“新基建”漸熱 數(shù)據(jù)安全是所有企業(yè)必須直面的挑戰(zhàn)

隨著“新基建”的走熱，5G、人工智能、工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)被寄予厚望，有望迎來(lái)質(zhì)的發(fā)展。隨著這些產(chǎn)業(yè)發(fā)展，數(shù)據(jù)安全成為了所有企業(yè)必須直面的挑戰(zhàn)。

據(jù)安全企業(yè)Risk Based Security統(tǒng)計(jì)，2019年上半年，全球發(fā)生3813起數(shù)據(jù)泄露事件，被公開(kāi)的數(shù)據(jù)達(dá)41億條。各行業(yè)正在遭受高頻次數(shù)據(jù)泄露安全事件困擾，無(wú)論是科技巨頭還是傳統(tǒng)廠商，一旦發(fā)生數(shù)據(jù)泄露，都會(huì)遭受巨大的損失。

而世界通信行業(yè)巨頭威瑞森公司曾在一份報(bào)告中指出，近四分之一的數(shù)據(jù)泄露是由于企業(yè)內(nèi)部人員操作不當(dāng)或主動(dòng)泄露造成的。究竟該如何做好數(shù)據(jù)防護(hù)、管理員工權(quán)限，防止類(lèi)似事情再次發(fā)生呢?近日，中新網(wǎng)記者采訪了騰訊安全云業(yè)務(wù)安全負(fù)責(zé)人周斌。

企業(yè)安全權(quán)限漏洞多

周斌稱(chēng)，目前很多企業(yè)權(quán)限設(shè)置不當(dāng)，也存在安全漏洞，很多的場(chǎng)景下，為了先讓業(yè)務(wù)運(yùn)行，企業(yè)往往是業(yè)務(wù)先跑起來(lái)，但是隨著整個(gè)業(yè)務(wù)的推進(jìn)，積累的歷史風(fēng)險(xiǎn)也就越來(lái)越多。

“另外，很多企業(yè)里面都能碰到這種情況，某員工權(quán)限過(guò)低，不好開(kāi)展工作;權(quán)限過(guò)高又有風(fēng)險(xiǎn)。”周斌稱(chēng)，企業(yè)對(duì)此一般采取臨時(shí)授權(quán)，而臨時(shí)授權(quán)帶來(lái)的風(fēng)險(xiǎn)是很多企業(yè)開(kāi)啟權(quán)限就忘記關(guān)，從此該員工擁有了一個(gè)特權(quán)賬號(hào)，卻沒(méi)有被針對(duì)性管理。

周斌還表示，隨著云時(shí)代的到來(lái)，云上體系和原來(lái)體系怎么打通?現(xiàn)在還有很多企業(yè)員工隨時(shí)隨地辦公，不一定在企業(yè)局域網(wǎng)里面，身份體系怎么管理?很多企業(yè)在調(diào)整和適配過(guò)程中可能就出現(xiàn)臨時(shí)授權(quán)或權(quán)限越權(quán)事件。

“越大型企業(yè)，這個(gè)情況越突出，它越不靈活。所以越大型企業(yè)越要警惕數(shù)據(jù)丟失或越權(quán)這樣的事情。”

企業(yè)該如何預(yù)防?

那企業(yè)如何預(yù)防類(lèi)似權(quán)限漏洞導(dǎo)致的安全風(fēng)險(xiǎn)呢?目前業(yè)內(nèi)普遍認(rèn)為數(shù)據(jù)安全七分靠管三分靠治，保障企業(yè)數(shù)據(jù)安全不僅需要完善整體管理體系，還要建立一個(gè)可有效落實(shí)管理制度的安全產(chǎn)品體系。

首先，企業(yè)要梳理數(shù)據(jù)的整體風(fēng)險(xiǎn)。隨著《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度》、《數(shù)據(jù)安全管理辦法》等法規(guī)的陸續(xù)出臺(tái)及完善，合規(guī)是企業(yè)首先要做的。其次，好的策略需要好的工具才可以有效地落地執(zhí)行。

最后就是對(duì)外部、內(nèi)部、大數(shù)據(jù)等不同場(chǎng)景針對(duì)性地構(gòu)建一體防護(hù)方案。例如采用身份認(rèn)證，數(shù)據(jù)庫(kù)審計(jì)，加密網(wǎng)關(guān)等保護(hù)核心數(shù)據(jù)不受外部攻擊的威脅。

周斌稱(chēng)，要配合數(shù)據(jù)安全系統(tǒng)對(duì)數(shù)據(jù)泄露進(jìn)行更好的管理和防范，首先就是權(quán)限配置，很多人認(rèn)為，部署了一套安全系統(tǒng)，是不是就已經(jīng)能防護(hù)住了?結(jié)論是不一定，因?yàn)橄到y(tǒng)權(quán)限不一定配置妥當(dāng)，比如某員工擁有了不該有的權(quán)限。

“權(quán)限配置好了，還有權(quán)限隔離問(wèn)題，很多大企業(yè)都是多個(gè)核心系統(tǒng)，某員工可能只有一個(gè)核心系統(tǒng)的高級(jí)權(quán)限，如果不做權(quán)限隔離，可能涉及到其他核心系統(tǒng)權(quán)限。”

另外，周斌稱(chēng)，員工不在公司內(nèi)，通過(guò)公用網(wǎng)絡(luò)接入，企業(yè)還要考慮申請(qǐng)登錄的“員工”是不是本人。因?yàn)檫@個(gè)賬號(hào)、密碼有可能是被別人利用了，這個(gè)環(huán)節(jié)要有一個(gè)權(quán)限審計(jì)模塊，去審計(jì)這一次的行為是不是高危行為。另外，還可設(shè)置可信終端等預(yù)防遠(yuǎn)程登錄不是本人操作。

周斌稱(chēng)，做好了權(quán)限配置，還要做好容災(zāi)，容災(zāi)是指當(dāng)數(shù)據(jù)發(fā)生風(fēng)險(xiǎn)以后，怎么快速恢復(fù)，這就涉及到備份，不管你數(shù)據(jù)是在云上還是本地，都要考慮容災(zāi)和備份能力。

“企業(yè)數(shù)據(jù)備一份，出問(wèn)題時(shí)丟失概率是100%，丟了能不能找回全靠運(yùn)氣;做兩份，數(shù)據(jù)丟失概率就已經(jīng)非常小了;三份我們認(rèn)為在99.9%的情況下，你的數(shù)據(jù)已經(jīng)不會(huì)丟失了。”

不過(guò)備份越多，經(jīng)濟(jì)成本越高。周斌稱(chēng)，如果沒(méi)有備份，或者說(shuō)備份機(jī)制不完善，這都是隱藏的風(fēng)險(xiǎn)。

目前企業(yè)最需要做什么?

目前對(duì)企業(yè)來(lái)說(shuō)，周斌稱(chēng)，做好了權(quán)限防護(hù)，后續(xù)還要做權(quán)限維護(hù)，原來(lái)做權(quán)限維護(hù)就是定期梳理各種權(quán)限，但現(xiàn)在對(duì)很對(duì)大企業(yè)來(lái)說(shuō)，幾乎不可能了。

“首先梳理就不可能，涉及數(shù)據(jù)太多，有的企業(yè)員工和客戶(hù)數(shù)據(jù)都放一塊，千絲萬(wàn)縷;就算你梳理完了，將來(lái)可維護(hù)性也幾乎為零，因?yàn)椴豢赡苜M(fèi)了三、五個(gè)月梳理，隨著數(shù)據(jù)的增加，過(guò)個(gè)一年半載又要梳理，這完全不可以持續(xù)。”

周斌稱(chēng)，唯一的辦法就是權(quán)限統(tǒng)一集中在一個(gè)平臺(tái)中去處理，企業(yè)必須要有統(tǒng)一的權(quán)限梳理模塊，并且能夠把各種業(yè)務(wù)系統(tǒng)或運(yùn)營(yíng)系統(tǒng)對(duì)接到身份管理中心，一次性做完，類(lèi)似企業(yè)身份平臺(tái)這樣一個(gè)概念，也便于審計(jì)跟管理。

周斌稱(chēng)，“這方面騰訊安全目前有身份安全管控平臺(tái)這種產(chǎn)品，面向政府、廣電、交通、旅游等行業(yè)，我們已經(jīng)擁有了數(shù)千萬(wàn)的用戶(hù)和穩(wěn)定超過(guò)兩年的穩(wěn)定運(yùn)營(yíng)的經(jīng)驗(yàn)，未來(lái)要做的是讓這種身份安全管控平臺(tái)更好的服務(wù)更多企業(yè)。”