根据IDC预测,人类产生的数据量正在呈指数级增长,大约每两年翻一番,2020年全球数椐总量将达到35ZB(注:ZB为计算机术语Zettabyte,译为字节,1ZB为十万亿亿字节)。一方面是数据信息的爆炸式增长,另一方面是数据信息被开发利用,海量数据在为人们提供更多知识与信息的同时,也因其自身的开放性导致一些网络信息安全问题。
据Markuson统计,2018年度网络攻击导致的全球企业用户数据外泄,影响了共计达10亿网民,外泄数据都有被黑客或其它不法分子利用的潜在危险。2018比较大型的数据外泄事件主要包括:
3月Facebook超过8700万条数据被泄露和滥用;
8月,华住集团旗下多个连锁酒店开房信息数据在暗网出售,总量近5亿;
11月,万豪酒店被曝光或有5亿名客户信息泄露,被索赔125亿美元;
12月28日,12306被曝60万个用户账号数据泄露,涉及410万名旅客信息,包含旅客姓名、身份证号、手机号、登录账号、登录密码、邮箱等信息......
大数据时代,数据无疑是个人和企业最重要的资产之一。对个人而言,如果用户信息数据外泄,黑灰色产业便可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪活动;对企业而言,屡屡发生的客户数据泄露事件向企业后台的数据安全防护机制发起了挑战,如何通过技术手段实现对数据安全和隐私保护成为值得探讨的问题。
▋国内外信息安全政策法规相继出台,中国企业下一步该如何走?
其实前几年也发生过数据泄漏事件,为何在2018年引发广大舆论关注?原因与2018年5月生效的欧洲“史上最严”的数据保护条例——通用数据保护条例(The EU General Data Protection Regulation,简称GDPR)关联甚大。
GDPR对个人信息的保护及其监管达到了前所未有的高度,不仅扩大了对用户个人数据的定义还引入假名数据概念,还就数据许可、默认隐私保护、彻底遗忘权等权利内容作出了明确规范,同时要求企业必须将用户个人的IP地址、cookie数据等信息置于和其他用户机密数据相同的保护等级,并为此规定了严厉的违规处罚,罚款范围是1000万-2000万欧元或企业全球年营业额的2%-4%。
或许有人疑惑,作为欧盟的一项法规,对中国企业有何影响?答案是必须引起重视,因为GDPR新规要求任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR,可以说它几乎适用于所有的公司,也对已在欧盟开展业务的或者将在欧洲开展业务的中国企业来说至关重要。
国内方面,2017年6月1日起施行《中华人民共和国网络安全法》,2018年5月1日《信息安全技术个人信息安全规范》也正式实施,法案要求企业对于除个人身份信息之外的不可识别的数据信息,按照商业规则和惯例,以“合法性、正当性和必要性”的基本原则进行处理。
比较容易理解的例子就是2017年的支付宝年度账单捆绑推广芝麻信用事件,其违背了“个人金融信息收集不符合最少、必需原则”,同样也是受此影响,包括芝麻信用、腾讯征信在内的8家试点机构因达不到相关的监管要求,至今仍没得到央行发布的征信牌照。
在国家间贸易保护主义抬头、国内外各种信息安全政策法规相继出台的大环境下,数据安全意识相对薄弱的中国企业要想开展业务首先要做的就是合法与合规。
▋数字化转型浪潮中,企业云上数据风险管控日益迫切
在企业数字化转型的过程之中,存储的数据资产越来越多是必然的,并且随着上云业务的延展,加大对数字经济业务投入,就意味着将有更多的企业数据都存放到云上,可是数据上云之后真的安全吗?
2017年AWS上存储的180万伊利诺伊州选民的信息被泄露,给美国公民隐私安全和选举安全造成影响 ;2018年腾讯云云硬盘故障,导致前沿数控备份数据丢失,导致其平台业务全部停运等事故表名,一旦选择上云,云端的企业核心数据资产仍会受到威胁且危害更甚,究竟云上数据安全问题如何保障?
中国信通院云计算与计算机所云安全主管何友斌认为,造成云上数据泄漏的主要原因有三个,一是技术漏洞,二是内部数据备份不完善,三是用户数据和云服务商利益不切合造成管理上的疏忽,需要通过切实有效的行业标准和规范来管理和保护云上数据安全。作为数据寄存地,云平台担负着保护客户数据所有权的重要任务。实际上,云服务商也采取了一定的安全防护措施,例如防DDos,入侵检测,病毒查杀、应用防火墙等防护手段,但是这些传统的网络安全防护手段,仅仅停留在网络边界安全的防护层面,深入到数据层面的安全防护举措仍十分欠缺。因此,黑客攻击、内部运维人员监守自盗,数据被窃取和丢失的状况一直在发生。如何保证客户的数据安全?
华为云认为,在数据即资产的年代,没有什么比数据安全更为重要;
国舜股份表示,企业信息安全保护是全生命周期的,事前、事中、事后三方面都要加强防护;
明朝万达指出,针对内部员工泄漏、出售数据、误操作,以及外部黑客入侵盗取数据等问题,通过技术手段,可以将绝大部分的数据进行有效保护。
面对日益严峻的数据安全形势,1月18日下午,将在北京举办“商业视角下的数据应用安全——2019企业服务产业升级与创新沙龙”,现场会有信通院、国科嘉和、华为云、国舜股份、明朝万达等企业的创始人、资深专家和投资人出席并进行主题分享,例如中国信通院云大所云安全主管何友斌将带来《云上数据安全形势解读》,明朝万达高级副总裁兼首席技术官喻波进行《数据安全的几大误解》主题分享,国舜股份副总裁汤志刚讲解《从全生命周期管理角度看数据安全研究》,国科嘉和执行董事吴一洲《DT时代安全服务的投资趋势》,华为云数据安全产品总监刘东徽的《互联网+安全,企业核心数据资产防护之道》等嘉宾大咖的主题分享。
▋探索2019,数据安全产业迎来发展良机
在看来,数据安全是一个系统概念,包含基础安全技术和新安全技术。当前国内网络安全技术正面临着一个转折点,基于边界的传统安全模型不再成立,基于规则的判别机制不再有效,围绕传统技术的安全工程也不再适用。未来的安全不能再像修“城墙”一