聊聊“数据安全与数据治理”那些事

关键词：数据安全与数据治理

RSAC创新沙盒大赛可谓网络安全行业创新风向标，2021年RSAC创新沙盒大赛十强名单出炉，其中多家入围企业所属领域皆为数据安全。如今数据泄露事件频发，企业则越来越注重数据安全的防护与治理。本期话题围绕这个主题，可参考但不限于以下三个维度开展讨论：

讨论1：和过去相比，你认为如今企业发生数据泄露安全事件的主要原因有哪些？

1、泄露是一直都泄露的，只是大家现在更关注，而且商业竞争和主权攻击越来越频繁。 2、我们不知道怎么发现，但保密宣传片会告诉我们偷数据是啥下场。能判的，主要是个人信息，以及被认可的涉密信息，大部分商业公司的保密信息，实际上是不被法院认可的。 3、裁判文书网近些年已判决数据泄密案件。

4、我们有监守自盗的，前两年两个人倒卖数据，已经被判了。 5、主要原因我觉得还是内部人员的问题，黑产发展太快，自身安全建设没有跟上，特别是安全意识这块现在在绝大部分企业都是非常落后的，面对黑产的诱惑，很多人有意无意的泄露了数据，另外中小企业还有一部分可能确实是技术问题。 6、根据近10年的法院裁判文书来看，发现数据泄露的主要风险来自内部人员，牟利是主要动机，内部人员占数据泄露角色的8成，其中2/3是在职人员，1/3是离职人员。从几次物流行业数据泄露来看，如果内外勾结数据泄露风险更大。主要动机是为了牟利，占将近6成，其他原因包括不正当竞争、公开/成名、误操作、增加求职砝码和报复原公司。 7、数据泄露主要有两个方面的原因：1.持有数据的人员意识。2. 信息系统自身的脆弱性。从第一方面来看，大部分员工对数据的保密意识很低，而且，很多数据（信息）仅仅是一两句话就能够让有心人推断出足够多的信息量，再加上从不同渠道获取的数据片段进行拼凑，对于企业来说，管理的难度极大。于企业来说，管理的难度极大。从第二个方面来看，“没有绝对安全的信息系统”，这算是行业的一个共识了，因此，未知的信息系统脆弱性，也是企业面临的风险。 8、主要是员工安全意识不足，管理流于形式；技术大跨步太多，基础安全都没有做好做足，没有对应的人力、系统支撑。以上两方面做足功课以后，在考虑数据安全相关的短板进行弥补。

延伸讨论：

@楼主：安全要从CMDB拉数据，CMDB应用大家有什么心得

1、说起CMDB一肚子火，CMDB全是坑。搞资产说起来人人懂，搞起来一堆事，运维还不配合。 2、你们还有CMDB，很多公司都没有这个。 3、除了找运维，我是Arp -a，顺着核心交换机，一个一个查的来找自己公司资产的，边查边扫描，查出来找到责任人，物理位置，登记。 4、运维天天和我说在做在做，结果新上线的资产被打穿了。 5、漏扫找资产比运维还准。 6、互联网资产我就用ARL了。

讨论2：报告显示，Facebook高居“数据丢失耻辱榜”榜首，其他企业如万豪、摩根等也榜上有名。和中小型规模的企业相比，大企业是否更遭黑客”青睐”？

1、之所以觉得大企业更遭青睐，可能只是大企业发现的多而已。 2、大部分商业公司的保密信息，实际上是不被法院认可的，很多时候是因为没法去做司法鉴定，某个东西是公司机密代码，你要去鉴定价值的话，你要找同行或者公开拿出去估算价值。 3、理论上是的，但要看“数据”的价值。有些小企业的“数据价值”不比大企业差。 4、两方面，（1）在价值上来看，肯定大企业更招黑客青睐，一个是大企业的影响力，另一个是数据价值更大。但是大企业的安全建设还是要走得快些，不容易直接攻击获取数据，一般大企业的数据泄露都是员工无意泄露了关键信息，比如技术人员泄露源码、配置文件等。（2）从数据泄露的数据类型来看啊，To C的用户数据、客户数据、源代码、商业机密和政企涉密文件占据主流，大企业比小企业拥有更多客户信息资源和商业秘密，更容易受到数据泄露威胁啊。 5、数据泄露于企业规模无关，说来说去，无非就是“利益”二字。3个方向都涉及利益：（1）黑产对数据的倒买倒卖；（2）竞争对手对企业的打击（例如对品牌形象，营销方案，股票市场，上下游合作等造形成负面影响和损失）；（3）企业持有数据对自身的价值（例如行业客户数据对市场营销的价值，To C客户数据对用户画像和广告投放的价值）。

讨论3：如今业界很多关于数据安全的建设方法，大多以数据安全生命周期为核心，但对于中小企业而言，如果完全按照这种方式来建设，团队规模有限，安全需求很多，资源是否会冲突？业务是否会买单？

1、我们的口号是：建设面向“汇聚、传输、存储、访问、共享与销毁”全流程的数据安全保障核心能力————（2000w，够么?） 2、凡是喊出来：以数据安全生命周期为核心的，都是外围人群。如果完全按照这种方式来建设，团队规模有限，安全需求很多，资源会冲突，业务不会买单。 4、数据安全的生命周期管理是以数据的价值链为对象，毕竟数据流动起来才有价值，在各个环节都考虑安全因素，如果是小企业可能并没有那么多的业务场景，也没有那么多的数据安全需求，以防止数据泄露为目标，梳理数据出口，尽可能做好管控就差不多啦，毕竟没人没钱靠理论体系是完成不了高大上的安全目标的。 5、会有冲突，业务不一定会买单。任何建设方法都只是一个指导思想（最佳实践），实际落地还是要结合企业自身的情况进行修正，包括数据安全在内的任何其他的安全建设，都是要为“企业盈利”这一个核心目的服务的，这是一个投入/收益的取舍平衡。特殊情况下，一切安全方案，都需要为“盈利”让路。 6、资源肯定会冲突，而且业务不一定会买单。建议中小企业还是先做好基础安全，健全自身的检测响应能力，不断优化自己的规则告警。如果强制植入数据安全生命周期，会本末倒置。比如有些企业入侵检测都没有健全，漏洞也没修复，监控没人看，规则告警也没有优化，就想着上DLP，甚至“0信任”。 7、一张图让领导知道啥是纵深防御：（自己画的图，有点丑，意思到了就行）

注：文章转自FreeBuf，如有侵权请联系删除！

聊聊“数据安全与数据治理”那些事相关推荐

浅谈数据治理体系演进
网易内部如严选.云音乐.传媒等数据团队对数据内容体系的治理思路都是将治理规范融入到开发过程中,将治理的动作提前,这其实就是"开发治理一体化":事后依赖数据资产健康评估和治理工具进行 ...
【推荐】数字化转型和数据治理资料合集124篇
数字化转型表明,只有企业对其业务进行系统性.彻底的(或重大和完全的)重新定义--而不仅仅是IT,而是对组织活动.流程.业务模式和员工能力的方方面面进行重新定义的时候,成功才会得以实现. 数据治理(Da ...
【推荐】企业数据治理资料合集
数据治理是指企业的数据架构.数据标准.数据质量.数据安全等领域的建设和管理的全流程.作为一个数据工作者,无论公司数据体量大或小,都应该具备数据治理的能力.本文从自身经验出发,分析如何构建企业级数据治理 ...
万字好文 | 数字化转型之道——数据治理体系能力提升
这篇是蔡春久先生直播的文字摘录,这场直播获得了满堂喝彩,讲的非常好,整篇文章大概10000字,建议大家看完. 来源:蔡春久-<帆软·决胜数字化转型>直播文章整理:grace 蔡春久:中国 ...
中国建设银行数据治理实践的三高、四落、八行为
来源丨IT常青树全文共6658个字,建议阅读需18分钟前言:近些年,随着金融业在国内的迅猛发展,银行业的规模与发展速度也是如火如荼,网上银行的兴起也极大地便利了民众的消费.支付和理财,许多传统的银 ...
【技术分享】新核心业务系统数据架构规划与数据治理
本文整理自DTCC2016主题演讲内容,录音整理及文字编辑IT168@田晓旭@老鱼.如需转载,请先联系本公众号获取授权! 演讲嘉宾种磊农银人寿新核心数据架构组组长经济师,农银人寿IT部资深专员. ...
万字好文！数据治理体系与能力提升
这篇是蔡春久先生直播的文字摘录,这场直播获得了满堂喝彩,讲的非常好,整篇文章大概10000字. 来源:蔡春久-<帆软·决胜数字化转型>直播文章整理:grace 蔡春久:中国数据工匠俱乐部 ...
大数据平台数据治理体系建设和管理方案
1. 范围 1 2. 规范性引用文件 1 3. 术语.定义和缩略语 5 4. 总体说明 8 4.1. 概述 8 4.2. 目标 9 4.3. 原则 9 5. 数据治理体系 10 5.1. 总体框架 1 ...
工业数字化转型中的数据治理
随着数据资源的爆炸性增长,企业面临着数据标准不统一.数据信息分散.数据质量参差不齐.开发维护困难等问题,很难满足实时分析和决策的高要求.因此,数据治理对于工业互联网的发展至关重要. 1 数据治理发展现 ...

聊聊“数据安全与数据治理”那些事

关键词：数据安全与数据治理

聊聊“数据安全与数据治理”那些事相关推荐

最新文章

热门文章