当前位置: 首页 > 科技观察

老赵谈安全系列:谈数据安全与隐私保护

时间:2023-03-20 18:04:42 科技观察

大家好,我是热爱安全的老赵。平时喜欢琢磨,不定规,典型的理科男。我一直很喜欢安全领域。前几年利用业余时间反汇编和反java破解了一些桌面软件。其实主要目的是反思我们作为SoftwareDeveloper,如何才能更好的保护我们的软件?直到2017年,我才开始全职从事安全职位。其实我也算是一个“老新人”了。喜欢和大家分享自己的学习和经验,也特别期待和同样热爱安全的朋友交流。前言本次的主题是“浅谈数据安全与隐私保护”。这是一个看似离我们很远,却时时刻刻发生在我们身边的问题。每年都会发生各种数据泄露的大事件。其中包括一些互联网巨头,涉及数百万或数千万的数据。本文的主要目的是介绍在2018年数据安全与隐私大会上的学习心得。从各个维度简要介绍目前业界公认的总体方案和思路。一来供大家参考,二来如果大家对这个话题感兴趣,欢迎大家一起讨论交流。正文和大多数人一样,我也遇到过诈骗电话,至今还记得从怀疑->紧张->心跳加速->差点坠入爱河->瞬间惊醒的难忘经历。也像我们大多数人一样,事情就这样过去了,就像从未发生过一样。直到和小伙伴一起参加了“2018第三届数据安全与隐私保护大会”,我才对数据安全与隐私有了更深的认识。如今,地球上的人们都面临着数据安全的挑战。如果宇宙中有外星人,相信他们也会为数据安全和隐私保护而头疼。总之,从个人到企业,数据安全和隐私保护都是非常非常大的,而且正在成为越来越大的挑战。以下是引用自“2018第三届数据安全与隐私保护大会”的数据图表:图1-全球企业数据安全问题报告图2-国内数据安全威胁报告什么是最有效的解决方案?答案只有一个——采用安全工程的方法,自上而下构建系统。1.从数据生命周期角度保护数据图3-数据生命周期2.建立自上而下的数据保护体系图4-自上而下的全面数据保护体系建立治理机制,明确角色和职责,有效管理和维护数据安全程序。根据综合数据安全风险评估确定的差距,加强所有支持性IT流程。采用涵盖所有三个领域(人员、流程、技术)的技术解决方案,以有效监控、预防和响应所有潜在的数据泄露。3、采用合适的数据安全保护技术4、数据安全能力评估采用相关数据安全和隐私保护方案后,如何评估安全保护效果和能力?《数据安全能力成熟度模型(DSMM)》就是为了解决这个问题而制定的。它定义了企业数据安全能力评估的国家标准。同时颁布了配套的《数据安全实施指南》,为企业实施数据安全和隐私保护提供操作参考。图5数据安全能力成熟度评估5.安全法规在全球范围内,世界各国充分认识到数据安全和隐私保护的重要性。如今,大多数国家和地区都颁布实施了隐私保护法规。目前最严格的法律就是欧盟的GDPR,大家一定要好好研究一下。下图列出了目前各个国家和地区的隐私保护法律法规:图6-全球个人信息保护的法律法规环境6.提高个人安全意识对于个人而言,最重要的是提高自身的安全意识。如果可能的话,建议多参加相关的安全意识培训和讲座,这样可以大大降低发生安全事件的可能性。例如:及时更新电脑补丁,及时更新防火墙和杀毒软件的病毒库,避免访问不可信的网站,懂得如何防范网络钓鱼、网络钓鱼和社会工程学等等。另一方面,你也要遵守计算机和互联网使用道德规范,你知道吗?任何具有以下目的的行为都是不可接受的和不道德的:试图获得对Internet资源的未授权访问以破坏Internet的正常使用这些行为会消耗资源(人员、容量、计算机)破坏基于计算机的信息的完整性并危及隐私的用户但我们从未听过这样一句话:“魔高一丈,道高一丈”,或许这就是我们真的没有办法完全避免数据安全威胁和隐私泄露的原因吧!但是,千万不要灰心,因为有无数的安全工作者一直在为此努力,相信我们的数据和隐私环境会越来越安全!