淺析數據安全防護

本文介紹了數據安全防護的背景、所面臨的問題以及對應的策略，并介紹銳捷產品在數據安全方面的解決方案。

#安全

發布時間：2022-09-13
點擊量：
點贊：

分享至

我想評論

1 數據安全防護的背景

數據安全防護，是指通過采取必要措施確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。數據安全應保證數據生產、存儲、傳輸、訪問、使用、銷毀、公開等全過程的安全，并保證數據處理過程的保密性、完整性、可用性。

隨著信息與通訊技術的飛速發展，大數據早已滲透到各行各業，推動全球數字經濟蓬勃發展。“萬物互聯”時代下，每年入網設備數量在不斷增長，隨之產生的數據量也以超乎想象的速度呈指數量級增長。IDC Global DataSphere（2022）指出，2021年，全球數據規模達到了空前的84.5 ZB，預計到2026年，全球數據規模總量有望達到221.2 ZB。數字經濟帶來的發展機遇促使數據成為驅動經濟發展的第五大生產要素。

然而，數據經濟高速發展也伴隨著諸多數據安全防護問題。近年來，全球數據安全威脅呈現多樣化趨勢，各類數據泄露、網絡攻擊、惡意軟件、數據販賣等問題層出不窮，極大危害到網絡安全和企業利益。“沒有網絡安全就沒有國家安全”，數據安全防護是網絡安全的基礎，是國家安全的重要部分，數據安全防護問題在全球范圍內引起了廣泛關注。

2 數據安全防護面臨的問題

近年來，由數據泄露引發的網絡安全問題已經成為主要的網絡安全危害之一。ForgeRock在《2022 ForgeRock Consumer Identity Breach Report》中指出：2021年，全球有大約20億條消費者信息（包括用戶名和密碼）泄露，比2020年增加了35%。IBM的《Cost of a Data Breach Report 2022》報告也顯示：2022年全球數據泄露的平均成本達到435萬美元，較2021年同期上漲了12.7%，數據泄露規模和數據泄露平均成本均創歷史新高。超過83%的受訪企業表示他們經歷過不止一次的數據泄露問題。此外，該報告還指出：醫療行業連續12年都是數據泄露成本較高的行業，而且還在快速增長中。2022年醫療行業因數據泄露產生的平均違規成本較2021年增加了近100萬美元，達到創紀錄的1010萬美元。

除此之外，信息技術的快速發展，催生出許多新型高級的網絡攻擊手段，使得傳統的檢測、防御技術暴露出嚴重不足，無法有效抵御外界的入侵攻擊。網絡安全解決方案提供商Check Point的報告顯示：2022年第二季度全球網絡攻擊創歷史新高，較2021年同期增長了32%，全球的每個機構平均每周遭遇的攻擊次數可高達到1200次。即使有傳統的防火墻、網絡防病毒等被動的數據安全防護手段，仍有超過80%的設備至少遭受過一次網絡攻擊。不斷攀升的數據安全防護問題已成為當今全球網絡安全的核心關注點，阻礙著數字經濟的穩步發展。

3 數據安全防護的策略

為應對層出不窮的數據安全防護問題，全球諸多政府、企業和網絡安全專家都在積極應對并實施全方位的數據安全防護策略。

3.1 政策層面的數據安全防護策略

美國是全球最先啟動大數據戰略的國家，并將其上升到國家戰略層面，制定了一系列政策體系來確保數據安全，歐盟為確保能夠成為數據時代的領航者，在數據安全防護方面構建了完善的法律框架，提升數據安全防護的透明度，通過構建“泛歐數據市場”實現其數據戰略。近年來，我國相繼出臺多部數據安全防護相關的法案，包括《中華人民共和國網絡安全法》、《中華人民共和國密碼法》、《中華人民共和國數據安全保護法》和《中華人民共和國個人信息保護法》等，極大完善了在數據安全層面的法規制度和標準體系，對政府數據、企業商業秘密和個人信息的保護起到了決定性的作用。

3.2 技術層面的數據安全防護策略

3.2.1 防火墻技術

防火墻是安全系統中的初始安全層，部署在網絡邊界，對進出網絡邊界的數據進行防護，防止未經授權的用戶或信息進入內部網絡，保證了網絡數據的安全。防火墻技術是一種有效的網絡安全機制，防火墻產品內置的防火墻技術可對內部網絡進行劃分，實現內部網絡網段隔離，防止局部的網絡安全問題對全局網絡產生影響，并且保障網段獨立，免受內部網段攻擊，起到數據安全防護作用。

隨著信息化安全問題日益復雜，傳統的基于端口進行應用識別和訪問控制的防火墻技術已遠遠無法滿足新形勢下的數據安全防護需求。大量網絡安全功能的內置以及安全產品自動集成化，促使下一代防火墻朝著網絡安全平臺的方向發展。銳捷網絡順應數據安全防護需求的變化，推出了銳捷網絡新一代Z系列防火墻。該系列防火墻產品內置了IPS（Intrusion Prevention System，入侵檢測系統）特征庫，在設備收到數據報文時，把該報文的方向、源地址、目的地址、協議等信息和用戶配置的安全策略匹配，決定是否建立數據流以及通過的數據類型、數據進出的位置等信息。在用戶未配置安全策略的情況下，銳捷防火墻系統會默認一條全any禁止的策略，禁止所有數據包通過設備。另外，該系列防火墻產品會對經過的流量進行實時的深度檢測，識別流量中隱藏的惡意信息，實現實時告警、阻斷，確保用戶數據不受威脅，起到數據安全防護的作用。

圖3-1 RG-WALL 1600-Z5100新一代Z系列企業級防火墻

3.2.2 多因素認證技術

MFA（Multi-factor authentication，多重要素驗證），又稱為多因子認證、多因素驗證、多因素認證，是一種設備訪問控制的方法，用戶要通過多種認證機制，才能得到授權訪問某資源，如應用程序、在線賬戶、VPN（Virtual Private Network，虛擬專用網絡）等。MFA是IAM（Identity and Access Management，身份識別與訪問管理）策略的核心組成部分，其主要的優勢是限制驗證因素不僅僅是用戶名和密碼，還需要額外的驗證因素，如指紋、授權碼等，這極大程度上降低了數據泄露的風險，起到數據安全防護作用。

銳捷網絡的RG-SMP+安全管理平臺是銳捷新一代的終端安全智能準入與身份安全智能準入平臺。利用多因素認證技術，在802.1x認證、Web認證、短信認證等傳統認證方式基礎上，引入Oauth實名認證、二維碼認證、授權碼認證、免認證等方式，同時還增加了直接與設備之間采用SNMP（Simple Network Management Protocol，簡單網絡管理協議）或Telnet等技術下發準入控制命令，實現對用戶數據安全進行實時防護。

圖3-2 RG-SMP+安全管理平臺

3.2.3 敏感數據脫敏技術

敏感數據又稱為個人隱私數據，常見的敏感數據有姓名、身份證號、銀行賬號、醫療信息等。這類與個人生活、工作息息相關的數據受到不同層次的數據隱私法規的管制，如果無法保障這類數據的隱私性，企業或政府在用戶信任方面將會受到極大的質疑。

數據脫敏技術是敏感數據安全防護的一個重要舉措。數據脫敏，即數據去隱私化，是指通過既定的脫敏規則和脫敏策略，對某些敏感信息進行數據的轉換或修改，實現敏感隱私數據安全防護的一種技術手段。數據脫敏可適用于絕大部分需要與非生產用戶共享機密或受監管的數據的情況，這類用戶可能包括企業內部員工、外部業務合作伙伴等。數據脫敏技術可分為兩種：

●SDM（Static Data Masking，靜態數據脫敏）

SDM技術通過創建數據副本進行數據脫敏后分發至指定用戶，使脫敏后的數據與生產環境隔離，在滿足業務需求的同時起到了數據安全防護的作用。

●DDM（Dynamic Data Masking，動態數據脫敏）

DDM技術主要在生產環境中就對敏感數據進行實時脫敏，并且需要根據不同的需求進行不同程度的脫敏。數據脫敏過程中可能涉及對數據進行加密、加擾、剔除、賦隨機值等方式進行敏感數據安全防護，確保數據在傳輸使用過程中的隱私安全性。

近年來，我國致力于科教興國戰略的部署促使信息技術在高校中得到充分的使用，高校校園網的建設將零散的資源進行整合和共享，打破資源地理劃分上的限制，解決信息孤島問題。需要注意的是，在高校智慧校園建設中存在大量的敏感數據，涉及高校人員的姓名、身份證號碼、賬戶密碼等，這類敏感數據在傳播過程中就需要對其進行數據脫敏，保障用戶個人隱私安全。銳捷網絡在高校智慧校園建設方面建樹頗豐，旗下智慧校園產業的底層核心平臺——智慧身份認證平臺（RG-Source ID），集成各種人員管理、多種身份認證、多入口單點登錄、身份標簽管理等場景功能，直擊當下敏感數據安全痛點，內置可視化全動態數據脫敏加密工具，針對不同的用戶需求實現不同程度的脫敏配置，并且不破壞底層數據間的關系，實現敏感數據安全防護功效。

4 結論

綜上所述，面對日新月異的技術變化，在國家政策和個人權益的雙重驅動下，數據安全防護的重要性不容忽視。數據安全防護技術在快速迭代的同時，其發展趨勢也在合規的基礎上，進行多因素融合，將數據安全防護落實到產品、業務與服務。新興科技賦能數據安全，助力全生命周期的數據安全防護體系的建立，保障國家與企業的數字化轉型，實現數據安全持續、有效的防護。

5 參考文獻

●《網絡攻擊趨勢：2022年年中報告》2022：Check Point

●《Worldwide IDC Global DataSphere Forecast, 2022-2026》2022:IDC

●《Cost of a Data Breach Report 2022》2022: IBM

●《2022 ForgeRock Consumer Identity Breach Report》2022: ForgeRock

●《數據安全治理白皮書 4.0》2022：中關村網絡安全與信息化產業聯盟，數據安全治理專業委員會

相關標簽：