av人摸人人人澡人人超碰妓女,蜜桃麻豆www久久国产sex,日本喷奶水视频中文字幕,亚洲中文久久无码91

您好,歡迎訪(fǎng)問(wèn)上海聚搜信息技術(shù)有限公司官方網(wǎng)站!

阿里云代理商:企業(yè)數據如何安全建設?

時(shí)間:2020-06-08 11:08:06 點(diǎn)擊:
從華住酒店集團近6億條數據被暴露,到點(diǎn)評類(lèi)網(wǎng)站數據造假,再到微盟公司程序員刪庫跑路,無(wú)數血淋淋的案例告訴我們:對于今天的商業(yè)組織,數據就是核心資產(chǎn)和命脈;甚至可以說(shuō):“企業(yè)經(jīng)營(yíng)的本質(zhì)即數據運營(yíng)”。與核心數據資產(chǎn)相比,精干的管理人員好像沒(méi)那么重要,昂貴的設備好像沒(méi)那么重要,華美的辦公樓好像也沒(méi)那么重要。
同步地,在國家政策不斷明晰和行業(yè)監管持續引導的大背景下,數據安全已經(jīng)成為網(wǎng)絡(luò )安全行業(yè)的投融資熱點(diǎn),更是全社會(huì )焦點(diǎn)話(huà)題。但不盡如人意的是,參與數據安全相關(guān)法律法規和行業(yè)標準制定的多是部委機關(guān)、科研院所以及行業(yè)寡頭;試點(diǎn)落實(shí)數據安全防護技術(shù)多是監管單位和大型企業(yè);數據安全保護技術(shù)亦呈現出技術(shù)壁壘極高,成本造價(jià)極高的態(tài)勢。數據安全似乎與中小企業(yè)關(guān)系甚少。
事實(shí)上,一方面,中小企業(yè)是國民經(jīng)濟的重要組成。根據國家經(jīng)濟統計局數據,中小企業(yè)占比中國企業(yè)總數90%,GDP貢獻達全國65%,稅收貢獻超過(guò)50%,并解決75%以上的城鎮就業(yè)。另一方面,面對數據安全威脅和攻擊,中小企業(yè)風(fēng)險抵御能力極差。根據卡巴斯基2019年安全報告,全球46%中小企業(yè)遭遇數據泄露。根據2019年Zogby Analytics報告,數據泄露可能導致25%的中小企業(yè)破產(chǎn)。

如此,破解中小企業(yè)數據安全困局已是勢在必行,更要善建慎行。

一、分析安全威脅,排查致命缺陷
針對數據安全風(fēng)險,以下內容對中小企業(yè)面臨的五個(gè)最突出安全威脅進(jìn)行簡(jiǎn)要分析。
1. 管理者對數據價(jià)值認知不足,導致投入少關(guān)注少
可能的原因:
數據價(jià)值缺乏量化分析。在數據的貨幣化價(jià)值探索方面,中小企業(yè)組無(wú)法得到直觀(guān)的數據價(jià)值感知。
價(jià)值數據缺少持續投入。據統計,中小企業(yè)存活周期的平均壽命只有2.9年,由此帶來(lái)的是體系化數據安全建設周期和資金保障不足。
關(guān)鍵業(yè)務(wù)數據關(guān)注較少。企業(yè)運營(yíng)過(guò)程中,關(guān)注點(diǎn)會(huì )放在了業(yè)務(wù)組織架構和流程,以及業(yè)務(wù)模型等,在積累大量的價(jià)值數據之前,管理層對數據的價(jià)值缺少必要的關(guān)注,同時(shí)在利用數據驅動(dòng)企業(yè)數字化能力方面略顯不足。
2. 難以打造縱深防御體系,黑客攻擊更加容易
與大型企業(yè)不同,受限于業(yè)務(wù)規模和安全投入,中小企業(yè)業(yè)務(wù)架構簡(jiǎn)潔,網(wǎng)絡(luò )復雜性低,缺少網(wǎng)絡(luò )安全的整體性思考。在面對惡意攻擊時(shí),較短的攻擊路徑使得核心數據更容易暴露。中小企業(yè)由于在安全投入方面較少,因而無(wú)法打造一個(gè)完整保護體系,如邊界防御、訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )隔離、應用保護、入侵檢測、病毒防御、數據防泄漏等等,缺少層層安全策略,層層操作規則。根據電信運營(yíng)商Verizon《2019年數據泄露調查報告》對于中小企業(yè),70%數據安全攻擊事件,在3個(gè)攻擊步驟內完成攻擊。
3. 安全知識儲備不足,安全意識仍待提高
中小企業(yè)設立1名或多名專(zhuān)職數據管理崗位已然困難;更多,在全社會(huì )網(wǎng)絡(luò )和數據安全專(zhuān)業(yè)人員缺口達百萬(wàn)級情況下,中小企業(yè)招聘專(zhuān)業(yè)安全人員多是“郎有情來(lái)妾無(wú)意”。
上述情況,可能導致出現常識性安全誤區。比如,某中小企業(yè)在意識到數據安全重要性后,特別采購滿(mǎn)足等保三級要求的云服務(wù)器;然而,在使用過(guò)程中,不修改默認口令,不關(guān)閉特權賬號遠程登陸,不進(jìn)行中間件升級,最終導致黑客輕易控制服務(wù)器。對于大型企業(yè),安全管理和運營(yíng)是體系化閉環(huán)管理,網(wǎng)絡(luò )、平臺、應用、數據等實(shí)現了模塊化控制措施部署。
安全意識缺乏亦中小企業(yè)重要威脅。傳統地,安全意識提升會(huì )占較多精力和資源,而且只有大型企業(yè)才需要定期開(kāi)展體系化意識提升。事實(shí)上,在日常辦公和項目實(shí)施中融入意識提升,成本極低,同時(shí)得益于規模小,中小企業(yè)的安全意識提升效果遠超大型企業(yè)。
請切記:低級誤操作和安全意識缺乏是數據泄露和網(wǎng)絡(luò )攻擊首要原因。
4. 開(kāi)源免費埋下安全“地雷”
根據Gartner調查報告,99%的組織在IT系統會(huì )采用使用開(kāi)源程序。普遍地,基于技術(shù)更新和成本控制等原因,中小企業(yè)使用開(kāi)源組件亦是常態(tài)。便利與安全相向而行。據統計,2019年開(kāi)源軟件漏洞較2018年增加50%,平均每1000行代碼存在14個(gè)安全漏洞。更多的,安全漏洞暴露后,中小企業(yè)較難通過(guò)外圍安全防護設備抑止安全影響,但直接升級程序和加固系統,風(fēng)險高且難度大?;诖?,中小企業(yè)修復開(kāi)源漏洞周期平均超過(guò)24個(gè)月。
需要深思的是:開(kāi)源程序安全隱患到底來(lái)自哪里?
其一,針對成熟的開(kāi)源軟件,安全再投入困難。一方面,較早的開(kāi)源項目少有安全投入;另一方面,開(kāi)源軟件經(jīng)過(guò)多年版本更新,要不由3、5個(gè)工程師,甚至1個(gè)工程師獨立開(kāi)發(fā),安全加固將極大增加時(shí)間成本和精力成本;要不由上萬(wàn)人共同迭代,新老版本代碼相互調試引用,復盤(pán)程序已十分困難,更不提安全構架。種種原因,造成成熟開(kāi)源軟件安全性提升困難大,且成效一般。
其二,新立項目,特別常用互聯(lián)網(wǎng)應用開(kāi)源框架項目,獲得了企業(yè)經(jīng)費贊助,甚至人力投入(參與核心編碼),安全專(zhuān)家亦大量參與。然而,美中不足的是:為了提升代碼易用性和擴展性,較多安全配置默認“關(guān)閉”。對于大型企業(yè),特別是行業(yè)巨頭對開(kāi)源程序或軟件安全性重視程度較高。較多企業(yè)建立了引入管理、軟件版本管理、脆弱性檢測、在線(xiàn)告警和補丁測試環(huán)境等體系化的管理。然而,對于中小企業(yè),在使用開(kāi)源代碼時(shí),極有可能“一目十行”,根本未關(guān)注安全配置。
事實(shí)上,中小企業(yè)亦通過(guò)小行動(dòng)來(lái)強化開(kāi)源程序安全使用,比如設立安全原則:針對開(kāi)源程序版本已被CNVD通告存在高風(fēng)險安全漏洞,則禁止研發(fā)人員任何理由使用。比如,根據CIS建立企業(yè)安全基線(xiàn),要求開(kāi)啟開(kāi)源軟件95%以上安全配置。再比如,針對調用開(kāi)源程序且是項目核心功能,要求兼容二種以上編碼語(yǔ)言。
請切記:開(kāi)源程序安全漏洞被利用是數據泄露和網(wǎng)絡(luò )攻擊第二原因。
5. 云化技術(shù)應用:天使魔鬼,結伴同路
近五年,云化技術(shù)堪稱(chēng)中小企業(yè)福音。大量中小企業(yè)利用云平臺,在輕量化運營(yíng)前提下,實(shí)現業(yè)務(wù)拓展和產(chǎn)能擴容。更多的,在新冠疫情背景下,工信部文件強調:支持數字化和智能化轉型,助力中小企業(yè)復工復產(chǎn)。其中,引導大企業(yè)及專(zhuān)業(yè)服務(wù)機構面向中小企業(yè)推出云制造平臺和云服務(wù)平臺,推動(dòng)中小企業(yè)業(yè)務(wù)系統云化部署是重要內容。
姑且,云化技術(shù)有安全驗證,云化架構有安全設計,云服務(wù)商金口玉言,再三承諾貼合業(yè)務(wù)需求,匹配業(yè)務(wù)形態(tài),提供可選高品質(zhì)安全保障。但業(yè)務(wù)和數據畢竟是自有的,中小企業(yè)極需關(guān)注云化技術(shù)應用中業(yè)務(wù)和數據安全管理。
第一,云平臺安全風(fēng)險是X86和TCP/IP架構客觀(guān),曾記否Slack和CloudFlare安全漏洞泄露數百萬(wàn)用戶(hù)個(gè)人信息,曾記否Verizon的Amazon S3服務(wù)器錯誤配置,泄露1400多萬(wàn)美國用戶(hù)數據。
第二,在認識到風(fēng)險后,中小企業(yè)可考慮采購國資或知名云服務(wù);同時(shí),根據業(yè)務(wù)模式和規模選購安全服務(wù)(注意:云平臺安全服務(wù)更加論證了第一點(diǎn):云平臺存在安全風(fēng)險)。為了減輕經(jīng)營(yíng)成本壓力,筆者建議優(yōu)先選購漏洞掃描、服務(wù)器加固等價(jià)格低但成本高安全服務(wù)。在此基礎上,結合業(yè)務(wù)模式,選購業(yè)務(wù)風(fēng)險、數據防泄露檢測等服務(wù)。
二、理清合規要求,重視戰略部署
根據《網(wǎng)絡(luò )安全法》、《個(gè)人信息安全規范》等法律標準要求,網(wǎng)絡(luò )運營(yíng)者、數據控制者需要承擔數據保護義務(wù)。針對中小企業(yè),需要重點(diǎn)關(guān)注三個(gè)關(guān)鍵合規要求。
1. 個(gè)人信息保護
掌握持續增長(cháng)的個(gè)性化的個(gè)人信息可能是中小企業(yè)與行業(yè)寡頭競爭中的“王牌”。這張“王牌”成立的首要前提做好保護義務(wù)。
根據《刑法》、《消費者權益保護法》、《數據安全管理辦法》諸多法規和國標、行標,個(gè)人信息收集、處理、利用受到嚴格約束和管制。
需要強調,個(gè)人信息保護是法律約束,經(jīng)粗略統計,2019年平均每3天新增1個(gè)侵害個(gè)人信息判例。
2. 數據共享安全
流轉是數據天然屬性,變現也是數據最終目標,但流轉不代表隨意傳播,變現不等于數據售賣(mài)。數據共享要求做好事前預防,事中監測,事后審計。
3. 數據出境安全
當下,較多中小企業(yè)業(yè)務(wù)涉及跨境交易,同步地,部分數據可能跨境流轉。涉及數據出境業(yè)務(wù),一方面,需要注意數據接收方所在國法律法規約束,如歐盟GDpr,如新加坡、泰國等國家數據安全保護法令;另一方面,需要注意國內《個(gè)人信息出境安全評估辦法》等要求。
特別注意,數據安全和網(wǎng)絡(luò )安全是國家針對全行業(yè)國家網(wǎng)絡(luò )空間安全可控戰略要求,是無(wú)論規模、形態(tài)的企事業(yè)都必須遵循安全監管。遵循安全合規需要上升到中小企業(yè)主經(jīng)營(yíng)管理戰略目標。
三、落地安全戰術(shù),踐行第一舉措
中小企業(yè)不適用搭建一個(gè)事無(wú)巨細的完整數據安全保護框架,宜采用“精準發(fā)力,有的放矢”安全戰術(shù)。以下從意識提升、安全管理、安全技術(shù)、專(zhuān)項工作等4方面分析提出優(yōu)先安全舉措來(lái)推演中小企業(yè)數據安全建設,即從諸多安全舉措中找出最迫切選項(本文會(huì )給出兩個(gè)項目以供讀者參考)。
1. 安全意識
安全意識提升形式多樣,方法靈活??紤]到,中小企業(yè)經(jīng)營(yíng)成本限制和實(shí)施便捷要求,建議優(yōu)先開(kāi)展兩項意識提升工作:
案例宣貫。整理個(gè)人信息侵害判例或同行業(yè)數據泄露事件,在例會(huì )前,進(jìn)行10分鐘案例學(xué)習,對照分析本企業(yè)不足,提升企業(yè)主對數據資產(chǎn)價(jià)值認識,強化員工違規思想的威懾。
知識學(xué)習。整理安全運營(yíng)簡(jiǎn)要知識或常見(jiàn)設備和系統默認口令或典型安全漏洞分析,在月度總結中,進(jìn)行30分鐘集中學(xué)習。
2. 安全管理
完整的數據安全管理可能至少覆蓋崗位、人員、制度、流程、監管配合等,但對于中小企業(yè)可優(yōu)先嘗試如下兩項工作來(lái)開(kāi)展數據安全管理:
建章立制。不可因為對制度落地期望低,或實(shí)施效果差而拒絕建立制度。制度是現代企業(yè)管理的“神經(jīng)”。特別地,對于數據安全工作,制度的建立更是正視數據工作第一步,亦可能成為安全事件發(fā)生后,公安機關(guān)追責時(shí),相關(guān)人員“適當勤奮”第一證明。針對制度執行落地難,第一,建議在企業(yè)內部強化安全制度的統一性、權威性和嚴肅性,要做到“令行禁止”;第二,建議企業(yè)減少“家長(cháng)式”管理,可考慮場(chǎng)景化演練、安全制度專(zhuān)題活動(dòng)等,增強企業(yè)數據安全文化建設,激發(fā)執行層員工參與感。
聘用兼職顧問(wèn)。如前文,專(zhuān)職人員培養難、成本高,建議中小企業(yè),特別員工數量不足150人中小企業(yè),建議聘用兼職數據安全顧問(wèn)進(jìn)行技能指導。
3. 安全技術(shù)
大型企業(yè)數據安全防護技術(shù)可以覆蓋整個(gè)數據活動(dòng)生命周期,可能從資產(chǎn)識別,覆蓋到分類(lèi)分級、威脅檢測、安全監視等。然而,數據的安全命運可歸納為二種:被破壞、被非法訪(fǎng)問(wèn)(含泄露)。再結合前面安全威脅分析,建議中小企業(yè)優(yōu)先開(kāi)展如下兩項工作:
數據備份。不論是本地數據還是云端數據,備份是抵御攻擊低成本策略,是降低數據被破壞影響最優(yōu)解。
加密應用。對于非法訪(fǎng)問(wèn),大型企業(yè)極有可能采購和部署完備的訪(fǎng)問(wèn)控制系統,覆蓋網(wǎng)絡(luò )邊界、主機服務(wù)、應用業(yè)務(wù)、甚至指令級的權限管理。不足之處,此類(lèi)訪(fǎng)問(wèn)控制會(huì )在后續不斷增加管理成本,如訪(fǎng)問(wèn)控制策略要頻繁調整,會(huì )增加額外人力;如業(yè)務(wù)或網(wǎng)絡(luò )擴容,引發(fā)訪(fǎng)問(wèn)控制系統同步擴容,會(huì )增加額外成本。建議中小企業(yè)利用加密技術(shù)減緩來(lái)自非法訪(fǎng)問(wèn)威脅(加密技術(shù)是開(kāi)放性技術(shù),多數情況下,算法完全公開(kāi))。
注:加密并不能解決非法訪(fǎng)問(wèn),但對于小規模組織,可以減少數據暴露和傳播。
4. 專(zhuān)項工作
結合威脅分析和合規要求,建議中小企業(yè)開(kāi)展如下兩項專(zhuān)項工作。
個(gè)人信息保護。特別是在2020版《個(gè)人信息保護規范》發(fā)布后,個(gè)人信息保護工作是對全行業(yè)剛性要求,中小企業(yè)的個(gè)人信息保護專(zhuān)項工作需要至少包含隱私政策管理、數據收集授權同意和安全保護(范圍、頻次)、加密傳輸、加密存儲、不留存原始身份特征數據和及時(shí)處置。
數據出境管理。數據共享交換安全是企業(yè)數據管理重頭戲。其中,數據出境尤其需要特別關(guān)注。2018年GDPR的實(shí)施,對涉歐盟業(yè)務(wù)的中國企業(yè)明確了數據管理要求,更加明確了數據跨境流動(dòng)的方式和通道。更多,隨著(zhù)《個(gè)人信息和重要數據出境安全評估辦法(征求意見(jiàn)稿)》和《信息安全技術(shù) 數據出境安全評估指南(征求意見(jiàn)稿)》相繼發(fā)布,顯然數據出境合規管理將日趨嚴格。特別地,針對從事跨境電商、跨境貿易的中小企業(yè),建議至少從數據出境范圍管控、數據出境風(fēng)險評估和影響分析以及數據接收方法律合同約束等方面開(kāi)展數據出境安全專(zhuān)項工作
阿里云優(yōu)惠券領(lǐng)取
騰訊云優(yōu)惠券領(lǐng)取

熱門(mén)文章更多>

QQ在線(xiàn)咨詢(xún)
售前咨詢(xún)熱線(xiàn)
133-2199-9693
售后咨詢(xún)熱線(xiàn)
4000-747-360

微信掃一掃

加客服咨詢(xún)