183.17.231.*
2020-09-10 13:11:34 |
為了找出大數(shù)據(jù)時代數(shù)據(jù)安全需要解決的問題所面臨的主要挑戰(zhàn),我們可以梳理數(shù)據(jù)安全治理的核心思想�����,簡單地說�����,數(shù)據(jù)安全治理可以遵循"以數(shù)據(jù)為中心�,以組織為單位,以能力成熟度為基本把握"的原則�����。
1�����、以數(shù)據(jù)為中心
以數(shù)據(jù)為中心,是數(shù)據(jù)安全工作的核心技術(shù)思想�����。人們比較習(xí)慣的是以系統(tǒng)為中心的思想�����,即圍繞著一個數(shù)據(jù)庫�����、一個產(chǎn)品、一個網(wǎng)站、一個服務(wù)器等評價其安全性�。
這種思路主要適用于保護一個特定系統(tǒng)的正常工作狀態(tài)���。但是在今天�����,數(shù)據(jù)在多個系統(tǒng)、產(chǎn)品�、業(yè)務(wù)環(huán)節(jié)中頻繁快速流轉(zhuǎn)�,這種以系統(tǒng)為中心的思想已經(jīng)不能滿足數(shù)據(jù)安全的需求了�。
以數(shù)據(jù)為中心的安全,是將數(shù)據(jù)的防竊取防濫用防誤用作為主線�,在數(shù)據(jù)的生命周期內(nèi)各不同環(huán)節(jié)所涉及的信息系統(tǒng)�����、運行環(huán)境�����、業(yè)務(wù)場景和操作人員等作為圍繞數(shù)據(jù)安全保護的支撐�����。
這時候,某個系統(tǒng)被入侵�,并不等于數(shù)據(jù)安全的目標就遭到最終的破壞�����,反之某個單一環(huán)節(jié)的安全能力再強,也不代表整體數(shù)據(jù)安全保護的能力就夠好�����。
在數(shù)據(jù)生命周期的不同階段���,數(shù)據(jù)面臨的安全威脅�����、可以采用的安全手段有可能很不一樣�����。
例如,在數(shù)據(jù)采集階段,可能存在采集數(shù)據(jù)被攻擊者直接竊取���,或者個人生物特征數(shù)據(jù)不必要的存儲面臨泄露危險等;在數(shù)據(jù)存儲階段�����,可能存在存儲系統(tǒng)被入侵進而導(dǎo)致數(shù)據(jù)被竊取�,或者授權(quán)用戶無應(yīng)用場景支持訪問用戶敏感數(shù)據(jù),或者存儲設(shè)備丟失導(dǎo)致數(shù)據(jù)泄露等;在數(shù)據(jù)處理階段���,可能存在算法不當(dāng)導(dǎo)致用戶個人信息泄露等。
把不同階段從不同角度面臨的風(fēng)險放到一起進行綜合考慮�����,建立強調(diào)整體而不是某個環(huán)節(jié)安全能力���,是以數(shù)據(jù)為中心的安全的核心思想���。
2�����、以組織為單位
以組織為單位���,是數(shù)據(jù)安全治理的核心管理思想�����。
讀完前面的內(nèi)容后應(yīng)該容易理解,一個服務(wù)器很安全���、一個手機應(yīng)用產(chǎn)品很安全都不代表著要保護的數(shù)據(jù)安全。數(shù)據(jù)會在不同的服務(wù)器�、產(chǎn)品���、業(yè)務(wù)中流轉(zhuǎn)���。
而且從法律的角度來說,擁有或使用數(shù)據(jù)的組織才是承擔(dān)數(shù)據(jù)安全責(zé)任的主體���。因此,雖然在大數(shù)據(jù)時代還有數(shù)據(jù)共享�、數(shù)據(jù)轉(zhuǎn)移�、數(shù)據(jù)交易等各種復(fù)雜的情況�,但擁有或者處理數(shù)據(jù)的組織是所有這些活動的基本單元,因此也是數(shù)據(jù)安全治理的基本單位�。
以組織為單位的數(shù)據(jù)安全治理�����,具體指的是數(shù)據(jù)在特定組織內(nèi)全生命周期的安全,這個組織要對其負責(zé)。
不論數(shù)據(jù)在這個組織中的生命周期涉及多少產(chǎn)品業(yè)務(wù)或人員�,那些單個系統(tǒng)單個業(yè)務(wù)的安全都不說明問題�,說明問題的應(yīng)該被最終衡量的這個組織的數(shù)據(jù)安全�����。
一個組織的數(shù)據(jù)安全水平�����,可以作為其是否符合法律要求、特定事件中具備怎樣的責(zé)任�、面向用戶贏取信任���、面向行業(yè)適合處理的數(shù)據(jù)類型和規(guī)模等的參考依據(jù)�。
換句話說�����,政府或者行業(yè)可以以組織為單位進行數(shù)據(jù)安全管理�����,而不是某個產(chǎn)品的安全�,一個組織要證明的是自己整個組織的數(shù)據(jù)安全水平,而不是自己的某個應(yīng)用的安全���。
3�����、以能力成熟度為基本抓手
用什么來衡量組織的數(shù)據(jù)安全呢?數(shù)據(jù)安全的能力成熟度可以作為基本抓手。
能力成熟度是一種經(jīng)過考驗的方法,目前在越來越多的領(lǐng)域被應(yīng)用,美國甚至制定了網(wǎng)絡(luò)空間安全能力成熟度戰(zhàn)略。數(shù)據(jù)安全能力成熟度模型,是借鑒能力成熟度的核心思想�,結(jié)合數(shù)據(jù)在組織內(nèi)的生命周期以及構(gòu)成安全能力的關(guān)鍵要素而構(gòu)建的�����。
一個組織的數(shù)據(jù)安全能力成熟度等級,說明了這個組織在數(shù)據(jù)安全保護方面的綜合能力水平�。而這個水平的高低���,則可以用于數(shù)據(jù)安全治理的各種相關(guān)工作�����。
例如,相關(guān)政府部門或行業(yè)主管部門�����,可以根據(jù)本行業(yè)的數(shù)據(jù)敏感度特點決定哪些數(shù)據(jù)類型或者多大的數(shù)據(jù)規(guī)模需要多高的數(shù)據(jù)安全能力成熟度水平���,進而讓數(shù)據(jù)安全能力成熟度足夠的組織才能夠處理特定數(shù)據(jù)�,從而實現(xiàn)本行業(yè)安全與發(fā)展的平衡;
數(shù)據(jù)安全治理所遵循的有哪些原則.中琛魔方大數(shù)據(jù)分析平臺(www.zcmorefun.com)表示在數(shù)據(jù)共享、傳輸、交易等過程中�����,法律可以規(guī)定數(shù)據(jù)所有者有義務(wù)要求數(shù)據(jù)接收者提供自己足夠的數(shù)據(jù)安全能力成熟度���,以避免數(shù)據(jù)在流動過程中進入安全程度較低的組織���,從而減少數(shù)據(jù)流造成的安全失控���。 |
您當(dāng)前的位置: 首頁 > 行業(yè)貼吧 > 話題