為加強(qiáng)產(chǎn)業(yè)各方數(shù)字化轉(zhuǎn)型發(fā)展實(shí)踐經(jīng)驗(yàn)的交流分享,探索和研究支付產(chǎn)業(yè)數(shù)字化發(fā)展的現(xiàn)狀、趨勢(shì)和存在的問(wèn)題,促進(jìn)數(shù)字技術(shù)在支付產(chǎn)業(yè)的發(fā)展應(yīng)用,進(jìn)一步幫助會(huì)員單位有效把握數(shù)字科技發(fā)展機(jī)遇,提升數(shù)字化發(fā)展能力,中國(guó)支付清算協(xié)會(huì)金融科技專(zhuān)委會(huì)于2021年7月29日和30日召開(kāi)支付產(chǎn)業(yè)數(shù)字化發(fā)展線(xiàn)上培訓(xùn)班。培訓(xùn)班上,通付盾專(zhuān)家就“數(shù)字安全技術(shù)與信息安全保護(hù)”主題同與會(huì)嘉賓進(jìn)行了探討。
以下是通付盾專(zhuān)家分享的內(nèi)容:
01數(shù)字安全、信息安全保護(hù)的主線(xiàn)
數(shù)據(jù)也有生命,生命就有周期。我們一般將數(shù)據(jù)的生命周期分為采集、存儲(chǔ)、傳輸、使用、共享、銷(xiāo)毀6個(gè)階段。因此,提出了以“數(shù)據(jù)生命周期管理”為數(shù)據(jù)安全保護(hù)的主線(xiàn),依照這個(gè)主線(xiàn)分不同階段來(lái)分析安全需求,通過(guò)滿(mǎn)足不同的安全訴求來(lái)實(shí)現(xiàn)數(shù)據(jù)和信息的安全保護(hù)。在整個(gè)生命周期中,我們提出要對(duì)數(shù)據(jù)實(shí)現(xiàn)“可發(fā)現(xiàn)”、“可監(jiān)控”、“可防護(hù)”、“可管理”的管理思路。通過(guò)對(duì)數(shù)據(jù)全生命周期的可發(fā)現(xiàn)、可監(jiān)控、可防護(hù)、可管理來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全。并且讓數(shù)據(jù)安全保護(hù)從單一防護(hù)、打補(bǔ)丁方式的被動(dòng)防護(hù)全面提升為系統(tǒng)規(guī)劃、整體協(xié)防的主動(dòng)保護(hù)。
02數(shù)據(jù)生命周期各個(gè)階段的技術(shù)訴求
數(shù)據(jù)生命周期內(nèi),各個(gè)不同的階段,由于其不同應(yīng)用場(chǎng)景,因此有著不同的技術(shù)訴求。
數(shù)據(jù)銷(xiāo)毀階段的安全訴求相對(duì)簡(jiǎn)單,需求是與數(shù)據(jù)存儲(chǔ)相反,主要是對(duì)數(shù)據(jù)的存儲(chǔ)物理設(shè)備進(jìn)行徹底的、物理的損壞即可。目前主要用的就是硬盤(pán)消磁技術(shù)。
在其他5個(gè)階段中,匯總統(tǒng)計(jì)可以看到,身份認(rèn)證、權(quán)限控制、加密技術(shù)、日志審計(jì)、數(shù)據(jù)脫敏/水印、攻擊防護(hù)是數(shù)據(jù)安全的主要技術(shù)訴求。
03數(shù)據(jù)安全技術(shù)的關(guān)鍵領(lǐng)域
一、身份認(rèn)證與訪(fǎng)問(wèn)管理(IAM)
隨著數(shù)據(jù)系統(tǒng)發(fā)展及內(nèi)部用戶(hù)的增加,一方面系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)增加,工作效率無(wú)法提高;另一方面無(wú)法對(duì)各個(gè)數(shù)據(jù)系統(tǒng)實(shí)現(xiàn)統(tǒng)一的安全策略,從而在實(shí)質(zhì)上降低了數(shù)據(jù)系統(tǒng)的安全性。因此需要根據(jù)現(xiàn)狀,研究集中統(tǒng)一的安全管理技術(shù)和平臺(tái),使得系統(tǒng)和安全管理人員可以對(duì)用戶(hù)和各種業(yè)務(wù)應(yīng)用系統(tǒng)資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì),從技術(shù)上保證數(shù)據(jù)安全策略的實(shí)施。
二、加密技術(shù)
數(shù)據(jù)加密技術(shù)是保護(hù)數(shù)據(jù)安全的關(guān)鍵技術(shù)手段。
在數(shù)據(jù)生命周期的存儲(chǔ)、傳輸、交換階段都需要加密技術(shù)來(lái)保護(hù)數(shù)據(jù)安全。
三、數(shù)據(jù)脫敏/水印
數(shù)據(jù)保密性和可用性在數(shù)據(jù)處理階段和數(shù)據(jù)交換階段實(shí)際上是一對(duì)矛盾體,相互制約。哪些數(shù)據(jù)字段需要加強(qiáng)保密?哪些字段會(huì)暴露更多信息?屏蔽多少信息可以達(dá)到安全?這些問(wèn)題一直困擾著數(shù)據(jù)安全的管理者。如何平衡兩者之間的關(guān)系成為一個(gè)很關(guān)鍵的問(wèn)題,由此也就產(chǎn)生了數(shù)據(jù)脫敏技術(shù)和水印技術(shù)。
四、攻擊防護(hù)
互聯(lián)網(wǎng)浪潮下,各行各業(yè)積極進(jìn)行數(shù)字化轉(zhuǎn)型,利用網(wǎng)絡(luò)平臺(tái)進(jìn)行企業(yè)宣傳、產(chǎn)品介紹、政務(wù)公開(kāi)以及在線(xiàn)服務(wù)等,新的業(yè)務(wù)模式給企業(yè)、單位帶來(lái)效益的同時(shí),也面臨數(shù)據(jù)被惡意盜取的風(fēng)險(xiǎn)。惡意爬蟲(chóng)與資源攻擊消耗大量計(jì)算資源和帶寬的特性,將導(dǎo)致服務(wù)器的計(jì)算資源無(wú)端被消耗和占用,影響公眾用戶(hù)的正常訪(fǎng)問(wèn),甚至造成數(shù)據(jù)系統(tǒng)大面積阻塞或徹底癱瘓。攻擊者獲取服務(wù)器的權(quán)限,就可以利用惡意代碼對(duì)網(wǎng)站進(jìn)行相關(guān)數(shù)據(jù)的篡改或者數(shù)據(jù)被盜取。
但是傳統(tǒng)基于策略配置、特征庫(kù)匹配的被動(dòng)式應(yīng)用防火墻已經(jīng)難以防范新威脅,在數(shù)據(jù)即資產(chǎn)、內(nèi)容即價(jià)值的時(shí)代,如何防范暴露在公網(wǎng)的數(shù)據(jù)不被非授權(quán)爬取與惡意攻擊也成為各行業(yè)保障數(shù)據(jù)資產(chǎn)安全的一項(xiàng)重要課題。
業(yè)內(nèi)一些專(zhuān)業(yè)廠(chǎng)家開(kāi)始研發(fā)新一代的基于動(dòng)態(tài)加密技術(shù)和AI智能決策的安全防護(hù)系統(tǒng)。通過(guò)這個(gè)系統(tǒng),正常訪(fǎng)問(wèn)可以利用動(dòng)態(tài)加密技術(shù)實(shí)現(xiàn)安全加固。而非法的訪(fǎng)問(wèn),比如爬蟲(chóng),業(yè)務(wù)攻擊,漏洞攻擊等等就能夠被AI識(shí)別并攔截,保護(hù)核心數(shù)據(jù)資產(chǎn)。
五、數(shù)據(jù)安全管理的技術(shù)
04新形勢(shì)下數(shù)據(jù)安全的典型產(chǎn)品
以上是通付盾專(zhuān)家對(duì)《數(shù)據(jù)安全技術(shù)與信息安全保護(hù)》主題的分享,希望能夠?qū)Υ蠹矣兴鶐椭?/p>
關(guān)于通付盾
通付盾創(chuàng)立于2011年,是一家以數(shù)字身份識(shí)別為核心的新一代數(shù)字化技術(shù)服務(wù)商,為政府、軍工、能源、金融、運(yùn)營(yíng)商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)用戶(hù),提供基于無(wú)邊界、零信任、自適應(yīng)的“云、端、信”一體化數(shù)字技術(shù)產(chǎn)品與服務(wù)。公司全資控股子公司有北京通付盾人工智能技術(shù)有限公司、江蘇通付盾區(qū)塊鏈科技有限公司、江蘇通付盾信息安全技術(shù)有限公司、江蘇通付盾信創(chuàng)技術(shù)有限公司、深圳市前海通付盾科技有限公司。通付盾為國(guó)家高新技術(shù)企業(yè)、雙軟認(rèn)證企業(yè)、AAA級(jí)信用企業(yè)、并通過(guò)了ISO27001、ISO9001、ISO20000、CMMI、ITSS等系列認(rèn)證。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )