从生产安全体系视角看数据安全(3)

发布时间:2019-07-19 15:10 作者:全知科技来源: 点击:加载中...次

　　四、企业安全在网络空间中的安全需求映射

如何用物理生活中的安全体系来思考企业在网络空间中的安全需求呢？抛开企业财务安全这个点，我个人认为针对一个企业的网络空间安全可以按照如下的架构来设计：

　　4.1 计算机和网络基础安全

无论虚拟的网络空间人类行为如何复杂，支撑他们的物理基础还是计算机网络体系，这个体系可以给之上的资产、业务、生产、生态、社会都带来影响。因此这是一切的基础，这个基础核心是抛开其他层的视角，单纯以计算机和网络实现的各种基础安全能力(如协议安全、链路安全、身份认证)和底层基础系统的安全漏洞为核心。

　　4.2 网络空间下的企业资产安全

网络空间下，最重要的资产有企业业务经营的各类信息和相应的各类信息应用的业务系统、信息背后所代表的企业或企业客户实际和虚拟的资产或享有对等利益的权益(如账户余额、房屋产权、学分)。同时保障企业的业务信息系统的安全以更加外延的保护信息，以及企业对信息系统的使用和控制能力，以便为企业的生产和企业的客户提供服务。

信息安全关注信息不被非法的窃取，篡改，能有效的提供给合法业务和人员使用,并能证实其真实性和抗抵赖性。

信息系统安全围绕信息安全，关注对信息系统的可用性、可靠性、可控性。以保障信息系统可以按照企业的意图正确高效率无后顾之忧的为企业价值链实现提供服务。

　　4.3 网络空间下的企业业务安全

企业未来会越来越依赖互联网，将自己业务(为第三方提供产品和服务以及相关的商业过程)在线化，这将面临越来越多的网络空间下的业务安全问题。

在线业务风控：关注使用产品和服务的客户或商务过程的客户的行为和属性，分析其身份的真实性、行为的目的，判断其业务行为是符合企业商业预期，且不会利用非公平性手段获得利益，或利用获取的信息欺诈第三方。

IT交易环境安全，关注基于在线化的交易场景中，保证自己和与自己合法交易的对手在安全可靠的环境中，或能够识别不安全的环境与来自环境的恶意欺骗的信息或行为。如搜索引擎给官方网站打标。

大数据业务风险分析：即使业务行为在线下展开，如果有较多的线上数据，也可以针对具体的业务行为对象进行业务风险分析，不过这个容易牵涉隐私保护问题。

信息欺诈保护：对于潜在容易被欺诈欺骗的客户和场景，需要做好相关的提醒，以及对相关的业务信息做好保护，同时和国家相关部门配合，打击相关的团伙。

　　4.4 网络空间下的企业生产安全

几种场景已经开始让生产安全进入到网络空间的视野：传统企业的生产过程逐步IT化，IT系统之间的生产流程化(SOA)，数据作为新能源的业务化。

传统生产的生产过程IT化：典型的如工控安全，站在攻防视角是资产安全，站在安全生产管理则是生产安全视角，关注操作的

IT系统之间的生产流程化(SOA)：上下游系统成为一种产出依赖，如数据服务、技术能力输出服务、管理节点，每个节点的问题，都会带来生产安全问题。

云计算、云SAAS服务，让我们越来越多的需要把在线的业务系统和数据放在第三方的不可控的环境中运营，一方面是一个生态安全管理问题，但更多时候公司的不对等性让企业没有更好的选择，就演变成一个需要在高危环境中保护企业生产安全的问题。不止是资产安全视角的数据加密问题，而且要保证在非安全环境上可以继续安全的生产和运营。

数据作为新能源，围绕数据本身就包含了很多生产的过程。比较大的需求场景有：

数据包含了敏感性要素，可能包括人的标识信息、国家安全的信息，因此数据在价值挖掘使用和发布的场景中可能会给个人、第三方和国家带来危害和损失，因此对隐私和重要数据的处理、使用、操作、发布、交换等生产流通环节都有安全与合规的要求。

数据需要多方的多维度融合才能创造价值，但往往每方都有自己数据的产权保护、个人数据和重要数据的合规责任，因此需要能发现更安全的多方数据融合的环境下，即能产出数据的价值，也降低数据泄露给其他方带来的安全风险。

数据本身作为一个业务的产出，成为各个系统之间(多个工艺环节)的加工链条，数据本身的质量问题和合规风险，会传递给下一个环节，可能触发后续环节的数据质量损失事件或隐私侵犯事件、国家信息安全泄露事件。因此需要对数据生产的每个环节的产出进行相应安全控制。

　　4.5 网络空间下的企业生态安全

最早谈的供应链安全，是企业生态安全的一部分，但是往往忽视了在网络空间下，合作伙伴还有更大的一重风险，是信息和数据在生态的流动安全。

供应链安全：合作伙伴交付的IT产品，提供的IT服务如数据服务、IT能力服务、SDK、IT产品，可能存在较大的安全问题(如后门)、对安全问题响应的能力问题。

信息和数据在生态的流动安全：一方面，传统的供应链本身就能获得很多企业的信息，业务的在线化加深了企业向供应链服务厂商提供的商业信息和数据问题，比如做APP加固服务的可以拿到很多企业的用户信息。比如某大厂提供过一个电话号码小号识别服务(很多业务的黑灰产会购买专门用于黑灰产的电话号码来作案避免溯源时溯源到真实身份，网络上会有人专门收集购买和收集一些号码来提供小号服务)，一些厂商的业务风控缺乏大厂这样的能力，会使用大厂的服务，来鉴别自己业务中的客户的电话号码是否小号来做业务风控，但这样，大厂就能清楚知道这些小厂的新增客户情况包括具体的客户，如果大厂把这些数据卖给竟对或者广告公司，就带来了生态安全问题。另一方面，业务协作生态在线化：比如淘宝下单，物流派送，让企业之间的数据必须打通。使得企业和供应链厂商之间，存在大量的信息和数据流动，这些都带来了安全和合规的挑战。但目前认识到这些问题的企业并不太多(国外我听说过一些大银行的供应链安全核心是梳理数据流向问题)

　　4.6 网络空间下的企业社会安全

对于互联网社交和平台属性的企业，客户产生的内容，客户在平台上的行为，可能都会带来社会安全问题，同时一些传统行业的企业业务在线化后，如果提供了客户内容生产或交易平台，也会带来这些社会安全问题，当然企业品牌在网络空间上的传播，也是一个社会安全问题。

内容安全：客户提交的可以呈现给大众的信息内容，需要保证符合相关的法律法规。

平台安全：客户在平台上的行为，如售卖假货、毒品，发起赌博，需要对这些行为进行管理和控制。

企业品牌网络空间传播安全：恶意的竟对，恶意的人员，可能利用网络空间发起恶意的舆论攻击，比如某些做空公司，通过舆论影响企业声誉达到做空牟利。

(责任编辑：安博涛)