从被动防御到主动治理,如何打赢数据安全持久战?

2019-01-15

分享到:



互联网和信息技术的发展,让数据迎来爆发性增长,数据安全也越来越受关注。从最初的纸质文档记录、物理保存到之后的数据库存取,再到数据爆炸带来的离线数据处理、数据仓库及数据挖掘技术,以及如今的人工智能及区块链分布式存取技术,数据安全技术几经迭代的同时,数据安全理念也发生了重要转变。


传统专注于防御的被动型安全思路已经升级为防御+治理的双重保障机制。伴随《中华人民共和国网络安全保护法》、欧盟《通用数据保护条例》等国内外数据安全法律的施行,企业必须升级数据安全战略,变被动的数据安全防护为主动的数据安全治理


数据安全的口袋越扎越紧,作为靠数据变现的大数据企业,如何才能在不碰红线的同时保证业务增长,营销环境中的数据安全又该怎么做?近日,AdMaster首席架构师、nEqual首席技术官、北京航天航空大学特聘教授卢亿雷受WAW(网站分析星期三)沙龙邀请,基于自身超10年的云计算、云存储、大数据及人工智能经验,就“互联网企业如何构建安全的数据架构体系”进行了深入分享。


AdMaster首席架构师、nEqual首席技术官、北京航天航空大学特聘教授 卢亿雷


数据变现合法合规,营销环境下的数据安全这样做


《中华人民共和国网络安全法》自2017年施行以来,国家工信部、网信办、公安部等网络信息安全主管部门就数据安全合规实践操作层面的细则和国家标准也层出不穷,虽然部分细则和国家标准尚在征求意见,但目前90%的数据安全相关执法行动或案件,主管部门会以这些细则或标准作为指导或依据。若数据处理行为涉及侵犯个人隐私,则可能触犯刑法,企业只有清晰了解数据安全相关法律法规,才能制定自己的数据安全规范。


数据营销领域与数据合规息息相关,该领域内,企业务必熟知的法律法规和国家标准主要有《中华人民共和国网络安全法》《刑法修正案(九)》、信息安全技术 个人信息安全规范》,服务国外客户必须熟读的欧盟《通用信息保护条例》(GDPR)及国家严格把控、限制国内数据出境的《信息安全技术 数据出境安全评估指南》、《个人信息和重要数据出境安全评估办法》


数据安全是项系统工程,具体到操作层面,企业需要严格把控数据从收集、传输、存储到使用、管理的各个环节。


(长按收藏)


数据采集,需要注意五个方面:一,需要用户主动同意隐私协议,隐私协议需明确数据收集、传输、存储方式,收集的目的、用途及数据的对外共享、 转让、公开披露和第三方如何使用数据等;二,用户有权随时撤销授权;三,数据获取要秉持最小化原则,收集信息的范围“满足且仅满足”正常服务即可;四,通过第三方进行数据收集时,要向个人明确告知第三方主体的服务类型,征得个人信息主体的授权同意,同时要防止数据泄露,一方面保证自身客户端不被恶性攻击,没有安全漏洞,另一方面要严格审核第三方SDK,防止用户信息泄露;五,区分敏感数据,通过技术手段、规章制度对数据分层获取、分层管理,采取数据分类、重要数据备份和加密等措施,该加密的数据一定要加密,敏感数据进行隔离存储


数据传输,不是简单的https双向验证,有些媒体为了节省成本,只在登陆环节是https,打开网站及登出时仍是http,因此,数据在传输的各个环节都要保证不被修改或截取。要保证敏感的字段加密传输,并防止中间人攻击,有些媒体虽然是https双向验证,但要堤防中间人,比如目前很多路由器可以访问https证书来获取数据。企业内部传输安全设置也很重要,特别是大企业,部门间数据传输也存在数据安全风险,最后,信息下发时要考虑是否有被爬虫的风险,若有敏感数据被爬取,企业也要承担责任。


数据存储,需要确保数据存储的格式是本地存储还是备份存储,做好数据生命周期管理数据脱敏,保证网络安全,用制度和流程保证内控合规,保证数据不会被员工窃取,做好访问控制,让有限的人看有限的数据。最后要做数据灾备,保证数据不被丢失,比如因为机房不当维护导致的数据丢失,不仅是企业自身的损失,也会触犯法律。


数据使用,包括四部分,一,会员管理时,要保证会员邮件、短信、电话号码等信息的获取和使用,已取得用户的明示授权同意;二,营销投放环节,基于用户画像做精准投放也要有用户的授权;三,商业变现,数据要合规售卖,企业可以通过打造数据闭环,避免数据风险;四,内部使用,要保证部门间数据管理安全,防止内部人员滥用数据。


数据管理组织建设、制度流程、技术工具和人员能力缺一不可,从数据合规到人员管理、访问控制、数据流向再到网络权限控制等涉及到数据的各个环节,企业需要打造数据安全管理的完整闭环


从数据安全到数据治理,AdMaster的数据安全解决方案


数据治理要求企业制定深度定制化的大数据安全解决方案,作为领先的独立第三方数据技术公司,AdMaster拥有一套完整、可持续的数据安全监测机制,能够时刻识别敏感信息,通过对数据做分层处理,对个人敏感数据做加密处理,多点协同、统一治理,严格把控数据产生、存储、加工、使用、传输等各个环节。


在严格内控的同时,AdMaster也会邀请专业的第三方做数据安全培训,并定期对员工进行内部培训,在保证数据安全的前提下推进业务发展。


目前,AdMaster拥有完整的安全管理制度、应急响应预案、开发技术规范、安全巡检制度及办公安全等制度,成立了内部数据安全委员会,并通过了多项安全资质认证,从流程、制度等多方面保障企业数据安全。


(长按收藏)


具体来说,AdMaster的数据安全解决方案包括网络安全、主机安全、应用安全、数据安全及管理安全5个方面:


网络安全,涵盖系统拓扑设计、访问控制设计、入侵防范设计及结构安全设计;

主机安全,主要是操作系统、数据库及数据处理中间件的安全保护;

应用安全,设计统一认证的登陆系统,做好身份鉴别、访问控制、自身安全、通信完整性及通信保密性防护,AdMaster有专门的团队做漏洞防护设计;

数据安全,主要涉及数据的保密、数据的完整、可用及可恢复;

管理安全,主要与制度、人员等相关,具体包括完整的管理制度、应急响应、办公安全、人员管理及安全审计。


数据安全是项系统工程,也是场持久战,它既不能一蹴而就、一劳永逸,也无法独善其身、清者自清,企业不仅要保障自身数据安全,也要防止因遭受外界技术攻击导致的数据泄露,在数据传输及数据使用时,还要保证产业上下游的数据安全。只有严格遵守数据安全法律法规,建立多点协同、统一治理的数据安全解决方案,才能规避隐藏风险,确保以大数据为核心的数据业务长足、稳固的推进。

分享到:
扫描二维码分享到微信
确 认

Cookie | 数据安全及隐私保护 | 使用说明 | 联系我们 | 产品登录

版权所有 © Copyright AdMaster Inc. 沪ICP备06027896号-1
扫描二维码关注我们
确 认