数据安全如何做：架构篇

据IBM《2019年全球数据泄露成本报告》显示，恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。数据泄漏对企业来说不仅是经济损失，还有国家层面的巨额罚款;比如Facebook的8700万用户数据的不当泄漏被罚款50亿美金，英国航空公司的50万乘客数据的不当泄漏被罚款2.3亿美元;国内大量企业都号称自己有百万、千万甚至过亿的用户量，但你们是否有相应的数据安全能力来保证用户数据不外泄，或者你们是否有能力应对合规层面的巨额罚款。

数据安全标准

国际层面，各国出台了如GDPR、CCPA、COPPA、LGPD等。

国内层面，近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、 《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。

数据安全相关定义

(1) 数据的定义：

任何以电子或者非电子形式对信息的记录。

(2) 理解数据的类型：

a. 按照数据性质区分

结构化数据：即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据

非结构化数据：包括所有格式的工作文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等等

半结构化数据：就是介于完全结构化数据(如关系型数据库、面向对象数据库中的数据)和完全无结构的数据(如声音、图像文件等)之间的数据，HTML文档就属于半结构化数据

b. 按照数据状态区分

静态数据：存储在磁盘、硬盘、SAN等介质上的任何数据

动态数据：通过网络传输的任何数据

使用中的数据：应用程序使用内存或临时缓冲区中的数据

(3) 数据活动的定义：

数据的收集、存储、加工、使用、提供、交易、公开等行为。

(4) 数据安全的定义：

通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

数据安全的挑战

(1) 业务系统的灵活多变、需求复杂

互联网+的时代，市场的快速变化，企业业务的极速调整，企业每天都有可能出现系统上线、功能调整、接口的三方接入、数据的线上和线下外发等。面对这些变化和场景，我们如何应对?

(2) 新技术新挑战

新技术带来新风险。云、物联网、大数据和AI等新技术的广泛应用给企业带来了巨大生产力的同时，也改变了传统网络的数据防护思路，新型的网络威胁我们如何应用?

(3) 数据量大

大数据的兴起，数据的起始计量单位变成至少是PB级，甚至是EB级，在如此庞大的数据量面前，如何有效管理，如果做数据的快速识别、监控、检测、处置、响应?

(4) 安全威胁增多

数据价值的提升，导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!