拒绝数据泄露，数据资产的“人口普查”不容忽视

数据时代的隐忧

数字化时代，我们享受着越来越便利的生活，但为此而让渡的部分个人信息，也正在凶猛地反噬。

前段时间，爱奇艺因超前点播被告上法院，在庭审中，爱奇艺曝光了原告的观影记录。这样的数据滥用，让人毫无安全感。上半年，中信银行把一个艺人的账户流水数据提供给其经纪公司，用作该公司与艺人打官司的证据材料。这样的数据违规共享，让人胆战心惊。同样是今年，微博因用户查询界面被恶意调用，泄露了5亿用户的注册手机、身份ID等信息。这样的数据泄露，让人怒不可遏。
数据安全，为什么难以治理？

上至国家下到大众，虽然一直都在强调合理合法采集数据，保护用户数据不被泄露，但似乎收效甚微。

因为在大数据时代，企业的业务发展离不开对大量数据的收集、共享与挖掘。比如电商平台会把你的数据共享给仓储和物流，让你从下单到收货无缝对接体验甚好。企业会把各个业务系统间的数据打通，并提供给相关的上下游环节，也会从外部买入更多数据。慢慢地，数据逐渐渗透到企业所有的业务环节，渗透到行业的整个生态链，渗透到全网。

在这种非常复杂的数据流动链路中，想要保护它，确实是非常困难的。企业对于自身到底拥有多少数据资产，以及数据流向是怎样的，可能都是未知的。比如去年9月时，多家大数据企业接连被查，有用户的地理位置等隐私数据被催贷公司用于暴力催收，公安机关追踪定位数据的泄露，拥有位置数据的源头厂商却无法交代把数据共享给了哪家大数据企业。保护数据安全的技术与产品比比皆是，但当企业看不见威胁在哪里，防御效果往往不尽人意。


看清数据是保护数据安全的前提

为此，只有先完成数据资产梳理、数据分类分级、敏感数据管理、数据风险发现等“前提性工作”，才有可能为数据安全治理体系的建设夯实基础。近日，数据安全厂商安华金和发布的一款新品——数据资产评估系统，定位于数据资产梳理、安全漏洞检测、安全风险评估三大核心价值，意在帮助企业用户走好数据安全治理的第一步。


据产品总监孙铮介绍，该系统的数据梳理功能可提供以下六项重点能力：

1. 对数据资产进行自动发现，并建立资产标签管理；
2. 定义敏感数据发现规则，创建敏感数据识别任务，系统化生成敏感数据分布清单；
3. 理顺活跃账号及敏感数据访问权限；
4. 辅助用户制定分类分级标准，并形成分类分级统计分析和分类分级目录清单；
5. 可视化呈现数据使用状态，包括热度分析、数据流向分析、访问员、访问行为分析；
6. 数据使用流向分析，让客户更加清晰、直观地掌握敏感数据的安全状态及相关信息。

安全漏洞检测方面，基于安华金和自身在数据库漏洞挖掘方面的技术和经验，将数据库漏洞检测能力融入该系统；通过对DMMS漏洞、低安全策略、缺省配置等数据库基本检测项，以及高危程序代码、权限宽泛、弱口令等数据库高级检测项的全面扫描，帮助企业及时发现数据库所存在的脆弱性问题，自主挖掘数据库漏洞，并为安全风险评估提供有效依据。

安全风险评估功能，则是结合数据资产梳理与安全漏洞检测结果，提供“资产价值评估、脆弱性评估、威胁评估”三项风险评估。其中资产价值评估针对资产的“机密性、完整性和可用性”三个基本安全属性来进行，事实上，数据资产的重要性也主要是由其在这三个基本安全属性上的达成度来决定的。脆弱性评估针对每一项需要保护的数据资产,识别其可能被威胁或利用的脆弱点所在，并对其脆弱性的严重程度进行评估；同时，根据对数据资产的损害程度、技术实现的难易程度以及弱点的流行程度，对脆弱性的严重程度进行等级赋值。威胁评估可识别并判断数据安全威胁的来源，对威胁动机、威胁能力进行赋值；结合安全威胁与风险预估清单，对被检查方的业务特点进行分析，并按照威胁来源判断出其发生的可能性。


与此同时，国家层面也在通过立法监管手段推进相关的工作。今年6月出台的《数据安全法》（草案）中，确立了数据分级分类管理以及风险评估的基本制度：

第十九条 国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护。各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。

第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。

当企业完成数据资产的全面盘点，再推进数据安全的体系建设，才能更好地达到预期的治理效果。最后，我们希望每个企业都能真正地把自己的数据资产、流动状态、风险态势掌握清楚。知道自己的数据有哪些，在被谁访问，如何使用，知道环境中是否存在安全隐患，然后针对不同角色在不同场景下的数据使用需求，在尽可能满足数据正常使用的目标下，完成相应的安全要求和安全工具的选择。围绕这样一个体系，建立企业对自身数据使用的管控能力，才能保障企业的数据安全，也才能保障每一个人的数据安全。