术不仅会带来新的安全风险,也是数据安全管理的重要辅助手段,为落实企业数据安全管理制度的总体目标提供技术支持。例如,云端技术将定义新的网络安全导向,近年来厂商积极研发新技术,未来将有更多企业和用户选择虚拟机间安全问题的解决方案;可视化工具能够有效洞察每台虚拟机的独立行动和互动,采用流量监控、应用识别及用户识别等技术,帮助用户鉴别是否存在攻击和非正常行为。

3企业开展数据安全防护实践的措施建议

数字经济时代,企业应进一步加强技术研发,同步完善各项管理措施,实现“技管”与“人管”的有机结合,实现企业数据安全管理的目标。

3.1技术防护措施建议

企业应按照数据收集、存储、传输、使用、共享、销毁这一全生命周期加强数据安全的技术防护。(1)在数据的收集环节,企业重点工作为对于数据进行分类、对于数据类型和安全等级进行达标。同时,企业还应将相应功能内嵌入运维管理系统,保证各类数据安全制度有效地落地实施。(2)在数据的存储环节,企业可以采取数据加密、硬盘加密等多种技术方式保障数据物理存储的安全性。对于企业在云端数据的安全,则应按照数据中心或云计算安全评估技术标准要求,严格根据数据类型进行对应的技术手段。(3)在数据的传输环节,企业重点工作包括采用加密或匿名化等手段对于数据进行处理。一方面,应通过非对称加密算法等不同技术手段对于数据传输链路或直接对于数据进行加密。另一方面,由于个人信息的收集、传输、处理标准较高,数据泄露风险日益严峻,企业还可通过算法等技术手段对于个人信息进行匿名化处理,再将相关数据用于流通领域。(4)在数据的使用环节,企业既可以沿用配置防火墙、数据加密等传统网络安全防护措施,也可以采用数据安全域、数据日志管理和审计等、数据流量异常监控等新的数据安全技术措施。(5)在数据共享环节,企业可加强对于共享第三方主体的背景审查,并且将共享和披露数据的具体场景与具体的数据安全域技术进行结合。此外,还可以构建统一的数据共享平台,采用许可或授权的方式对数据离开平台进行管理。(6)在数据的销毁环节,企业需要采用硬件或软件方式,实现磁盘中数据的永久删除和不可恢复,包括硬盘粉碎机、硬盘折弯机等硬件处理方式,以及多次填充垃圾信息等软件数据处理方式。

3.2管理制度措施建议

企业在管理制度方面可以采取的措施包括明确管理制度规程、完善安全管理架构、构建数据安全责任体系等。(1)在明确管理制度和规程方面,企业应根据国家相关法律法规要求,进一步通过企业自身制度明确数据分级分类的标准,同时在企业层面形成数据安全管理的总体要求,将其内化为不同部门的工作任务。此外,还应进一步明确数据全生命周期管理的实施细则,进一步加强与第三方合作/共享数据的安全管理分工,与国家关键数据或个人信息的管理制度做好衔接。(2)在数据安全管理架构设置方面,企业应建立从领导班子到业务主办人员的数据安全管理组织架构。为了更加有效地执行企业数据安全管理制度,还可在涉及较大数据量的业务部门设置专职或兼职的安全管理岗位,做好与企业数据安全管理统筹部门的沟通和衔接,落实企业安全管理制度要求。(3)在构建数据安全责任体系方面,企业应增强法律意识和合规意识,加强对于涉及数据处理的合同审查,明确相关责任人及奖惩制度。此外,企业还应进一步提升所有员工的数据安全意识,建立相应的数据安全教育培训机制,组织安全意识教育和数据安全管理制度宣传培训。

参考文献

[1]王融.大数据时代:数据保护与流动规则[M].北京:人民邮电出版社,2017.

[2]马义.大数据时代背景下计算机网络信息安全防护技术研讨[J].电脑知识与技术,2017(25).

[3]朱辉,袁亮,孙琴.大数据时代企业信息安全管理体系分析[J].信息与电脑(理论版),2019(22).

作者:赵桢 单位:中国公路工程咨询集团有限公司