下载掌阅APP,畅读海量书库
立即打开
要想做好企业数据安全防护工作,应理解数据保护针对的实体到底是什么。本章主要介绍数据安全的本质。
●理解数据、数据安全相关的概念。
●理解数据与信息的关系,以及我们到底是在保护数据安全还是信息安全。
●理解数据安全与信息安全、网络安全的关系。
●理解数据安全和大数据安全的关系。
只有理解了数据相关的概念,我们才会知道如何实现对数据资产的保护。
企业要想做好数据安全防护,首先要了解什么是数据、数据保护针对的实体是什么、数据和信息的区别、我们是在保护数据安全还是信息安全等,只有这样,我们才能做好数据的保护、数据安全的规划建设。
国际标准化组织(International Organization for Standardization,ISO)对数据的定义:数据是对客观存在的事实、概念或指令的一种可供加工处理的特殊的表达形式,它可以通过人工或自动化装置进行通信、翻译和处理。数据本质上是一种表示方法,是人为创造的符号形态,是它所代表的对象的解释。数据对事物的表示方式和解释方式必须是权威、标准、通用的,只有这样,才可以达到通信(传输、共享)、解释和处理的目的。因此,我们必须围绕数据制定一系列标准。
维基百科对数据的定义:早在1946年,“Data”一词就首次被用于明确表示“可传输和可存储的计算机信息”。根据维基百科,数据的含义已不再局限于计算机领域,而是泛指所有定性或者定量的描述。
国际数据管理协会对数据的定义:数据是以文本、数字、图形、图像、声音和视频等格式对事实的表现。这意味着数据可以表现事实,但需要注意的是,数据不等于事实,只有在特定的需求下,符合准确性、完整性、及时性等一系列特定要求的数据,才可以表现特定事实。
数据的特征:数据可以是连续的值,例如,声音、图像,称为模拟数据;也可以是离散的值,例如,符号、文字,称为数字数据。在计算机系统中,数据以二进制信息单元0和1的形式表示。
《中华人民共和国数据安全法》强调的数据是指任何以电子或者其他方式对信息的记录。
《中华人共和国网络安全法》强调的网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。《中华人民共和国网络安全法》强调的是对电子数据的保护。
信息是人脑对现实世界事物的存在方式、运动状态及事物之间联系的抽象反应,信息是客观存在的。人类有意识地对信息进行采集、加工、传递,从而形成各种消息、情报、指令。信息是经过加工(处理)后的能对接收者产生影响的有一定含义的数据。
信息的特征如下。
①信息源于物质和能量,信息不可能脱离物质而存在,信息的传递需要物质媒介,信息的获取和传播需要消耗能量。
②信息是可以感知的,不同的信息源有不同的感知形式。
③信息是可存储、加工、传递和再生的。
数据是由用来记录信息的可识别符号组成的,是信息的具体表现形式。给符号赋予特定语义后,就转换为可传递的信息。由此可见,数据和它的语义不可分割。
数据的形式:可以用多种不同的数据形式表示同一信息,而信息不随数据形式的变化而改变。
数据和信息的关系如图1-1所示。
图1-1 数据和信息的关系
在《中华人民共和国数据安全法》中,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
《中华人民共和国数据安全法》强调,数据要被有效保护,具体体现为保护数据的保密性、完整性、可用性。数据安全保护需要建立在技术、管理、工程过程的基础上,围绕数据全生命周期开展相关保障活动。由于数据本身与业务相关,数据安全保护应围绕业务开展具体工作。
《中华人民共和国数据安全法》要求数据合法利用,是要求数据处理活动应合法合规,应遵循国家相关法律法规,保护个人、组织、国家的利益。例如,App违规收集个人信息就属于不合法行为。
安全发展趋势经历了信息安全、网络安全、网络空间安全和数据安全4个阶段。本节主要讨论这4个阶段数据安全保护的特点。
随着时代和技术的发展,在企业安全工作中,信息安全、网络安全、网络空间安全和数据安全都是工作重点,且存在交集。因此,网络安全、网络空间安全和数据安全的概念可以根据不同的组织机构、场合灵活选用。从根本上看,网络空间安全与数据安全之间的区别仅在于关注点不同,而从安全本质上讲,数据安全更接近信息安全防护的核心目标。数据是组成信息的基本元素之一,数据安全是信息安全的“核安全”。保证数据的安全,则可以保证信息的安全。数据安全需要强调全生命周期中的数据保护,或数据作为生产力,或强调数据主权、数据主体权利、长臂管辖权、隐私保护等。4个阶段数据安全保护的特点如图1-2所示。
图1-2 4个阶段数据安全保护的特点
信息安全是指为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意而遭到破坏、更改和泄露。
“信息安全”一词最早出现于20世纪60年代美国军队的通信保密与作战文献中。信息安全重在“信息”本身,即信息在处理、制作、获取、传播、交换、应用、存储等方面的安全。
信息安全阶段包含对数据的保护,但是这一阶段的数据保护强调的是信息,因此,信息安全阶段的特点主要是针对信息系统的防护,尚未做到数据防护、尚未细分到业务。
信息安全阶段的数据安全防护:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,例如,数据保密、数据完整性、双向强身份认证等;二是数据防护的安全,主要是指采用现代信息存储手段对数据进行主动防护,例如,通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,需要注意的是,数据本身的安全必须基于可靠的加密算法与安全体系。
在《中华人民共和国网络安全法》中,网络安全是指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
“网络安全”一词是20世纪90年代提出的。网络安全重在“网络”,即生产控制、公共服务、信息传播及数据流动等系统与平台,以及网络基础设施的安全。
网络安全大致可以分为3个阶段。其中,第一阶段以病毒、木马、蠕虫的兴起泛滥为主要特征,该阶段不法分子以入侵、破坏等为主要目标实行恶意攻击行为,防护手段以网络边界防护描摹为主,一般有网络安全域、隔离、访问控制等。第二阶段以干扰正常经营、窃取数据及牟取经济利益为主要特征,入侵手段通常比较隐蔽,业界常用的防护手段有抗分布式拒绝服务(Distributed Denial of Servece,DDoS)、入侵检测、入侵防护等。第三阶段是不法分子以“薅羊毛”等方式游走在合法与非法的边缘,利用技术、非法或合法的手段获取“羊毛”信息,其扰乱市场经济秩序、牟取非法巨额经济利益,此类活动通常更加隐蔽或者往往处于法律监管的盲区,其中以高级可持续威胁攻击(Advanced Persistent Threat,APT)为主要代表。
随着时代和信息技术的快速发展,网络安全的概念不断延伸,其涵盖了虚拟网络、容器、云计算、大数据等多个领域,并且逐步发展为网络空间安全。网络空间安全名称相对较长,为遵循简便和习惯原则,所以一般业内仍然称之为网络安全。
此时网络空间安全的防护重点不再局限于网络边界防护,而是以网络、网格的方式对业务系统、数据等进行网络边界、访问控制、安全通信、网络攻击、入侵和安全管理等全方位的安全防护。这时的网络安全含义随着技术发展、认知加深,其概念和外延不断扩展和丰富,形成了立体、纵深的网络空间安全防御体系,因此,网络安全可以泛指整个信息安全体系。
数据安全是以数据为出发点的安全防护理念,覆盖了数据全生命周期的安全管控,其理念是安全防护措施随着数据流动走。网络空间安全涵盖了数据安全防护,是从访问使用的数据角度出发,对数据进行安全防护;数据安全则是以数据为出发点进行安全防护。从本质上分析,网络空间安全是从数据的外围对数据安全进行保护,数据安全则从防护目标(数据)和数据生命周期使用流转角度出发,提出安全防护措施随着数据“走”的思路。因此,网络空间防护和数据安全防护二者基本的防护目标是一致的,即保证数据的完整性、机密性、可用性。
信息安全发展的不同阶段,信息安全、网络安全、网络空间安全和数据安全4个不同的说法,体现了人们对信息安全认知的演变历程,也展现了人们在信息安全立足点、视角的变化。
和过去相比,如今我们讨论的数据安全有了很大不同。如今数据本身的存在形式、产生方式及使用模式都和过去完全不同。在过去个人手里的数据可能仅属于个人,数据的使用方式也比较简单,数据本身也只是用来做一些存储或者信息化的内容。因此,过去我们在保护数据的时候所涉及的仅仅是保证数据的完整性、可用性及保密性。
但随着科学技术和数字应用的发展,数据的形式和种类变得更加多样,数据呈现碎片化的形式。而且我们要保护的数据不仅有自己的,还可能有属于合作伙伴的数据、涉及用户的个人信息。因此,只保证个人数据的安全是远远不够的,还要解决这些数据不被非法滥用和盗取等问题。
在大数据时代,数据不断分散并且快速流动,在这个过程中,数据发挥的价值和过去也不尽相同。过去,使用计算机技术提高工作效率,但在今天,数据可以改变生产模式和流程,通过数据化的加工,企业实现精准服务,提供个性化服务。在此过程中,是否侵犯了他人的权益、是否侵犯了个人隐私,这都是以前从未遇到过的问题,用一句话比喻就是“旧瓶装新酒”。我们今天所探讨的数据安全,既不是大数据本身的安全,也不是传统数据安全的概念,而是一个全新的安全内容。
对大数据产业的发展来说,安全才是产业发展的前提。但今天大多数人在解决数据安全问题的方法和思路上存在一定的误解。大数据时代下的数据安全是一个全新的问题,无法简单地用原来的安全方法来解决。这主要体现在以下两个层面。
1.不能用“以系统为中心”的安全思路解决问题
“以系统为中心”的安全是大家熟悉的安全方法,例如,检验某个软件、某个服务器或某个手机终端是否安全,主要是测试这些系统在各种人为干预下是否会出现与预期设计不符合的功能,从而导致运行状态失控。如今,数据要在不同的系统之间流动,如果某个系统出现问题,则可能影响到当时在这个系统中的数据,导致数据发生窃取等安全风险。但是,即使这个系统不存在风险,但是数据从该系统流入其他系统时,也可能其他系统存在安全风险而导致数据存在安全风险。数据本身并不存在运行状态,数据出问题和系统出问题两者的概念也不尽相同。单个系统的安全并不等于数据的安全,系统被入侵也不等于数据一定会被“偷”走,系统即便再固若金汤也不等于数据就不会被滥用或误用。解决数据自身的安全问题,需要切换到“以数据为中心”的安全思路上来。
2.不能用传统的“数据安全”方法解决问题
数据安全很早就被提出,但是原来的概念和方法已经远远不适应于今天的情况。因此,在解决数据安全问题的方法上,需要我们重新对数据安全建立真正地理解,我们所要解决的是数据防内外部窃取,以及数据本身如何使用等问题。但如今,我们更多的是试图把过去保护信息系统的方法用来保护数据安全,这样的方法其实是不对的。我们需要将重心真正转移到“以数据为中心”上,而不能套用过去的方法。
从策略和规则的制定上,企业需要认真考虑。数据是重要的资源,大家要真正改变对数据安全的认知,在新的轨道上进行研究。如何在管理方法上、技术和产品应用上找到真正适合于当前要解决的数据安全问题的方法和路径,是最迫切的问题。
目前,人们对数据安全的认知还不统一,从数据安全到大数据安全的转变,基本上经历了3个阶段。
第一阶段:2012年以前,人们认为数据安全就是信息安全,传统数据安全的本质是信息安全在数字载体上的静态资产的属性安全。
第二阶段:2012—2015年,大数据安全发展到利用大数据技术解决网络安全中面临的威胁,可以有效实现对网络威胁的自动化、智能化响应和处置,例如,网络安全态势感知等。
第三阶段:2015年至今,大数据的价值逐渐得到体现,数据开始流动,数据流动所带来的安全问题日益突出。因此,当前数据安全需要关注流动中的业务过程风险,并有效保护动态生产资料。