CIS 2021 春日版数据安全论坛圆满落幕,精彩议题不容错过
2022-3-10 11:3:1 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

3 月9 日,CIS 2021 网络安全创新大会 Spring·春日版开启了线上直播。大会议题精彩纷呈,无论是安全行业年度观察,亦或是网络安全体系建设,还是人工智能世界的奥秘,全部涵盖。

1646881588_62296b3449ed324a31ca2.png!small

人工智能,大数据、物联网风靡以来,海量数据处理一直是企业的心头大患,面对大量数据,以往的数据处理方式已难以应对,保障数据安全成为实体难以攻破的“堡垒”。

CIS 2021 网络安全创新大会 Spring·春日版「数据安全与暨数据合规与隐私科技峰会」分论坛邀请民航二所马勇、斗象科技王涛、360政企安全集团杨焱、亚马逊云科技 Troy Cui、平安信托有限责任公司叶兵等知名网络安全专家,与大家深入探讨最新的数据安全保护技术、最佳的运营体系。

民航数据安全防护体系的探索与思考

马勇 民航二所网络安全专家

目前,国内民航旅客数据泄漏情况严峻,具有高价值的旅客信息是泄漏的重灾区,除此之外,历史泄漏数据仍旧被网络犯罪分子利用,民航运营商不仅要防范内部系统数据泄漏,还要时刻“提防”犯罪分子从其他渠道获取旅客信息。

归因民航近些年发生的大规模旅客数据泄露,新技术的应用免不得要背“半口”黑锅,目前,机场大量使用,人脸识别技术、图像识别和人工智能技术、数字孪生技术。

另外,马勇提出疫情也是目前民航旅客发生数据泄漏的诱因之一。疫情反复蔓延,数据传输链条增加,民航系统对数据安全保护能力难以为继。最后,马勇称,民航系统内数据安全法律法规不够完善也是数据泄露原因之一。

针对民航系统的数据安全问题,马勇总结了一些影响民航数据安全建设的痛点。

1. 源很难搞定:民航系统一旦发生数据,很难快速、准确锁定数据泄漏的源头;

2. 数据链条长:民航系统涉及机场方、飞机运营商等各实体,彼此之间数据共享,很难全部保护;

3. 民航系统错综复杂:机场运营系统庞杂,不同时期的数据系统存在偏差,整体之间很难同时进行改造。

1646881762_62296be292d09e3524d70.png!small?1646881762641

线上分享的最后时段,针对目前民航系统的数据安全保护,马勇说了一些自己的思考。针对民航系统发生旅客数据泄露事件,缺乏监管,需要加强对民航系统的数据安全监管工作;另外,不同于其他的出行方式,民航其实是一个国际性的生意,飞机出行会涉及到国外的航班,需要国内外同行增强合作;最后,需要提高民航系统的数据安全保护能力,不断增强数据保护技术。

基于企业业务发展的数据安全体系建设实践

王涛 斗象科技安全专家

针对目前的数据安全状况。王涛提出当前安全漏洞持续增多,过去两年,国家信息安全漏洞库(CNVD)、美国国家漏洞库(NVD),公共漏洞披露平台(CVE)等漏洞收录平台的收录总数持续增长。不单单是漏洞数量增加,数据泄露也经常发生,内部威胁成了信息泄露的重要途径。

直播期间,王涛还总结了自2015开始,安全建设经历的时代。 细致对比了不同时代安全运营人员对数据安全的认知。

混沌时代:这个阶段,从业者普遍不知攻,不知防,大都以企业内部系统不出现问题为工作目标,以网络策略作为安全工作主题;

救火时代:在这个阶段,内部的运维人员一般是发现问题后,才去处理问题,往往是亡羊补牢,很难起到关键作用,但是,也开始出现了基础防护构建,安全检测也慢慢兴起;

建设时代:合规逐渐开始完善,安全人员渐渐开始按照合规要求展开工作,监管的制度开始逐渐建立,要求内部维护人员学习安全知识。

运营时代:安全运营逐渐体系化,攻防演练频繁举行,运营者开始寻求安全体系的建设,以谋求更便捷、安全的运营平台。

1646881804_62296c0cbc917a4f4e6ce.png!small?1646881804720

最后, 王涛认为,建设稳健的数据安全体系,需要持续加强合规建设,在安全需求方面努力做到安全技术、运营管理一手抓的。如果企业内部管理方向出现了问题,数据安全建设就会出现偏差。数据安全整体的安全体系建设,要求不同运营部门之间相互结合,管理者要从全行业的角度来看,制定大的安全战略。

后互联网时代的数据安全那些事儿

杨焱  360政企安全集团数据安全专家

中国、日本、加拿大、俄罗斯、新加坡、美国、韩国等政府机构相继颁布法律,为本国公民的数据安全保护建立了法理基础。1646881868_62296c4cf1cb5f628fb75.png!small?1646881868766

《个人信息保护法》不仅仅是一个脆弱“花瓶”。杨焱演讲中提到,一些企业因为违法个人信息保护法收到了巨额罚单,其中典型代表亚马逊,在2021年7月因违反欧盟通用数据保护条例面临7.46亿欧元处罚,除此之外,亚马逊还因对个人数据的处理不符合欧盟通用数据保护条例(GDPR),面临7.46 亿欧元(约 57.29 亿元人民币, 8.88 亿美元)的处罚

国内数据安全法律法规经历了漫长的时间跨度。从八十年代左右启蒙宣传,经历十年后逐渐步入正轨,经过不断修订完善,最终形成了相对完善的数据安全法律体系。

针对《数据安全法》,杨焱逐渐细分,针对不同层级,整理对应的处罚程度。主要分级有责令关联人改正并给予警告;视影响情况责令终止相关业务、停业整顿、吊销营业执照、触及犯罪的,将依法追究刑事责任;约谈有关组织、个人,并要求尽快采取措施进行整;最后,当造成的影响严重时,会针对企业、个人进行罚款。针对侵害个人信息的网络行为,杨焱女士整理了以下处罚措施。

1646882026_62296cea5098cc1eaa91d.png!small?1646882026422

如何才能进行数据保护?杨焱指出一要管,二要控!

企业方面,迫切需要制定合理的安全管理策略,在安全访问控制、资产管理、风险评估等方面加强建设,至于安全控制措施方面,采用实时监控、多因素验证、ACL访问控制等,确保企业数据安全的到有力保障。

个人方面,账户设置复杂的密码;应对钓鱼软件时,保持谨慎;遭受勒索软件攻击时,一定要立刻隔离,若没有及时处理,切记不要备份,以免破坏其他服务器。

日志管理在网络安全领域的实践

Troy Cui  亚马逊云科技大中华区产品部数据分析专家

谈到等保话题时,日志至关重要。行业对数据获取、传输、处理和使用、以及隐私数据的删除,做了具体要求。1646882073_62296d199b335b9b65c20.png!small?1646882073360

线上直播过程中,Troy Cui 指出,日志问题涉及最多的还是等保,等保三级对于日记审计要求主要是以下几个方面:

1. 要求建立安全管理制度包括日志管理制度;

2. 记录计算,网络,应用这类在等保范围内资源的运维操作日志;

3. 针对基础架构和应用的用户行为进行日志记录,执行日志备份;

4. 制定专门的部门或人员对日志,监控,报警事件进行分析,统计,及时发现可疑行为;

5. 确保日志不可修改。

现阶段,关于日志建设存在巨大挑战。Troy Cui提出,客户需要面临海量的分析(日志到数据收集除了来自服务器,还有可以部分延展到物联网,车联网等,这是一个海量的数据信息,可能到TB级别)。

另外,数据分散也是客户不得不解决的问题,日志来源过于分散,网络来源于不同的业务系统、技术组件、甚至容器组件、甚至还有应用日志,处理这些海量的数据,需要更多的人力资源。除此之外,日志格式也有差别,对日志管理人员的技术能力要求不断提高。

人防+技防”安全体系,强化安全和隐私管理

叶兵 平安信托信息安全团队负责人

全球安全行业形式严峻,黑灰色产业蔓延、网络安全事件频发,国际网络安全危机和数据资产竞争逐渐进入白热化,千亿级网络黑产严重威胁金融安全,个人信息泄露是国内安全事件频发的重要原因。

1646882152_62296d68b8ff77db4b7dd.png!small?1646882152897

面对目前的网络安全现状,叶兵认为金融行业应该构建“技防+人防”生态体系,外防网络威胁攻击,内防隐私数据违规外泄。随着生态体系的建设,期待企业严控风险、强化合规,内部管理体系不断加强,采取智能运营,技术平台不断提高,部门之间、企业之间,加固系统,优化体系逐渐形成了联动机制。

另外,叶兵指出,企业管控要处理到位,将安全运营和业绩管沟,充分培养内部员工的安全意识,健全防御体系,争取做到,事中报备,事后审计,增加经验,持续优化。

直播中,“打造数据资产管理平台,建立数据字典和数据集市,统一数据标准”观点引起了热烈讨论。叶兵提出,打造一个软件开发支持平台,从系统规划,需求分析,架构设计,编码开发,安全测试,运维保障,持续检测等层次不断完善。

关于数据安全的思考

众所周知,数据是企业的隐形资产,是决定企业能否平稳运行的关键所在,一旦遭受黑客攻击,往往会对企业造成恶劣影响。为了更好保护数据信息,企业应该采取一系列安全防护措施,不断提高其数据安全防护能力,及时进行数据备份和加密,努力构建数据安全防护长城。

除了必要的安全技术保护,企业内部的安全管理和行业联动同样是数据安全保护的重中之重。企业应当不定时对员工进行安全培训,培养员工安全防护意识,打造内部的数据安全围墙。行业内应该做好信息共享、技术共享、体系共享,在同一套系统架构下,共同守护数据安全。


文章来源: https://www.freebuf.com/fevents/324303.html
如有侵权请联系:admin#unsafe.sh