进入大数据时代,诚如《经济学人》所说:数据成为新时代的石油,大数据几乎可以搞定一切。数据经由 分析,转而用于商业中,价值不可估量。
尼尔·波兹曼曾预言,我们终将毁于我们所热爱的东西。
近几年,数据泄露事件频发,并有愈演愈烈之势,仅在2017年上半年,全球就有19亿条记录被泄或被盗,比2016年全年总量(14亿)还多。这使得越来越多的企业“成也数据,败也数据”,安全痼疾引发强烈关注,数据安全行业迎来高速发展的春天。
据全球知名市场调研公司Gartner发布最新预测:2017年内,全球信息安全产品及服务支出将达到864亿美元,比2016年增长7%;2018年,这一数字将增长到930亿美元。据此,可以预见2018年数据安全行业将迎来爆发式发展。
伴随数据安全行业大爆发,政策、资源、人才、智力技术将快速朝该领域聚拢。以何种姿态迎接这一行业发展趋势,是全球范围内所有参与建设数据安全大生态的政府、组织机构、企业、个人需要思考的问题。在这一点上,我们已经看到了国家、全球组织、行业等在立法层面给我们树立的榜样:
法律法规紧锣密鼓,成为数据安全的紧箍咒:
1、GDPR
而在遥远的欧盟体系中,将于2018年5月正式出台史上最严数据安全保护法案——《通用数据保护条例》(以下简称GDPR)。为什么称史上最严呢?看看其规定的天价罚金自会明了。据悉,公司一旦违反该法案,最高罚金可达公司全球总收益的4%或2000万欧元中的高者。惩罚并非目的,GDPR立法的重心在于规定个人数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务配置等。事实上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR。也即,如果你收集欧盟公民的数据,你就受到GDPR的管辖。此法案一出,GDPR覆盖网内的企业可谓人人自危,面对交不起的天价罚金,行动是唯一的选择。
2、《网络安全法》
作为高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用的中国政府,面对日益严峻的数据安全态势,站在建设网络安全强国的战略高度,出台了我国网络空间“基本大法”——《网络安全法》。该法于2017年6月1日正式施行,对数据的安全保护,主要着眼于两方面:一是要求各类组织切实承担起保障数据安全的责任,即保密性、完整性、可控性;二是保障个人对其个人信息的安全可控。《网络安全法》可以说完成了对数据安全保护三个阶梯式层次的补充:从最基础的数据安全,到个人数据的保护,然后关注最高层次国家层面的数据保护。《网络安全法》的实施,让数据保护有法可依,也驱动着各行业企业开始将数据安全建设纳入信息化建设的重要地位。
3、《个人信息安全规范》
作为《网络安全法》的一个有益补充,国家标准《信息安全技术个人信息安全规范》(以下简称:《个人信息安全规范》)也将于2018年5月1日实施。该规范在《网络安全法》等法律法规的框架下,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。据专家评价,这部法规的严格程度介于欧盟与美国之间,因此,同样需要付出较大的关注和必要的行动来满足要求。
除了上述几大立法举措,各行各业制定的关于数据安全保护的法律法规也开始收紧对数据安全威胁的管控。面对数据安全威胁触发的高昂代价,顺应大势所趋,积极寻求数据安全治理已经成为一种远见卓识。越早地直面安全问题,越能够在数据即资产的时代里游刃有余地展开运营活动。可见,无论从立法层面还是现实需求层面看,数据安全市场都是一片蓝海。
面对行业大爆发,国内的安全企业将大有可为:
视野聚焦回国内,中国的数据安全行业态势如何?Gartner预测,到2021年,中国八成以上的大型企业将部署由本地供应商提供的网络安全设备。其愿意在于,已经施行的《网络安全法》将帮助中国本土供应商进一步抗衡美制网络安全产品。另外,中国本地供应商的产品价格低廉也是重要原因。从这一方面来看,国内数据安全行业将迎来大发展。
由政策和市场需求催生的安全保护手段日渐丰富起来,面对快速推出的新技术、新产品,企业应当结合业务特征来开启自身的数据安全建设之路。建议企业采取数据安全治理的思路,聚焦数据这一核心关键点(因为大部分数据都是存储在数据库中,所以要重点关注数据库安全),坚持数据安全治理技术路线,构建全面的数据安全保障体系,整体提升数据安全防护能力。
数据安全采用的常用技术推荐:
DAP(Data Audit and Protection)——提供了数据库中发生的活动的报告与预警,属于审计的范畴。其技术功能包括对数据库的发现和分类,漏洞管理,应用关联分析,入侵防御,对非结构化数据安全性的支持,身份和访问管理集成以及风险管理支持。
DLP(Data leakage prevention)——提供对敏感数据的可见性,无论是在端点上使用,在网络上运动还是静止在文件共享上。使用DLP,组织可以实时保护从端点或电子邮件中提取的非结构化数据。较之DCAP工具最大的不同,DLP更侧重于保护将离开组织的数据。
数据加密——考虑性能和成本,企业倾向只为最敏感的数据保存进行数据库加密。在加密方法上用户还关心保格式加密和无钥匙加密等技术。
数据脱敏——数据脱敏技术旨在防止滥用敏感数据,该技术为用户提供虚构但具备实用价值的数据,数据经历单向转换,属于不可逆过程。目前该技术方法已被金融部门广泛采用,医疗,政府和石油等行业的用户也开始对脱敏表现出很大的兴趣。
面对数据安全行业大爆发,数据安全问题将升级为全球密切关切的大问题。企业作为重要参与者,积极部署新技术创造安全环境是应尽之责。而安全企业则要强化自身技术储备,提供高价值数据安全解决方案,引领数据安全生态朝着健康、稳定、高效的方向发展,拥抱机会,创造价值。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。