诸子笔会 | 蔚晨:数字化与数字化安全
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
数字化与数字化安全
文 | 蔚晨
蔚晨
光大科技 信息安全主管
曾任中国光大银行数据安全技术专家、海航科技集团信息安全技术总架构师等职务。现任光大科技有限公司信息安全主管,十余年金融业、铁路交通业、航空业工作经历,一直从事信息安全、数据管理、风险管理等领域,曾获得银监会风险管理课题研究成果、人民银行科技发展奖等多项行业奖项,在数据安全领域有深入研究和实施经验,对网络安全法、GDPR、等保等法律法规有深刻理解。
广义上的数字化,强调的是数字技术对商业的重塑,数字化是要在整合信息化的基础上,提升企业对数据的处理能力,从而进一步的增加企业的效能。数字化转型就是利用数字化技术(如大数据、云计算、人工智能等)来推动企业组织转变业务模式,组织架构,充分利用数据,以便更容易地统一和分析数据。降低IT成本,提高效率,优化业务流程,改善客户体验,提供更吸引客户的服务。并且,数字化转型提供的现代技术比传统IT系统更快更强大。它能使团队更好地合作,快速响应业务需求。可以说随着万物互联时代到来,数字化转型近年来已然成为企业级市场最重要的关键词,众多企业都在部署云计算、大数据分析、移动办公等解决方案。
虽然数字化转型能为企业带来很大的好处,但是,其中的隐患同样不可忽略。随着数字技术与社会与网络空间深度融合,当整个世界、整个国家都进行数字化转型时,其基础都将建立在软件之上,数字化转型给企业带来颠覆性改变的同时,也使得网络安全发生了前所未有的变化和挑战,这时候如果网络安全没有保证,如若软件有漏洞、遭到攻击,数字化的世界将会受到重大的破坏。
面对现实发展的信息安全态势,政府也不断出台政策加强信息安全的建设。“网络空间”成为了国家安全的重点工作予以部署,《网络安全法》、《网络安全等级保护条例(征求意见稿)》、网络安全等级保护制度2.0标准、《国家网络安全产业发展规划》以及《密码法》相继出台,使得网络安全走向合规性与强制性并重的阶段,进一步刺激安全市场的需求。但是数字化面临的风险,远不止这些。
►安全事件风险正扩展成商业风险的一部分,网络安全甚至关系到企业生死存亡。
►网络安全合规对企业要求越来越严格,各种法律法规正在不断完善。
►网络安全攻击正在变得越来越产业化和规模化。
►安全和数据隐私问题、数据泄露、恶意软件和漏洞数量的快速增长,缺乏安全性的数字化转型将导致企业面临更大的安全风险。
很多企业为了防止外部的攻击,将公司的网络划分为两个区域,内网与外网。实行内外网物理隔离,将公司内部的数据留在内部,禁止流出,同时将外部的风险隔绝在外网。即使外网受到攻击,也对企业内部的关键数据造成的不了太大的损失与泄露。但是随着数字化转型的发展,对数据的处理能力的加强,为了得到准确的业务信息,很多企业会将业务数据拿到测试环境对系统进行测试。
内外网之间的互动增加,网络安全边界逐渐泛边界。为了方便测试人员的测试,测试环境通常部署在外网环境中,如果将业务数据拿到外网中,很容易造成业务数据的泄露。为了保证数据的安全,企业通常会对业务数据进行加解密和脱敏处理,使加密、脱敏之后的数据依旧拥有业务真实数据的特性,但是不会暴露真实的数据。虽然解决了真实业务数据不会暴露的问题,但是新的问题也随之产生。
内外网物理逻辑隔离,如果将内网的测试数据拿到外网中,那么势必要打破内外网的隔离,在防火墙上建立专门的数据流转通。通道仅能使需要的测试数据通过该通道由内到外进行传送,而不能让别人通过通道侵入公司内网。
但是如何保证出去的数据一定是按规定脱敏加密之后的数据呢,那么在通道中还需要一个专门的平台,去审计这些传输的数据,或者说,所有需要跨越内外网传输的数据,都需要通过这个平台去操作去审计,这样子,才能确保所有真实的业务数据留在了内网,没有泄露的风险。虽然数字化转型打破了内外网的边界,但是在内外网之间架设了一个桥梁,所有合规的数据或者其他信息,只有通过专门的桥梁才能流通到外部。给内外网增加了交流的空间,但是保证了数据的安全性。
在网络边界趋于模糊的外部环境下的动态人员和应用授权访问控制,是必须基于应用权限数字化的基础才能实现。安全的防护方式发生了改变,一种新兴的观念现在越来越流行,打破了默认的信任和传统的防护模式。零信任代表了新一代的网络安全防护理念,持续验证,永不信任。默认不相信企业内外网络的任何人、设备和系统,基于身份认证和授权构建访问控制。
很多企业通过统一身份认证系统(IAM)来识别用户身份和管理访问控制。通过定义身份具有的访问权限来管理访问权限控制,也是零信任的核心基础。统一身份认证至少具备三大功能模块:身份认证模块、权限管理模块和安全审计模块。身份认证,通过用户的多个属性的多次认证来验证用户的身份真实性。权限管理,根据身份认证的结果,按照最小访问权限来分配能访问的资源,保证了用户所能使用的资源不会超出自己的岗位权限。如果需要增加新的访问权限,则需要提交审批,由统一身份认证系统的超级管理员确认后,方可添加新的权限。安全审计,准确的记录了通过统一身份认证系统登录的用户行为,将不合规的用户行为及时制止。
信息安全内涵不断丰富,催生出云安全、大数据安全等新兴安全领域,传统网络边界逐渐消失,防护对象已由传统的PC、服务器拓展至云平台、大数据和泛终端。作为安全人员,注重的安全点也越来越多,在从事网络安全活动时,需要提倡使用基于风险的方法和标准框架解决问题。加快推进企业战略,了解企业风险承受能力,有效管理与数字化转型相关的企业风险。安全人员还应制定治理计划,以满足网络安全、数据治理和隐私方面的外部监管要求,同时为了制定适当的网络安全计划,还需要考虑让员工参与其中,让企业员工通过培训和遵守企业标准及指引的方式为网络安全出一份力并重视整个管理流程。
网络空间安全直接影响国家安全、经济安全和社会安全,网络空间安全成为数字化时代国家、经济、社会转型升级和发展的保障,安全将成为“数字化”的基础、基石。
RECOMMEND
推荐阅读
齐心抗疫 与你同在