大家好,我是热爱安全的老赵。平时喜欢琢磨,不将就,典型的理科男。
我一直特别喜欢安全这个领域,前些年,利用业余时间使用反汇编、 反java做过一些桌面软件的破解, 其实更主要的目的是从这过程中来反思作为一个Software Developer,我们该怎样更好的保护咱们的软件? 直到2017年, 才开始全职的从事安全岗位,其实也算是个嘎嘎新的“老new comer”。 我喜欢和大伙分享自己的学习和心得,也特别期待能和同样热爱安全的朋友们一块交流。
这次的话题是“浅谈数据安全和隐私保护”。这是一个看似离我们很远,但又时刻发生在大伙身边的问题。每一年都有各种数据泄漏的大事件。其中包括一些互联网巨头, 涉及到百万,千万级的数据。
这篇文章,主要目的给大家介绍在2018数据安全和隐私大会上的学习心得。 从各个维度简单介绍当前业内一致认可的整体方案和思路。 一来是给大伙参考,二来如果谁对这个话题感兴趣,也欢迎咱们一块讨论、交流。
和大多数人一样,我也曾经遇到过诈骗电话,至今仍然记得当时从疑惑 -> 紧张 -> 心跳加剧 -> 差一点上当 -> 刹那间幡然醒悟 的难忘经历。 也和咱们大多数一样,事情就这样过去了,好像它从来没发生过。直到和小伙伴们一块参加了“2018第三届数据安全和隐私保护大会”,才对数据安全和隐私有了更深入的认识。
现如今地球人都面临着数据安全的挑战,如果宇宙中真的有外星人,我相信他们也会为数据安全和隐私保护而头疼吧。一句话,从个人到企业,数据安全和隐私保护都是非常非常Big,而且正在越来越Big的挑战,下面是引用“2018第三届数据安全和隐私保护大会”公开的数据图表:
图1-全球企业数据安全问题报告
图2-国内数据安全威胁报告
这些问题,远不是个人和几个企业所能解决的,我们需要全社会的努力和参与,这是一场持久的“战争”,那么怎么才是最有效的解决办法呢?答案只有一个 – – 使用安全工程的方法,系统的建立从上至下的解决方案。
图3-数据生命周期
图4-自上而下的全面数据保护体系
建立治理机制,明确定义角色和职责,以有效地管理和维护数据安全方案。
根据全面的数据安全风险评估所发现的差距,加强所有支持性IT流程。
采用涵盖全部三个领域(人员、流程、技术)的技术解决方案,以有效的监控、防止、和响应所有潜在的数据泄漏。
阶段 | 技术 | 举例 |
---|---|---|
数据采集 | ● 数据分类分级 ● 数据源认证 |
差分隐私,本地差分隐私,数据供应链管理,数据血缘管理,数据质量监控,数字水印,数据鉴伪 |
数据传输 | ● 加密技术 ● 脱敏技术 |
|
数据存储 | ● 加密技术 ● 密钥管理 ● 备份/恢复 |
|
数据处理 | ● 加密技术 ● 脱敏技术 |
隔离计算,同态加密,密文检索,安全多方计算 |
数据交换 | ● 数据接口安全 ● 数据交换监控 |
数据资产管理,元数据管理,监控/审计,数据安全门户,权限管理 |
数据销毁 | ● 数据清除 ● 介质销毁 |
当采取了相关的数据安全和隐私保护方案,如何评估安全保护效果和能力呢? 《数据安全能力成熟度模型(DSMM)》正是为了解决这个问题而制定的。 它定义了企业数据安全能力评估的国家标准。同时,颁布了与之配套的《数据安全实施指南》为企业实施数据安全和隐私保护提供了可操作的实施方法参考。
图5 – 数据安全能力成熟度评估
从全球来看,世界各国都充分的认识到数据安全和隐私保护的重要性。现如今,大多数国家和地区已经颁布和实施了隐私保护法规。目前最严格的法律就要当属欧盟的GDPR了,大家一定要细心学习一下。下图列出了当前各国和地区的隐私保护法规:
图6-全球个人信息保护法律法规环境
对个人来说,最重要的是提高自己的安全意识。 如果有条件,建议多参加一些相关的安全意识培训和讲座,这样就可以显著减少安全事件发生的可能性。
例如:及时更新电脑补丁,及时更新防火墙和反病毒软件的病毒库,避免访问不受信任的网站,知晓如何防范钓鱼,诱骗和社会工程等等。
另一方面,大伙也要遵守计算机和互联网使用的道德规范,你知道吗?怀有下列目的的任何行为都是不可接受和不道德的:
试图获得未经授权访问Internet 资源的权利
破坏Internet的正常使用
通过这些行为耗费资源(人、容量、计算机)
破坏以计算机为基础的信息的完整性
危害用户的隐私权
有一句话,大家一定熟知的: “道高一尺,魔高一丈”,但我们从未听说:“魔高一尺,道高一丈”的说法,这也许就是为什么我们确实没有办法完全避免数据安全威胁和隐私泄露的原因吧!但是,绝不要灰心,因为有无数的安全工作者一直在为此努力着,相信我们的数据和隐私环境也一定会越来越安全!
/1/ 2018第三届数据安全和隐私保护大会会议材料
/2/ 数据安全能力成熟度模型(DSMM)送审稿
*本文原创作者:xiaoguazh,未经许可禁止转载