公務(wù)員期刊網(wǎng) 論文中心 正文

數(shù)字經(jīng)濟(jì)企業(yè)數(shù)據(jù)安全防護(hù)開展思考

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)字經(jīng)濟(jì)企業(yè)數(shù)據(jù)安全防護(hù)開展思考范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

數(shù)字經(jīng)濟(jì)企業(yè)數(shù)據(jù)安全防護(hù)開展思考

摘要:隨著新一輪科技革命和產(chǎn)業(yè)變革的蓬勃興起,數(shù)據(jù)已成為繼土地、勞動(dòng)力、資本、技術(shù)之后最為活躍的關(guān)鍵生產(chǎn)要素,對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步、民生改善和國(guó)家治理產(chǎn)生了深刻地影響。本文主要總結(jié)了數(shù)字經(jīng)濟(jì)時(shí)代下企業(yè)數(shù)據(jù)安全防護(hù)方面的新挑戰(zhàn)和新要求,討論了數(shù)據(jù)安全防護(hù)的體系構(gòu)成,提出了在技術(shù)手段和管理措施方面的相關(guān)建議。

關(guān)鍵詞:數(shù)據(jù)管理數(shù)據(jù)安全技術(shù)手段

1數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)數(shù)據(jù)安全面臨多重挑戰(zhàn)

當(dāng)前,云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、人工智能等技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新不斷賦能經(jīng)濟(jì)社會(huì)各領(lǐng)域,新產(chǎn)品、新業(yè)態(tài)、新模式不斷涌現(xiàn),數(shù)字經(jīng)濟(jì)的內(nèi)涵和外延不斷豐富。數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí),也帶動(dòng)了數(shù)據(jù)的產(chǎn)生、流通和應(yīng)用更加普遍和密集,使企業(yè)數(shù)據(jù)安全防護(hù)面臨新的挑戰(zhàn)。

1.1新設(shè)施帶來(lái)的安全挑戰(zhàn)

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是國(guó)家、企業(yè)和個(gè)人核心數(shù)據(jù)的載體,是數(shù)據(jù)安全保護(hù)的重要基礎(chǔ)性環(huán)節(jié)。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施的傳統(tǒng)界定范疇來(lái)看,主要包括存儲(chǔ)設(shè)備、運(yùn)算設(shè)備和其他基礎(chǔ)軟件等。然而,隨著新技術(shù)新業(yè)務(wù)的發(fā)展與創(chuàng)新,數(shù)據(jù)基礎(chǔ)設(shè)施的范疇不斷擴(kuò)展,數(shù)據(jù)中心(IDC)和移動(dòng)終端等集成了存儲(chǔ)、運(yùn)算以及基礎(chǔ)軟件的功能,成為日益重要的數(shù)據(jù)基礎(chǔ)設(shè)施,也開始面臨越來(lái)越多的挑戰(zhàn)。一方面,攻擊者更多的將注意力集中到存儲(chǔ)海量數(shù)據(jù)的云計(jì)算數(shù)據(jù)中心,其遭遇DDoS攻擊的占比達(dá)到70%。另一方面,信息泄露事件頻發(fā),數(shù)據(jù)泄露和丟失已成為數(shù)據(jù)中心面臨的巨大安全風(fēng)險(xiǎn)。根據(jù)RiskBasedSecurity公布的數(shù)據(jù),2019年已經(jīng)發(fā)現(xiàn)超過(guò)3800多起數(shù)據(jù)泄露事件攻擊了企業(yè)或者機(jī)構(gòu),并且在過(guò)去的四年里增加了超過(guò)50%。

1.2新技術(shù)帶來(lái)的安全挑戰(zhàn)

分布式計(jì)算存儲(chǔ)、數(shù)據(jù)深度挖掘及數(shù)據(jù)管理可視化等新技術(shù)能夠大大提升數(shù)據(jù)資源的規(guī)模存儲(chǔ)和處理能力,但也給企業(yè)數(shù)據(jù)的防護(hù)帶來(lái)了新的挑戰(zhàn),云計(jì)算和多業(yè)務(wù)融合是其中顯著的代表。首先,云計(jì)算的主要特點(diǎn)是采用了分布式的存儲(chǔ)和計(jì)算,該方式能夠有效防止個(gè)人數(shù)據(jù)在本地出現(xiàn)大規(guī)模泄露,但目前黑客已經(jīng)可通過(guò)分析信息分片的方式,對(duì)被分割的原始數(shù)據(jù)進(jìn)行復(fù)原。其次,隨著多項(xiàng)信息通信技術(shù)的融合,新型業(yè)務(wù)的復(fù)雜度進(jìn)一步提高,也帶來(lái)了更加復(fù)雜的應(yīng)用安全風(fēng)險(xiǎn),使得原有的安全防護(hù)技術(shù)和體系難以應(yīng)對(duì)。對(duì)于單一的技術(shù)而言,通常已經(jīng)形成了比較完善的安全解決方案,而隨著多項(xiàng)技術(shù)的交叉融合,針對(duì)單一技術(shù)的解決方案可能不再有效。例如,英特爾處理器在2018年5月初,又被曝出發(fā)現(xiàn)8個(gè)新的“幽靈式”硬件漏洞,攻擊者可以竊取運(yùn)行在同一個(gè)物理內(nèi)核的另外一個(gè)進(jìn)程的隱私數(shù)據(jù),顯示出云主機(jī)系統(tǒng)與虛擬機(jī)之間的兼容問(wèn)題。

1.3新應(yīng)用帶來(lái)的安全挑戰(zhàn)

數(shù)字經(jīng)濟(jì)時(shí)代的新應(yīng)用主要體現(xiàn)在信息通信技術(shù)與交通、金融、醫(yī)療等領(lǐng)域融合所產(chǎn)生的新的互聯(lián)網(wǎng)應(yīng)用、平臺(tái)和場(chǎng)景,如自動(dòng)駕駛、網(wǎng)絡(luò)約租車、智能投顧等。計(jì)算機(jī)信息技術(shù)對(duì)大數(shù)據(jù)的收集、儲(chǔ)存、歸類、處理及分享創(chuàng)造了更加方便和靈活的方式,許多企業(yè)決策、問(wèn)題分析、模型構(gòu)建等問(wèn)題都要借助大數(shù)據(jù)分析來(lái)實(shí)現(xiàn),大數(shù)據(jù)在各個(gè)領(lǐng)域的廣泛應(yīng)用,不僅有助于提升各個(gè)領(lǐng)域的工作效率,同時(shí)也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)和管理帶來(lái)挑戰(zhàn)。首先,垂直行業(yè)線下管理機(jī)制自成體系,不同部門各司其職,在互聯(lián)網(wǎng)引入后,部門間的監(jiān)管職責(zé)邊界較為模糊,已有線下管理職責(zé)發(fā)生交叉,目前尚未形成廣泛認(rèn)可的監(jiān)管體制框架,給新業(yè)務(wù)的安全管理帶來(lái)挑戰(zhàn),網(wǎng)約車平臺(tái)監(jiān)管就是明顯的例子。其次,數(shù)字化生活、智慧城市、工業(yè)大數(shù)據(jù)等新技術(shù)、新業(yè)務(wù)、新領(lǐng)域創(chuàng)造出紛繁多樣的數(shù)據(jù)應(yīng)用場(chǎng)景,使得數(shù)據(jù)安全保護(hù)具體情境更為復(fù)雜。最后,企業(yè)隱私保護(hù)的安全責(zé)任更加突出,近年來(lái)各類隱私泄露事件層出不窮。據(jù)英國(guó)科技研究機(jī)構(gòu)報(bào)道,F(xiàn)acebook公司于2019年12月再次出現(xiàn)數(shù)據(jù)泄露問(wèn)題,超過(guò)2.67億用戶數(shù)據(jù)被泄露,任何人都可以直接訪問(wèn)該數(shù)據(jù)庫(kù)。這反映出了互聯(lián)網(wǎng)平臺(tái)企業(yè)在確保數(shù)據(jù)多渠道流通的同時(shí),需要更加注重保證數(shù)據(jù)的機(jī)密性、完整性和可用性。

1.4企業(yè)自身安全防護(hù)基礎(chǔ)和意識(shí)不足

數(shù)字經(jīng)濟(jì)時(shí)代,雖然企業(yè)不斷完善信息化相關(guān)手段和舉措,但在利用新技術(shù)進(jìn)行數(shù)據(jù)安全防護(hù)方面仍然比較被動(dòng)。在基礎(chǔ)安全防護(hù)方面,我國(guó)在芯片、系統(tǒng)中央處理器(CPU)、核心元器件等硬件方面仍然主要依靠進(jìn)口,且尚未形成安全自主可控的軟件系統(tǒng)生態(tài),企業(yè)信息化建設(shè)在底部就面臨安全威脅。在安全意識(shí)方面,企業(yè)重技術(shù)、重業(yè)務(wù)、輕安全的思想還普遍存在,過(guò)度重視信息化設(shè)備和技術(shù),對(duì)于數(shù)據(jù)安全防護(hù)緊迫性的認(rèn)識(shí)不夠,影響了相關(guān)投入。根據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì),在企業(yè)信息化建設(shè)工作中,有超過(guò)50%的企業(yè)依然未設(shè)置防火墻,45.4%的企業(yè)未設(shè)置安全審計(jì)系統(tǒng),超過(guò)60%的企業(yè)沒(méi)有設(shè)置網(wǎng)絡(luò)入侵監(jiān)視系統(tǒng)。

2數(shù)字經(jīng)濟(jì)時(shí)代完善企業(yè)數(shù)據(jù)防護(hù)體系的總體思路

2.1明確企業(yè)層面的防護(hù)目標(biāo)

對(duì)企業(yè)而言,最為關(guān)鍵的防護(hù)目標(biāo)是平衡好國(guó)家安全、企業(yè)商業(yè)秘密、業(yè)務(wù)正常運(yùn)行和客戶合法利益這四方面。一是應(yīng)滿足國(guó)家相關(guān)法律法規(guī)對(duì)于個(gè)人信息保護(hù)、重要數(shù)據(jù)安全等方面的制度性要求,履行企業(yè)自身的合規(guī)義務(wù)。二是還應(yīng)確保企業(yè)自身數(shù)據(jù)和用戶數(shù)據(jù)的安全性、機(jī)密性、完整性、可用性。

2.2構(gòu)建以數(shù)據(jù)為中心的安全防護(hù)體系

數(shù)據(jù)安全防護(hù)建設(shè)需要以“數(shù)據(jù)為中心”。具體而言,需要進(jìn)一步明細(xì)數(shù)據(jù)來(lái)源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)生命周期、數(shù)據(jù)應(yīng)用場(chǎng)景?;诖?,構(gòu)建起由數(shù)據(jù)安全制度規(guī)程、管理機(jī)制、技術(shù)手段組成的全面覆蓋的數(shù)據(jù)安全防護(hù)體系,形成閉環(huán)管理鏈條。(1)數(shù)據(jù)安全制度是企業(yè)數(shù)據(jù)安全實(shí)踐的指導(dǎo)。黨的十八屆四中全會(huì)提出有關(guān)全面推進(jìn)依法治國(guó)的重要論斷,要求堅(jiān)持法治國(guó)家、法治政府、法治社會(huì)一體建設(shè),實(shí)現(xiàn)科學(xué)立法、嚴(yán)格執(zhí)法、公正司法、全民守法,促進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化。因此,企業(yè)數(shù)據(jù)安全制度和規(guī)程應(yīng)建立在國(guó)家整體對(duì)于企業(yè)商業(yè)秘密、國(guó)家重要數(shù)據(jù)、個(gè)人隱私保護(hù)制度的基礎(chǔ)之上,進(jìn)一步根據(jù)企業(yè)自身業(yè)務(wù)流程,明確具體場(chǎng)景下的數(shù)據(jù)收集、處理、存儲(chǔ)、使用、轉(zhuǎn)移的規(guī)則和責(zé)任主體。(2)數(shù)據(jù)安全管理統(tǒng)籌是落實(shí)企業(yè)數(shù)據(jù)安全實(shí)踐的關(guān)鍵。隨著企業(yè)IT系統(tǒng)和環(huán)境的不斷完善,運(yùn)維服務(wù)、系統(tǒng)集成、數(shù)據(jù)存儲(chǔ)的規(guī)模不斷擴(kuò)大,信息和數(shù)據(jù)安全對(duì)于企業(yè)而言愈發(fā)重要。在這種態(tài)勢(shì)下,企業(yè)應(yīng)著眼全局、把握細(xì)節(jié),成立專門的數(shù)據(jù)安全管理機(jī)制,自上而下建立起相應(yīng)的組織架構(gòu),確保企業(yè)數(shù)據(jù)安全的全生命周期管理的戰(zhàn)略、制度能夠有效實(shí)施。(3)數(shù)據(jù)安全技術(shù)手段是企業(yè)彌補(bǔ)數(shù)據(jù)制度不足的重要保障。技術(shù)的變化永遠(yuǎn)超前于制度的構(gòu)建,新的信息技術(shù)不僅會(huì)帶來(lái)新的安全風(fēng)險(xiǎn),也是數(shù)據(jù)安全管理的重要輔助手段,為落實(shí)企業(yè)數(shù)據(jù)安全管理制度的總體目標(biāo)提供技術(shù)支持。例如,云端技術(shù)將定義新的網(wǎng)絡(luò)安全導(dǎo)向,近年來(lái)廠商積極研發(fā)新技術(shù),未來(lái)將有更多企業(yè)和用戶選擇虛擬機(jī)間安全問(wèn)題的解決方案;可視化工具能夠有效洞察每臺(tái)虛擬機(jī)的獨(dú)立行動(dòng)和互動(dòng),采用流量監(jiān)控、應(yīng)用識(shí)別及用戶識(shí)別等技術(shù),幫助用戶鑒別是否存在攻擊和非正常行為。

3企業(yè)開展數(shù)據(jù)安全防護(hù)實(shí)踐的措施建議

數(shù)字經(jīng)濟(jì)時(shí)代,企業(yè)應(yīng)進(jìn)一步加強(qiáng)技術(shù)研發(fā),同步完善各項(xiàng)管理措施,實(shí)現(xiàn)“技管”與“人管”的有機(jī)結(jié)合,實(shí)現(xiàn)企業(yè)數(shù)據(jù)安全管理的目標(biāo)。

3.1技術(shù)防護(hù)措施建議

企業(yè)應(yīng)按照數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、共享、銷毀這一全生命周期加強(qiáng)數(shù)據(jù)安全的技術(shù)防護(hù)。(1)在數(shù)據(jù)的收集環(huán)節(jié),企業(yè)重點(diǎn)工作為對(duì)于數(shù)據(jù)進(jìn)行分類、對(duì)于數(shù)據(jù)類型和安全等級(jí)進(jìn)行達(dá)標(biāo)。同時(shí),企業(yè)還應(yīng)將相應(yīng)功能內(nèi)嵌入運(yùn)維管理系統(tǒng),保證各類數(shù)據(jù)安全制度有效地落地實(shí)施。(2)在數(shù)據(jù)的存儲(chǔ)環(huán)節(jié),企業(yè)可以采取數(shù)據(jù)加密、硬盤加密等多種技術(shù)方式保障數(shù)據(jù)物理存儲(chǔ)的安全性。對(duì)于企業(yè)在云端數(shù)據(jù)的安全,則應(yīng)按照數(shù)據(jù)中心或云計(jì)算安全評(píng)估技術(shù)標(biāo)準(zhǔn)要求,嚴(yán)格根據(jù)數(shù)據(jù)類型進(jìn)行對(duì)應(yīng)的技術(shù)手段。(3)在數(shù)據(jù)的傳輸環(huán)節(jié),企業(yè)重點(diǎn)工作包括采用加密或匿名化等手段對(duì)于數(shù)據(jù)進(jìn)行處理。一方面,應(yīng)通過(guò)非對(duì)稱加密算法等不同技術(shù)手段對(duì)于數(shù)據(jù)傳輸鏈路或直接對(duì)于數(shù)據(jù)進(jìn)行加密。另一方面,由于個(gè)人信息的收集、傳輸、處理標(biāo)準(zhǔn)較高,數(shù)據(jù)泄露風(fēng)險(xiǎn)日益嚴(yán)峻,企業(yè)還可通過(guò)算法等技術(shù)手段對(duì)于個(gè)人信息進(jìn)行匿名化處理,再將相關(guān)數(shù)據(jù)用于流通領(lǐng)域。(4)在數(shù)據(jù)的使用環(huán)節(jié),企業(yè)既可以沿用配置防火墻、數(shù)據(jù)加密等傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施,也可以采用數(shù)據(jù)安全域、數(shù)據(jù)日志管理和審計(jì)等、數(shù)據(jù)流量異常監(jiān)控等新的數(shù)據(jù)安全技術(shù)措施。(5)在數(shù)據(jù)共享環(huán)節(jié),企業(yè)可加強(qiáng)對(duì)于共享第三方主體的背景審查,并且將共享和披露數(shù)據(jù)的具體場(chǎng)景與具體的數(shù)據(jù)安全域技術(shù)進(jìn)行結(jié)合。此外,還可以構(gòu)建統(tǒng)一的數(shù)據(jù)共享平臺(tái),采用許可或授權(quán)的方式對(duì)數(shù)據(jù)離開平臺(tái)進(jìn)行管理。(6)在數(shù)據(jù)的銷毀環(huán)節(jié),企業(yè)需要采用硬件或軟件方式,實(shí)現(xiàn)磁盤中數(shù)據(jù)的永久刪除和不可恢復(fù),包括硬盤粉碎機(jī)、硬盤折彎?rùn)C(jī)等硬件處理方式,以及多次填充垃圾信息等軟件數(shù)據(jù)處理方式。

3.2管理制度措施建議

企業(yè)在管理制度方面可以采取的措施包括明確管理制度規(guī)程、完善安全管理架構(gòu)、構(gòu)建數(shù)據(jù)安全責(zé)任體系等。(1)在明確管理制度和規(guī)程方面,企業(yè)應(yīng)根據(jù)國(guó)家相關(guān)法律法規(guī)要求,進(jìn)一步通過(guò)企業(yè)自身制度明確數(shù)據(jù)分級(jí)分類的標(biāo)準(zhǔn),同時(shí)在企業(yè)層面形成數(shù)據(jù)安全管理的總體要求,將其內(nèi)化為不同部門的工作任務(wù)。此外,還應(yīng)進(jìn)一步明確數(shù)據(jù)全生命周期管理的實(shí)施細(xì)則,進(jìn)一步加強(qiáng)與第三方合作/共享數(shù)據(jù)的安全管理分工,與國(guó)家關(guān)鍵數(shù)據(jù)或個(gè)人信息的管理制度做好銜接。(2)在數(shù)據(jù)安全管理架構(gòu)設(shè)置方面,企業(yè)應(yīng)建立從領(lǐng)導(dǎo)班子到業(yè)務(wù)主辦人員的數(shù)據(jù)安全管理組織架構(gòu)。為了更加有效地執(zhí)行企業(yè)數(shù)據(jù)安全管理制度,還可在涉及較大數(shù)據(jù)量的業(yè)務(wù)部門設(shè)置專職或兼職的安全管理崗位,做好與企業(yè)數(shù)據(jù)安全管理統(tǒng)籌部門的溝通和銜接,落實(shí)企業(yè)安全管理制度要求。(3)在構(gòu)建數(shù)據(jù)安全責(zé)任體系方面,企業(yè)應(yīng)增強(qiáng)法律意識(shí)和合規(guī)意識(shí),加強(qiáng)對(duì)于涉及數(shù)據(jù)處理的合同審查,明確相關(guān)責(zé)任人及獎(jiǎng)懲制度。此外,企業(yè)還應(yīng)進(jìn)一步提升所有員工的數(shù)據(jù)安全意識(shí),建立相應(yīng)的數(shù)據(jù)安全教育培訓(xùn)機(jī)制,組織安全意識(shí)教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)。

參考文獻(xiàn)

[1]王融.大數(shù)據(jù)時(shí)代:數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則[M].北京:人民郵電出版社,2017.

[2]馬義.大數(shù)據(jù)時(shí)代背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)研討[J].電腦知識(shí)與技術(shù),2017(25).

[3]朱輝,袁亮,孫琴.大數(shù)據(jù)時(shí)代企業(yè)信息安全管理體系分析[J].信息與電腦(理論版),2019(22).

作者:趙楨 單位:中國(guó)公路工程咨詢集團(tuán)有限公司