吳云坤認為,談到數(shù)據(jù)安全��,目前網(wǎng)絡安全服務廠商的四個觀念亟待轉變:
首先����,安全已由以往的僅僅需要合規(guī),轉換成為需要合法��。安全廠商需要轉換意識�����,對于網(wǎng)絡安全建設的需求與要求已提升到了法律層面�。在某些情況下,如違反法律法規(guī)�,將會面臨刑事責任。
其次�����,安全與信息化的關系已由先發(fā)展后治理����,轉變成為先治理�、同步發(fā)展����。今年7月以來,國家密集出臺多項法律法規(guī)�����、政策制度和監(jiān)管手段�����,可以看出國家思路已成為首先要進行安全治理���,同步進行信息化系統(tǒng)的規(guī)劃����、建設和運營安全體系����。
此外,服務商的方法論應采用內生安全理念����,將安全理念融合到技術、框架���、系統(tǒng)級的規(guī)劃中去���。以往服務商的技術多為查缺補漏,看到有漏洞的再進行修復����,這種方式已經(jīng)落后了。現(xiàn)在對于網(wǎng)絡安全的需求已變?yōu)?,網(wǎng)絡安全與系統(tǒng)同步規(guī)劃、同步建設�、同步運行,將安全內涵拆解�����,融入到技術中去�。
最后,網(wǎng)絡安全服務廠商應由以往的旁觀者����,變?yōu)閰⑴c者與先導者。由于以往對于網(wǎng)絡安全的需求有限,但目前網(wǎng)絡安全已融入到系統(tǒng)中的方方面面�����,廠商的安全責任應從以往的有限責任制�,轉變?yōu)闊o限責任制。
吳云坤通過奇安信經(jīng)手的四個案例�����,分享了目前行業(yè)面臨的四項技術變化難點:
第一大難點在于數(shù)據(jù)管理滯后于技術發(fā)展�。在奇安信接手的一家央企案例中,最大難題不是技術���,而是數(shù)據(jù)無確定部門管理�。但這并非個例����,也非特例,有很多大型公司面臨數(shù)據(jù)管理組織沒統(tǒng)一��、權限未建立���、策略不清楚等問題���。在進一步落實安全技術之前����,應管理先行�����、落實權限��、構建數(shù)據(jù)管理機制��。
第二����,如何根據(jù)不同實體建立數(shù)據(jù)訪問權限�。在奇安信參與的多個部門的數(shù)據(jù)安全治理中發(fā)現(xiàn),最大問題不是數(shù)據(jù)泄露��、外部攻擊等�����,而在于如何為數(shù)據(jù)分權限����。以往的分權基于角色綁定應用��,但現(xiàn)在數(shù)據(jù)不斷流轉���,如何進行訪問控制、與不用數(shù)據(jù)實體建立關系將是難題��。
第三�����,隨著數(shù)據(jù)的不斷流轉�,如何進行數(shù)據(jù)監(jiān)管。在過去的技術設置中���,是從外面看內部數(shù)據(jù)存不存在威脅���。但目前數(shù)據(jù)不斷流轉,不存在具體邊界�,原有技術已不適用。因此奇安信為監(jiān)管機構提供的最新思路為����,自證清白+數(shù)據(jù)監(jiān)管——設置數(shù)據(jù)安全保護機制��,將數(shù)據(jù)交給監(jiān)管機構����。將從外面看威脅��,轉變成為從內部看�。
最后�����,只采用技術防護不能確定背后的利益鏈條����,從根本解決問題。因此奇安信目前同時在電子取證�、司法取證等方面積極布局,挖出利益鏈條���,從源頭解決防護難題���。
據(jù)悉,2021(第十六屆)中國電子政務論壇暨首屆數(shù)字政府建設峰會定于11月26日至27日在廣州市舉辦����。大會由中共中央黨校(國家行政學院)和廣東省人民政府共同主辦�,以“建設數(shù)字政府 加快數(shù)字化發(fā)展”為主題��,圍繞啟迪思想��、匯聚智慧�、凝聚共識,打造全國數(shù)字政府領域高層次的專題交流合作平臺����。
