183.17.231.*
2020-09-10 13:11:34 |
為了找出大數(shù)據(jù)時(shí)代數(shù)據(jù)安全需要解決的問題所面臨的主要挑戰(zhàn),我們可以梳理數(shù)據(jù)安全治理的核心思想�����,簡(jiǎn)單地說,數(shù)據(jù)安全治理可以遵循"以數(shù)據(jù)為中心��,以組織為單位�����,以能力成熟度為基本把握"的原則�����。
1���、以數(shù)據(jù)為中心
以數(shù)據(jù)為中心��,是數(shù)據(jù)安全工作的核心技術(shù)思想�。人們比較習(xí)慣的是以系統(tǒng)為中心的思想�,即圍繞著一個(gè)數(shù)據(jù)庫(kù)、一個(gè)產(chǎn)品�、一個(gè)網(wǎng)站、一個(gè)服務(wù)器等評(píng)價(jià)其安全性���。
這種思路主要適用于保護(hù)一個(gè)特定系統(tǒng)的正常工作狀態(tài)�����。但是在今天��,數(shù)據(jù)在多個(gè)系統(tǒng)�����、產(chǎn)品�、業(yè)務(wù)環(huán)節(jié)中頻繁快速流轉(zhuǎn)��,這種以系統(tǒng)為中心的思想已經(jīng)不能滿足數(shù)據(jù)安全的需求了�。
以數(shù)據(jù)為中心的安全,是將數(shù)據(jù)的防竊取防濫用防誤用作為主線�����,在數(shù)據(jù)的生命周期內(nèi)各不同環(huán)節(jié)所涉及的信息系統(tǒng)�����、運(yùn)行環(huán)境�、業(yè)務(wù)場(chǎng)景和操作人員等作為圍繞數(shù)據(jù)安全保護(hù)的支撐。
這時(shí)候����,某個(gè)系統(tǒng)被入侵�����,并不等于數(shù)據(jù)安全的目標(biāo)就遭到最終的破壞���,反之某個(gè)單一環(huán)節(jié)的安全能力再?gòu)?qiáng),也不代表整體數(shù)據(jù)安全保護(hù)的能力就夠好�����。
在數(shù)據(jù)生命周期的不同階段��,數(shù)據(jù)面臨的安全威脅�、可以采用的安全手段有可能很不一樣。
例如�,在數(shù)據(jù)采集階段,可能存在采集數(shù)據(jù)被攻擊者直接竊取�����,或者個(gè)人生物特征數(shù)據(jù)不必要的存儲(chǔ)面臨泄露危險(xiǎn)等;在數(shù)據(jù)存儲(chǔ)階段�����,可能存在存儲(chǔ)系統(tǒng)被入侵進(jìn)而導(dǎo)致數(shù)據(jù)被竊取,或者授權(quán)用戶無應(yīng)用場(chǎng)景支持訪問用戶敏感數(shù)據(jù)����,或者存儲(chǔ)設(shè)備丟失導(dǎo)致數(shù)據(jù)泄露等;在數(shù)據(jù)處理階段,可能存在算法不當(dāng)導(dǎo)致用戶個(gè)人信息泄露等�。
把不同階段從不同角度面臨的風(fēng)險(xiǎn)放到一起進(jìn)行綜合考慮,建立強(qiáng)調(diào)整體而不是某個(gè)環(huán)節(jié)安全能力�,是以數(shù)據(jù)為中心的安全的核心思想。
2�、以組織為單位
以組織為單位,是數(shù)據(jù)安全治理的核心管理思想����。
讀完前面的內(nèi)容后應(yīng)該容易理解��,一個(gè)服務(wù)器很安全�����、一個(gè)手機(jī)應(yīng)用產(chǎn)品很安全都不代表著要保護(hù)的數(shù)據(jù)安全���。數(shù)據(jù)會(huì)在不同的服務(wù)器�����、產(chǎn)品����、業(yè)務(wù)中流轉(zhuǎn)。
而且從法律的角度來說����,擁有或使用數(shù)據(jù)的組織才是承擔(dān)數(shù)據(jù)安全責(zé)任的主體。因此����,雖然在大數(shù)據(jù)時(shí)代還有數(shù)據(jù)共享、數(shù)據(jù)轉(zhuǎn)移�����、數(shù)據(jù)交易等各種復(fù)雜的情況���,但擁有或者處理數(shù)據(jù)的組織是所有這些活動(dòng)的基本單元���,因此也是數(shù)據(jù)安全治理的基本單位。
以組織為單位的數(shù)據(jù)安全治理�����,具體指的是數(shù)據(jù)在特定組織內(nèi)全生命周期的安全,這個(gè)組織要對(duì)其負(fù)責(zé)��。
不論數(shù)據(jù)在這個(gè)組織中的生命周期涉及多少產(chǎn)品業(yè)務(wù)或人員���,那些單個(gè)系統(tǒng)單個(gè)業(yè)務(wù)的安全都不說明問題����,說明問題的應(yīng)該被最終衡量的這個(gè)組織的數(shù)據(jù)安全���。
一個(gè)組織的數(shù)據(jù)安全水平�����,可以作為其是否符合法律要求����、特定事件中具備怎樣的責(zé)任���、面向用戶贏取信任、面向行業(yè)適合處理的數(shù)據(jù)類型和規(guī)模等的參考依據(jù)��。
換句話說,政府或者行業(yè)可以以組織為單位進(jìn)行數(shù)據(jù)安全管理�,而不是某個(gè)產(chǎn)品的安全,一個(gè)組織要證明的是自己整個(gè)組織的數(shù)據(jù)安全水平��,而不是自己的某個(gè)應(yīng)用的安全���。
3����、以能力成熟度為基本抓手
用什么來衡量組織的數(shù)據(jù)安全呢?數(shù)據(jù)安全的能力成熟度可以作為基本抓手�。
能力成熟度是一種經(jīng)過考驗(yàn)的方法,目前在越來越多的領(lǐng)域被應(yīng)用��,美國(guó)甚至制定了網(wǎng)絡(luò)空間安全能力成熟度戰(zhàn)略����。數(shù)據(jù)安全能力成熟度模型,是借鑒能力成熟度的核心思想�����,結(jié)合數(shù)據(jù)在組織內(nèi)的生命周期以及構(gòu)成安全能力的關(guān)鍵要素而構(gòu)建的��。
一個(gè)組織的數(shù)據(jù)安全能力成熟度等級(jí)��,說明了這個(gè)組織在數(shù)據(jù)安全保護(hù)方面的綜合能力水平。而這個(gè)水平的高低���,則可以用于數(shù)據(jù)安全治理的各種相關(guān)工作�����。
例如�����,相關(guān)政府部門或行業(yè)主管部門����,可以根據(jù)本行業(yè)的數(shù)據(jù)敏感度特點(diǎn)決定哪些數(shù)據(jù)類型或者多大的數(shù)據(jù)規(guī)模需要多高的數(shù)據(jù)安全能力成熟度水平����,進(jìn)而讓數(shù)據(jù)安全能力成熟度足夠的組織才能夠處理特定數(shù)據(jù),從而實(shí)現(xiàn)本行業(yè)安全與發(fā)展的平衡;
數(shù)據(jù)安全治理所遵循的有哪些原則.中琛魔方大數(shù)據(jù)分析平臺(tái)(www.zcmorefun.com)表示在數(shù)據(jù)共享����、傳輸、交易等過程中��,法律可以規(guī)定數(shù)據(jù)所有者有義務(wù)要求數(shù)據(jù)接收者提供自己足夠的數(shù)據(jù)安全能力成熟度����,以避免數(shù)據(jù)在流動(dòng)過程中進(jìn)入安全程度較低的組織,從而減少數(shù)據(jù)流造成的安全失控����。 |
您當(dāng)前的位置: 首頁(yè) > 行業(yè)貼吧 > 話題