上一版
当前,数据安全已成为网络空间安全的重点,数据防泄漏又是数据安全的焦点,直接关系到国家安全和公民隐私,对各单位和用户,尤其是网络运营者带来了严峻挑战。值得一提的是,我国已有的安全建设主要围绕着网络层、应用层以及服务器层安全防护进行,对真正管理核心数据的数据层却很少采取有效的防护措施。众所周知,数据层安全防护是存放于服务器内的数据本身的最后一道安全防护屏障,如果网络层、应用层和服务器层的安全防护被攻破,只要数据层安全防护有效,就不至于泄露敏感数据,可见数据层安全防护的极端重要性。因此,如何保证系统在高性能、高可用的同时提升数据的安全性,加强数据安全防护体系建设、确保关键敏感信息不被泄露、国家个人利益不受损失已迫在眉睫。
从安全体系建设角度,分析造成大量数据泄漏的原因,与过时的安全设计方案和现有的安全基础设施息息相关:由于过于关注先进技术且多数的安全系统没有自主学习能力,缺乏对安全角色的正确理解和未能充分调动员工的能动性,致使传统的安全解决方案没有完全跟上各类新型威胁的快速演变。许多运营者过于追求新旧技术的融合,将基础设施作为发展的重点,忽略了所要保护的数据本身。事实上,仅靠加大基础设施的建设力度并不能对数据提供相匹配的安全保障,尤其在移动互联及云计算高度发展的今天,数据可能出现在任何位置,移动化及数据增值服务正在弱化基础设施和多层架构中的安防效果。实践证明,网络上附加的安全功能并不是越多越好,他们在功能性上的重叠不会让系统变得更为强大,相反会因为不能共享彼此的信息而浪费资源。
为此,必须深刻认识,任何单位和用户,尤其是网络运营者对数据的保护责无旁贷,必须明确将关注重心由基础设施转为数据管控。如何以“数据”为视角进行信息化安全体系建设,对数据进行分级保护,对数据全生命周期做到可视、可管和可追溯,是运营者需要重点考虑的问题。早期运营者对数据的管理还比较单一,采取囚笼式、枷锁式的强管控方式,基本都是全隔离、全加密或全授权,对文档的重要性不做区分,导致在实际数据生产、使用和流转中带来诸多麻烦。随着科技和商业的飞速发展,为满足更加灵活的方式来处理数据,一系列的智能化数据安全管控软件应运而生,建设新一代数据防泄漏综合防护体系的理念和技术条件亦相应成熟,从而使运营者拥有更多新的可选路径部署统一的控制面板,在实现对安全项目高度统合管理的同时,将各自的安全智能相整合,再结合实时收集的相关数据,供安全团队作出明智的决策和精细的管理。
在总体技术路线上以秘密分割技术为替代
早期应用较多的主要是数据加密防泄漏技术,但缺点明显,做源于密钥管理一直是数据加密技术应用的障碍。因为密钥管理包括从密钥的产生到密钥的销毁等众多环节,涉及管理体制、协议和密钥的生成、保存、分发、更换和注入等各个方面,给数据加密技术的大规模应用带来了较高成本,也提高了使用难度,尤其在网络存储、云存储等数据大集中存储的应用场景下,其数据安全管理方式面临着极大的安全风险。因此基于大规模敏感数据存储的产品和解决方案,建议采用秘密分割的技术路线,建立角色分工、职责分离、数据分割、运维分管、安全分治且任一单方无法泄密的安全技术机制。
在防护体系建设上以严格管控数据为目标
安全管理的重要任务当以数据为管控对象,以数据防泄漏为工作目标,应采用包括禁用终端设备的USB接口、蓝牙接口,禁止邮件服务器与其他网络互通,禁止使用U盘、移动硬盘、光盘等方式存储和交换数据等多种手段,确保数据在安全域内部存储和传输。在此基础上,数据防泄漏综合防护体系建设需要针对不同类别的用户、不同类别的数据以及不同类别的途径分别采取相应的技术措施防止数据泄露。
在人员安全管理上以落实技术手段为支撑
针对数据集中存储的平台,要重点防范平台管理人员从存储和备份设备上导出数据、盗窃存储和备份设备、篡改数据、非法利用数据等行为造成的数据批量泄漏安全风险。针对各类敏感信息应用的工作人员,应重点使用权限控制防泄漏技术,从访问控制与留痕方面,强化使用用户可信身份鉴别与安全日志等方面的技术配套,加强身份防伪和操作防抵赖验证;从防扩散溯源方面,应强化使用数字水印身份溯源技术,加强防范通过拍摄屏幕、打印、复印等系统外部复制数据的方式扩散敏感或涉密数据,通过在数据中嵌入身份水印的方式强化扩散溯源能力。
在网络可靠传输上以综合集成方案为保障
数据防泄漏综合防护体系建设需要安全可靠的数据传输网络,应优先选择集成数据加密和秘密分割等多种技术的VPN产品和解决方案,充分发挥各种技术的长处,强化数据传输的高效、可靠和防泄漏。
总之,“得数据者王、失数据者亡”。数据安全是国家安全题中应有之义,数据安全防护体系是网络空间安全架构之基础设施,数据防泄露综合防护技术作为大数据时代的国之重器,必将成为我网信强国的必由之路。
缩小
全文复制