關(guān)鍵詞：數(shù)據(jù)安全與數(shù)據(jù)治理

RSAC創(chuàng)新沙盒大賽可謂網(wǎng)絡(luò)安全行業(yè)創(chuàng)新風(fēng)向標(biāo)，2021年RSAC創(chuàng)新沙盒大賽十強(qiáng)名單出爐，其中多家入圍企業(yè)所屬領(lǐng)域皆為數(shù)據(jù)安全。如今數(shù)據(jù)泄露事件頻發(fā)，企業(yè)則越來(lái)越注重?cái)?shù)據(jù)安全的防護(hù)與治理。本期話題圍繞這個(gè)主題，可參考但不限于以下三個(gè)維度開展討論：

?

討論1：和過(guò)去相比，你認(rèn)為如今企業(yè)發(fā)生數(shù)據(jù)泄露安全事件的主要原因有哪些？

1、泄露是一直都泄露的，只是大家現(xiàn)在更關(guān)注，而且商業(yè)競(jìng)爭(zhēng)和主權(quán)攻擊越來(lái)越頻繁。 2、我們不知道怎么發(fā)現(xiàn)，但保密宣傳片會(huì)告訴我們偷數(shù)據(jù)是啥下場(chǎng)。能判的，主要是個(gè)人信息，以及被認(rèn)可的涉密信息，大部分商業(yè)公司的保密信息，實(shí)際上是不被法院認(rèn)可的。 3、裁判文書網(wǎng)近些年已判決數(shù)據(jù)泄密案件。

4、我們有監(jiān)守自盜的，前兩年兩個(gè)人倒賣數(shù)據(jù)，已經(jīng)被判了。 5、主要原因我覺得還是內(nèi)部人員的問(wèn)題，黑產(chǎn)發(fā)展太快，自身安全建設(shè)沒有跟上，特別是安全意識(shí)這塊現(xiàn)在在絕大部分企業(yè)都是非常落后的，面對(duì)黑產(chǎn)的誘惑，很多人有意無(wú)意的泄露了數(shù)據(jù)，另外中小企業(yè)還有一部分可能確實(shí)是技術(shù)問(wèn)題。 6、根據(jù)近10年的法院裁判文書來(lái)看，發(fā)現(xiàn)數(shù)據(jù)泄露的主要風(fēng)險(xiǎn)來(lái)自內(nèi)部人員，牟利是主要?jiǎng)訖C(jī)，內(nèi)部人員占數(shù)據(jù)泄露角色的8成，其中2/3是在職人員，1/3是離職人員。從幾次物流行業(yè)數(shù)據(jù)泄露來(lái)看，如果內(nèi)外勾結(jié)數(shù)據(jù)泄露風(fēng)險(xiǎn)更大。主要?jiǎng)訖C(jī)是為了牟利，占將近6成，其他原因包括不正當(dāng)競(jìng)爭(zhēng)、公開/成名、誤操作、增加求職砝碼和報(bào)復(fù)原公司。 7、數(shù)據(jù)泄露主要有兩個(gè)方面的原因：1.持有數(shù)據(jù)的人員意識(shí)。2. 信息系統(tǒng)自身的脆弱性。從第一方面來(lái)看，大部分員工對(duì)數(shù)據(jù)的保密意識(shí)很低，而且，很多數(shù)據(jù)（信息）僅僅是一兩句話就能夠讓有心人推斷出足夠多的信息量，再加上從不同渠道獲取的數(shù)據(jù)片段進(jìn)行拼湊，對(duì)于企業(yè)來(lái)說(shuō)，管理的難度極大。于企業(yè)來(lái)說(shuō)，管理的難度極大。從第二個(gè)方面來(lái)看，“沒有絕對(duì)安全的信息系統(tǒng)”，這算是行業(yè)的一個(gè)共識(shí)了，因此，未知的信息系統(tǒng)脆弱性，也是企業(yè)面臨的風(fēng)險(xiǎn)。 8、主要是員工安全意識(shí)不足，管理流于形式；技術(shù)大跨步太多，基礎(chǔ)安全都沒有做好做足，沒有對(duì)應(yīng)的人力、系統(tǒng)支撐。以上兩方面做足功課以后，在考慮數(shù)據(jù)安全相關(guān)的短板進(jìn)行彌補(bǔ)。

?

延伸討論：

@樓主：安全要從CMDB拉數(shù)據(jù)，CMDB應(yīng)用大家有什么心得

1、說(shuō)起CMDB一肚子火，CMDB全是坑。搞資產(chǎn)說(shuō)起來(lái)人人懂，搞起來(lái)一堆事，運(yùn)維還不配合。 2、你們還有CMDB，很多公司都沒有這個(gè)。 3、除了找運(yùn)維，我是Arp -a，順著核心交換機(jī)，一個(gè)一個(gè)查的來(lái)找自己公司資產(chǎn)的，邊查邊掃描，查出來(lái)找到責(zé)任人，物理位置，登記。 4、運(yùn)維天天和我說(shuō)在做在做，結(jié)果新上線的資產(chǎn)被打穿了。 5、漏掃找資產(chǎn)比運(yùn)維還準(zhǔn)。 6、互聯(lián)網(wǎng)資產(chǎn)我就用ARL了。

?

討論2：報(bào)告顯示，Facebook高居“數(shù)據(jù)丟失恥辱榜”榜首，其他企業(yè)如萬(wàn)豪、摩根等也榜上有名。和中小型規(guī)模的企業(yè)相比，大企業(yè)是否更遭黑客”青睞”？

1、之所以覺得大企業(yè)更遭青睞，可能只是大企業(yè)發(fā)現(xiàn)的多而已。 2、大部分商業(yè)公司的保密信息，實(shí)際上是不被法院認(rèn)可的，很多時(shí)候是因?yàn)闆]法去做司法鑒定，某個(gè)東西是公司機(jī)密代碼，你要去鑒定價(jià)值的話，你要找同行或者公開拿出去估算價(jià)值。 3、理論上是的，但要看“數(shù)據(jù)”的價(jià)值。有些小企業(yè)的“數(shù)據(jù)價(jià)值”不比大企業(yè)差。 4、兩方面，（1）在價(jià)值上來(lái)看，肯定大企業(yè)更招黑客青睞，一個(gè)是大企業(yè)的影響力，另一個(gè)是數(shù)據(jù)價(jià)值更大。但是大企業(yè)的安全建設(shè)還是要走得快些，不容易直接攻擊獲取數(shù)據(jù)，一般大企業(yè)的數(shù)據(jù)泄露都是員工無(wú)意泄露了關(guān)鍵信息，比如技術(shù)人員泄露源碼、配置文件等。（2）從數(shù)據(jù)泄露的數(shù)據(jù)類型來(lái)看啊，To C的用戶數(shù)據(jù)、客戶數(shù)據(jù)、源代碼、商業(yè)機(jī)密和政企涉密文件占據(jù)主流，大企業(yè)比小企業(yè)擁有更多客戶信息資源和商業(yè)秘密，更容易受到數(shù)據(jù)泄露威脅啊。 5、數(shù)據(jù)泄露于企業(yè)規(guī)模無(wú)關(guān)，說(shuō)來(lái)說(shuō)去，無(wú)非就是“利益”二字。3個(gè)方向都涉及利益：（1）黑產(chǎn)對(duì)數(shù)據(jù)的倒買倒賣；（2）競(jìng)爭(zhēng)對(duì)手對(duì)企業(yè)的打擊（例如對(duì)品牌形象，營(yíng)銷方案，股票市場(chǎng)，上下游合作等造形成負(fù)面影響和損失）；（3）企業(yè)持有數(shù)據(jù)對(duì)自身的價(jià)值（例如行業(yè)客戶數(shù)據(jù)對(duì)市場(chǎng)營(yíng)銷的價(jià)值，To C客戶數(shù)據(jù)對(duì)用戶畫像和廣告投放的價(jià)值）。

?

討論3：如今業(yè)界很多關(guān)于數(shù)據(jù)安全的建設(shè)方法，大多以數(shù)據(jù)安全生命周期為核心，但對(duì)于中小企業(yè)而言，如果完全按照這種方式來(lái)建設(shè)，團(tuán)隊(duì)規(guī)模有限，安全需求很多，資源是否會(huì)沖突？業(yè)務(wù)是否會(huì)買單？

1、我們的口號(hào)是：建設(shè)面向“匯聚、傳輸、存儲(chǔ)、訪問(wèn)、共享與銷毀”全流程的數(shù)據(jù)安全保障核心能力————（2000w，夠么?） 2、凡是喊出來(lái)：以數(shù)據(jù)安全生命周期為核心的，都是外圍人群。如果完全按照這種方式來(lái)建設(shè)，團(tuán)隊(duì)規(guī)模有限，安全需求很多，資源會(huì)沖突，業(yè)務(wù)不會(huì)買單。 4、數(shù)據(jù)安全的生命周期管理是以數(shù)據(jù)的價(jià)值鏈為對(duì)象，畢竟數(shù)據(jù)流動(dòng)起來(lái)才有價(jià)值，在各個(gè)環(huán)節(jié)都考慮安全因素，如果是小企業(yè)可能并沒有那么多的業(yè)務(wù)場(chǎng)景，也沒有那么多的數(shù)據(jù)安全需求，以防止數(shù)據(jù)泄露為目標(biāo)，梳理數(shù)據(jù)出口，盡可能做好管控就差不多啦，畢竟沒人沒錢靠理論體系是完成不了高大上的安全目標(biāo)的。 5、會(huì)有沖突，業(yè)務(wù)不一定會(huì)買單。任何建設(shè)方法都只是一個(gè)指導(dǎo)思想（最佳實(shí)踐），實(shí)際落地還是要結(jié)合企業(yè)自身的情況進(jìn)行修正，包括數(shù)據(jù)安全在內(nèi)的任何其他的安全建設(shè)，都是要為“企業(yè)盈利”這一個(gè)核心目的服務(wù)的，這是一個(gè)投入/收益的取舍平衡。特殊情況下，一切安全方案，都需要為“盈利”讓路。 6、資源肯定會(huì)沖突，而且業(yè)務(wù)不一定會(huì)買單。建議中小企業(yè)還是先做好基礎(chǔ)安全，健全自身的檢測(cè)響應(yīng)能力，不斷優(yōu)化自己的規(guī)則告警。如果強(qiáng)制植入數(shù)據(jù)安全生命周期，會(huì)本末倒置。比如有些企業(yè)入侵檢測(cè)都沒有健全，漏洞也沒修復(fù)，監(jiān)控沒人看，規(guī)則告警也沒有優(yōu)化，就想著上DLP，甚至“0信任”。 7、一張圖讓領(lǐng)導(dǎo)知道啥是縱深防御：（自己畫的圖，有點(diǎn)丑，意思到了就行）

注：文章轉(zhuǎn)自FreeBuf，如有侵權(quán)請(qǐng)聯(lián)系刪除！

與50位技術(shù)專家面對(duì)面20年技術(shù)見證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的聊聊“数据安全与数据治理”那些事的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。