新思科技指出企業(yè)要更好地保護敏感數(shù)據(jù),符合當?shù)胤煞ㄒ?guī)要求,就必須創(chuàng)建數(shù)據(jù)安全策略和框架,多部門協(xié)作共同保障數(shù)據(jù)安全。
世界各地的消費者隱私法
歐盟數(shù)據(jù)保護指令(DPD)完善了個人數(shù)據(jù)在歐盟內的處理的規(guī)范。加拿大《個人信息保護和電子文件法》(PIPEDA)規(guī)定了個人數(shù)據(jù)的使用權限。這些是最早一批頒布的隱私法。歐盟在2018年出臺的《通用數(shù)據(jù)保護條例》(GDPR)引起國際廣泛關注。
在中國,政府也頒布了相關法律法規(guī)。比如2017年正式實施了《網(wǎng)絡安全法》,旨在保障網(wǎng)絡安全,維護各主體網(wǎng)絡空間權益,促進經(jīng)濟社會信息化健康發(fā)展。另外,近日頒布的《數(shù)據(jù)安全法》有助于規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,維護各主體數(shù)據(jù)相關權益。而且即將在11月1日生效的《個人信息保護法》也將更加有效地保護個人隱私。
新思科技軟件質量與安全部門高級安全架構師楊國梁表示:“現(xiàn)在,政府和企業(yè)都在推進數(shù)字化、智能化及云化轉型,安全需求不斷升溫,對網(wǎng)絡安全行業(yè)的重視程度也在持續(xù)提升。各方都需要加強數(shù)據(jù)安全技術的應用。”
數(shù)據(jù)安全戰(zhàn)略和框架
企業(yè)必須首先創(chuàng)建符合其業(yè)務需求的數(shù)據(jù)戰(zhàn)略和建構。這對于那些以用戶數(shù)據(jù)作為其業(yè)務戰(zhàn)略的一部分的企業(yè)來說尤為重要。這需要企業(yè)建立并協(xié)調主要指標和目標,用于監(jiān)管合規(guī)、數(shù)據(jù)安全治理、支持IT戰(zhàn)略和預估風險等。
其次,企業(yè)須進行數(shù)據(jù)查找和分類,明確訪問權限,并在企業(yè)的生命周期內管理數(shù)據(jù)集。數(shù)據(jù)分類需要注意文件、數(shù)據(jù)庫和電子郵件的敏感度;而訪問權限則規(guī)定哪些群體或個人被授予訪問權。類似地,應用需根據(jù)程序內數(shù)據(jù)的關鍵程度,以及它們是面向外部/內部,或云管理等進行分類。
此外,應由企業(yè)內不同團隊制定合理的數(shù)據(jù)安全政策和充足的執(zhí)行資源,并經(jīng)執(zhí)行管理層批準。在戰(zhàn)略敲定后,企業(yè)應選擇有助于確保數(shù)據(jù)和應用安全的安全工具、產(chǎn)品和服務。
數(shù)據(jù)保護需要協(xié)作
首席信息安全官(CISO)的主要職責之一是保護其公司的重要數(shù)字資產(chǎn),包括企業(yè)知識產(chǎn)權,例如轉悠源代碼和其它專利技術和機密信息。隨著數(shù)據(jù)隱私條例陸續(xù)頒布,CISO還需要保護用戶數(shù)據(jù),包括個人身份信息、健康信息、支付卡數(shù)據(jù)等。
這些新頒發(fā)的法律法規(guī)加強了對用戶數(shù)據(jù)的使用和保留的限制。這需要企業(yè)保護用戶數(shù)據(jù)和其在內部及與處理這些數(shù)據(jù)的第三方供應商的使用。CISO 需要與不同崗位的同事協(xié)作,包括數(shù)據(jù)保護、IT 基礎設施、合規(guī)性和軟件開發(fā)部門等,以確保遵守數(shù)據(jù)保護和隱私法律、標準和指南。此外,混合云和多云服務的出現(xiàn)和采用為數(shù)據(jù)安全帶來了新的挑戰(zhàn)。諸如數(shù)據(jù)的地理來源、存儲位置和用戶訪問位置點等因素也進一步使數(shù)據(jù)保護變得復雜。因此,服務提供商和主要云基礎設施提供商需要采取更多、更有效的舉措以保護數(shù)據(jù)。
應用安全在數(shù)據(jù)保護中的角色
了解應用安全如何與數(shù)據(jù)和隱私保護聯(lián)系起來至關重要。越來越多行業(yè)正在數(shù)字化轉型,企業(yè)也不得不將業(yè)務數(shù)字化,并且要比競爭對手更早行動以獲得新客戶和留住客戶。在金融服務行業(yè)、醫(yī)療保健和電子商務/零售細分市場尤其如此,移動和 Web 應用程序和網(wǎng)站的使用量顯著增加。然而,這些網(wǎng)站和應用也可能成為黑客的攻擊媒介。黑客利用它們作為進入企業(yè)數(shù)據(jù)庫的入口,其中包含可以在暗網(wǎng)上貨幣化的敏感用戶數(shù)據(jù)。
從安全和系統(tǒng)工程的角度來看,新系統(tǒng)的軟件安全服務、架構分析和威脅建模同樣重要。CISO 應與其軟件應用開發(fā)、第三方應用采購和系統(tǒng)工程的負責人合作,以更好地保護敏感數(shù)據(jù)免受網(wǎng)絡攻擊。數(shù)據(jù)泄露可能導致高昂的代價。
楊國梁總結道:“雖然大家討論得較多的是數(shù)據(jù)安全,但數(shù)據(jù)安全與否其實是一種結果。歸根結底,數(shù)據(jù)不夠安全的原因在于處理這些數(shù)據(jù)的應用軟件在設計或實現(xiàn)上有明顯的缺陷,被攻擊者利用,而導致數(shù)據(jù)被竊取。在代碼層面進行安全檢測,甚至在設計階段就引入安全屬性,是為了從源頭上盡量規(guī)避、解決這類問題,把風險問題控制在產(chǎn)品推出市場之前。這也就是我們常說的安全‘左移’,在軟件開發(fā)早期就確保安全。”
