滴滴下架!数据安全就是国家安全

2021年09月16日 阅读数:1
这篇文章主要向大家介绍滴滴下架!数据安全就是国家安全,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

7月4日,“滴滴出行”因App存在严重违法违规收集使用我的信息问题,被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架。html

公告里显示:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工做,防范风险扩大,审查期间“滴滴出行”中止新用户注册数据库

网址:http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm安全

 

 

据报道,这是国内首次动用《中华人民共和国国家安全法》的案件网络

 

7月5日,网络安全审查办公室再次发布公告,宣布将对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查,毫无疑问,滴滴只是一个表明,举国上下关注数据安全的时代终于要拉开帷幕。架构

 

6月10日,十三届全国人大常委会第二十九次会议表决经过包括《数据安全法》在内的多项法案及两项决定。《数据安全法》的出台,把数据安全上升到了国家安全层面。框架

 

在金融科技和数字化时代,数据已然成为一家公司的重要资产,甚相当系到一家公司的生死存亡。业界称数据资产为“皇冠上的明珠”。打个不必定恰当的比方,把大数据比做核裂变,若是咱们对这种反应使用得当,那就能让它为经济发展带来巨大能量,但若是控制不当,就会引起巨大的危机。数据安全能够比做为大数据这座“核电站”提供可控核裂变的关键能力。分布式

 

 

 

01工具

数据资产面临的威胁和挑战oop

 

 

根据中国信息通讯研究院于2018年发布的《大数据安全白皮书》,在云计算和大数据的背景下,围绕数据的生产、采集、处理、共享等数据生命周期的各个环节,内部泄露和外部攻击、管理和技术、新技术风险和存量技术风险等问题交织发生,数据安全威胁可来自大数据平台自身、数据安全、隐私保护这三方面。学习

 

平台安全方面的挑战主要表如今如下几方面:

  • Hadoop等开源工具缺少总体安全规划,自身安全机制存在局限性。

  • 因为大数据平台服务具备数据多源化、多样化、高度流动化的特色,传统安全机制难以知足需求。

  • 大数据平台的大规模分布式存储和计算模式致使安全配置难度成倍增加。

  • 对于面向大数据平台的新型网络攻击手段(如APT等),传统安全监测技术存在明显不足。

 

数据方面的威胁和挑战主要表如今如下几方面:

  • 数据泄露事件发生的数量持续增加,形成的危害日趋严重。

  • 因为缺少监测手段,数据采集环节的完整性保障缺失成为影响决策分析的新风险点。

  • 跨传统组织边界的数据处理过程当中的机密性保障问题逐渐显现。

  • 因为数据流动路径的复杂性,过后追踪溯源变得异常困难。


我的隐私方面的挑战主要表如今如下几方面:

  • 由于传统隐私保护技术能够经过对多来源、多类型的数据集进行关联分析和深度挖掘来复原匿名化数据,因此隐私保护有失效的可能。

  • 传统的隐私保护技术(如去标识化、匿名化技术等)难以适应大数据的非关系型数据库。而在金融科技领域,由于系统中存有海量我的敏感信息和交易信息,因此监管网络安全和消费者数据安全面临重大挑战。

     

 

02

数据资产估值

 

 

想要对数据进行保护,就要对数据资产的价值有相应的评判。业界近年来开展相关实践,发现影响数据资产价值的因素有三个(见图1):数据资产质量价值数据资产应用价值风险。数据资产质量价值是站在数据消费者的角度,考虑数据资产的真实性、完整性、准确性、数据成本、安全性;数据资产应用价值则考虑稀缺性、时效性、多维性、场景经济性;风险方面主要指法律限制和道德约束,这对数据资产的价值有着从量变到质变的影响。对数据交易的限制性规定越多,交易双方的合规成本和安全成本就越高。能制定出有效解决合规安全和效率问题的数据安全解决方案,就能提供更多价值。

 

图1 影响数据资产价值的因素

 

而在数据资产评估方面,根据业界近年来的实践,发现能够经过成本法、收益法、市场法等对数据资产进行定量评估。用成本法评估数据资产时,会依据造成数据资产的成本进行。尽管无形资产的成本和价值关联不强且成本不必定完整,但用成本法评估一些数据资产的价值是存在必定合理性的,好比在交易性和收益性不肯定但又须要交易的时候,能够采用成本法。用收益法评估数据资产时,数据资产做为经营资产直接或者间接产生收益,其价值实现方式包括数据分析、数据挖掘、应用开发等。收益法较真实、准确地反映了数据资产本金化的价值,更容易被交易各方所接受。在市场法中,数据资产的获利形式一般包括客户关系管理、客户细分、客户画像、个性化精准营销、提升投入回报率、内部风险管理等。收益法和市场法可应用于交易性和收益性较好的数据资产评估。三种评估方法在应用于数据资产价值评估时,各自具备优点和局限性,目前还没有造成成熟的数据资产价值评估方法。

 

 

 

03

如何理解数据安全

 

 

数据安全有别于传统的针对网络攻击的防护,可在大的数据管理的框架下,以保护数据为中心,把“创建数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和复制等权限,监控访问和复制等行为,完善数据安全技术,按期审计数据安全”做为数据安全管理工做的主要内容。而数据安全管理和数据治理之间有着相辅相成的关系,咱们能够经过目标、对象、理念、技术、发起部门、产出内容、资产管理等维度对数据安全、网络安全、数据治理进行比较(见表1)。

 

表1 数据安全、网络安全、数据治理对比表

 

 

 

04

数据安全管理参考框架

 

 

当前业界解决数据安全管理有两个主要思路:

  • 从数据安全治理的角度,首先明确谁对数据安全负最终责任,而后在这个责任框架下经过数据发现、数据分类分级,明确以DLP(数据防泄露)为主导的技术管理措施和审计措施。在集中式的以金融机构为主导的传统技术架构下,这种模式是有效的。然而,就像牛顿的经典物理学的有效性在更为宏观的尺度下再也不那么有效同样,在诸如小微、消费信贷、医疗险、车险等领域,跨界、跨实体的多数据源计算成为主要计算场景。

  • 在法规方面,又会面临网络安全以及我的信息保护等相关法规对于隐私保护和我的数据安全的严格要求,传统的基于DLP的解决方案便不能应对新的挑战。这时,一些领先的金融科技公司就开始在验证测试阶段乃至投入生产阶段,运用诸如联邦学习等全新的数据安全解决方案来应对。这二者并非互相排斥的,而是相辅相成的,它们的共同点在于“以数据为中心”,不一样点在于数据安全治理是站在某一机构的视角来看数据安全,而联邦学习等新的数据安全解决方案是站在一个跨界业务生态的视角上的。


不一样规模、不一样发展阶段的机构能够根据本身的实际状况灵活运用上述思路解决实际问题。


接下来,咱们谈谈数据安全相关的参考框架。


Gartner在数据安全领域也很有建树,前后提出了数据安全治理和以数据为中心的安全架构等参考框架,其中数据安全治理架构据称是Gartner的分析师Marc Antoine Meunier在“Gartner 2017安全与风险管理峰会”上表明Gartner发布的,Marc将其比喻为“风暴之眼”,以此来形容数据安全治理框架(DSGF)在数据安全领域的重要地位及做用。


DSGF的核心架构如图2所示。许多人认为数据安全只是一个技术问题,然而想经过数据分类、DLP、数字版权管理或数字加密等工具彻底解决数据安全问题是不可能的。数据安全是一个复杂的问题,若是不对数据自己、数据建立和使用的上下文以及如何映射到既定的治理框架有深入理解,就没法理解到底什么是数据安全,更谈不上数据保护了。

 

图2 DSGF核心架构

 

 

DSGF能够帮助企业解决数据安全问题。DSGF提供了一个以数据为中心的蓝图,其中包括:识别和分类企业相关结构化和非结构化数据集,定义数据安全策略,选择实施风险缓解的技术。
 

在DSGF落地过程当中,企业高层风险领导者是主要负责人,其主要职责以下:一是必须肯定组织对数据安全事件、监管环境的业务策略和风险的容忍度,并根据业务风险识别和分类数据资产;二是进一步考虑并明确企业技术投资优先级,以实现从DSGF衍生出来的目标;三是须要充分利用数据,为管理提供数据驱动的情报;四是数据安全必须包括传统数据安全技术以外的其余方面。

 

上面所说的其余方面涉及的内容包括以下几项。

  • 关键技术方面:身份和访问管理(IAM)程序应能帮助理解用户上下文和跟踪数据访问的关键组件,特别是在响应受损害的凭据问题时。IAM为管理人员访问系统和数据提供了一种结构化、连贯的方法。而UEBA解决方案采用基于行为分析的方法构建用户和实体(主机、应用程序、网络流量和数据库等)的标准配置文件和行为标准。与这些标准不相符的活动就会被认为是可疑的,从而发现恶意内部人员和外部攻击者。

  • 意图:在保护数据方面,企业必须有能力尝试揭示用户及攻击者的意图,以更好地肯定和区分哪些是合法的数据安全事件,哪些是存在疏忽或滥用的状况的。

  • 优先级:经过采用自动化和智能建议,使用DSGF时应优先考虑使用持续的适应性风险和信任评估系统来选择适当的安全政策规则和功能,以确保能减少关键业务的风险。

  • 与数据治理充分协同:在DSGF实施过程当中,应该保证数据安全方案与企业数据治理方案保持一致,尤为是数据管控的评估政策和数据分类。

  • 关键敏感数据集的开发识别能力:开发识别敏感或关键数据集的能力,并审计整个企业环境。明确跨多个工具协调的规则,由于单个工具或控件不多能解决全部企业的数据安全风险问题。

  • 持续改进:在企业数据安全程序中按期进行差距分析,以应对不断变化的业务目标和动态威胁。

 

本文摘编于《一本书读透金融科技安全》,经出版方受权发布。