业内对于数据安全,存在各种各样的理解。
最初,人们认为数据安全就是数据层的安全,也就是通常所说的数据库安全,主要措施就是保护好数据库,比如使用非root账号、最小化配置数据库权限、设置复杂口令等等。但这远远不够,黑客仍有可能通过其他的方式,比如应用层的漏洞(典型场景如SQL注入漏洞),并利用合法的权限获取到数据。
也有人认为数据安全就是DLP(内部数据泄露防护),通过员工行为规范、上网行为管理、文档加密、沙箱、监控等各种手段,防止内部数据泄露。工作重心主要放在员工办公电脑上。诚然,终端数据安全也是数据安全体系的一部分,只是这样的话,未免有点像盲人摸象,至少服务器侧(或云端)的数据安全就被忽略了。
后来,“以数据为中心的全生命周期的数据安全”理念被广泛接受,加密传输、加密存储、脱敏展示、差分隐私等各种技术手段加以运用。
从目标上看,数据安全是业务团队和安全团队都能理解且能够达成一致意见的目标(“数据全生命周期内的安全与合规,防止数据泄露”),数据安全也是最能体现组织综合安全能力的标志。
那么,数据安全到底是什么呢?让我们来看一下《数据安全架构设计与实战》一书对数据安全的定义和解读。
数据安全,就是保障数据全生命周期的安全(包含数据的保密性、完整性、可用性)与处理合规。
全生命周期,包括数据的收集、使用、存储、传输、披露、跨境转移、销毁等等。
安全(保密性、完整性、可用性),简记为CIA:
处理合规,则是符合各项适用法律法规的要求。
在安全领域的发展历程中,使用了信息安全、网络安全、网络空间安全、数据安全等概念。那么我们为什么选择“数据安全”这个术语呢?
让我们先来看看每个术语的含义。
广义的信息安全(Information Security),是基于“安全体系以信息为中心”的立场,泛指整个安全体系,侧重于安全管理。例如ISO 27001信息安全管理体系就使用了广义的信息安全概念。
狭义的信息安全,在不同的组织内部,往往有不同的含义,主要有:
网络安全这个概念也是不断演化的,最早的网络安全是Network Security,是基于“安全体系以网络为中心”的立场,主要涉及网络安全域、防火墙、网络访问控制、抗DDOS(分布式拒绝服务攻击)等场景,特别是以防火墙为代表的网络访问控制设备的大量使用,网络安全域、边界、隔离、防火墙策略等概念深入人心。
后来,其范围越来越大,往云端、网络、终端等各个环节不断延伸,发展为网络空间安全(Cyberspace Security),甚至覆盖到陆、海、空、天领域,但这个词太长,念起来没有网络安全方便,就简化为网络安全(Cyber Security)了。
我们现在所说的网络安全,一般是指广义的网络安全(Cyber Security),仍基于“安全体系以网络为中心”的立场,泛指整个安全体系,侧重于网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。
广义的数据安全(Data Security),是基于“安全体系以数据为中心”的立场,泛指整个安全体系,侧重于数据分级及敏感数据全生命周期的保护。它以数据的安全收集(或生成)、安全使用、安全传输、安全存储、安全披露、安全转移与跟踪、安全销毁为目标,涵盖整个安全体系。
数据安全,也包括个人数据安全与法律合规,也就是隐私保护方面的内容。
狭义的数据安全,往往是指保护静态的存储级的数据,以及数据泄露防护(DLP)等。
上述术语的使用,既有历史的因素,体现了人们对安全认知的演变历程,也体现出使用者所在企业安全工作的侧重点(或立足点、视角)的不同。
早期,信息安全的范围最大(有句话是“信息安全是个筐,什么都可以往里面装”),而网络安全(Network Security)是信息安全的子集,网络安全(Network Security)可看成是海关(或检查站),需要核对身份、检查物品(品类数量控制/检验检疫),是站在网络边界(以及重要的流量节点)看世界;数据安全的范围最小。
现在,信息安全这个词仍有使用,不过使用的场景不是很多了,且有狭义化的趋势,多数情况下可以被网络安全(Cyber Security)所覆盖,也就是网络安全(Cyber Security)范围最大。不过,网络安全(Cyber Security)有时并没有完全覆盖数据安全,比如数据安全里面的长臂管辖权。
数据安全更接近安全的目标,可看成是数据的随身保镖,随着数据流动,数据流到哪里,安全就覆盖到哪里。
大家其实不用纠结我们究竟应该使用哪个术语,我们完全可以根据企业的需要、侧重点,选择相应的术语。随着信息时代向数据时代的转变,本书将主要使用广义的数据安全这个概念,它更接近安全保护的目标,更适应业务发展的需要,并且这里的数据不仅包括静态的、存储层面的数据,也包括流动的、使用中的数据。我们需要在使用数据的过程中保护数据,在数据的全生命周期中保护数据,特别是涉及个人隐私的数据。
也就是说,数据安全这个词,可以将信息安全、网络安全以及隐私保护的目标统一起来。
下面小结一下它们的差异和典型的使用场景:
术语 | 狭义 | 广义 | 典型使用场景 |
---|---|---|---|
信息安全 | 防止敏感信息的不当扩散,包括控制有毒有害信息(黄赌毒)、内部人为泄密等 | 安全体系架构“以信息为中心”理念的产物,泛指整个安全体系。 | 强调安全管理体系;强调信息及信息系统的保密性、完整性、可用性;强调内容合规;强调DLP(防止内部人为的信息泄露);强调对静态信息的保护(比如存储系统、光盘上的信息) |
网络安全 | 安全体系架构“以网络为中心”理念的产物,侧重于网络安全域、网络访问控制、防网络攻击等 | 安全体系架构“以网络为中心”理念的产物,泛指整个安全体系 | 强调网络边界和安全域;强调网络入侵防御;强调网络通信系统或传输安全;强调网络空间主权 |
数据安全 | 对保护数据本身为核心,包括加密、脱敏、防差分隐私分析等 | 安全体系架构“以数据为中心”理念的产物,泛指整个安全体系 | 强调全生命周期中的数据保护;强调数据作为生产力;强调数据主权或数据主体权利;强调长臂管辖权;强调隐私保护 |
通常,如无特定的语境或上下文关联,以上三个术语都使用广义的含义,泛指整个安全体系,但在特定的环境,也可能使用狭义。
有统计表明,全球数据量每两年翻一番,也就是说从现在开始,未来两年所产生的数据量将超过过去人类历史上的数据量的总和。随着大数据时代的到来,数据无疑成为各企业以及用户个人最重要的数字资产,数据安全与隐私保护将成为安全体系建设中的重中之重。
假设我们已经知道了数据安全应该做成什么样子,包括安全设计与开发(Security by Design)、安全配置与防御部署等,以及满足各项合规要求,但是这些要求并不会自发的落地到各产品/业务中去,还需要解决“怎么落地”、“怎么证明合规”的工程化问题。这部分内容请关注后续文章。
本文地址: https://www.janusec.com/articles/data/1580400151.html (转载请注明出处)