(文章来源:中国新闻网)
随着“新基建”的走热,5G、人工智能、工业互联网等产业被寄予厚望,有望迎来质的发展。随着这些产业发展,数据安全成为了所有企业必须直面的挑战。据安全企业Risk Based Security统计,2019年上半年,全球发生3813起数据泄露事件,被公开的数据达41亿条。各行业正在遭受高频次数据泄露安全事件困扰,无论是科技巨头还是传统厂商,一旦发生数据泄露,都会遭受巨大的损失。
而世界通信行业巨头威瑞森公司曾在一份报告中指出,近四分之一的数据泄露是由于企业内部人员 *** 作不当或主动泄露造成的。究竟该如何做好数据防护、管理员工权限,防止类似事情再次发生呢?近日,中新网记者采访了腾讯安全云业务安全负责人周斌。
周斌称,目前很多企业权限设置不当,也存在安全漏洞,很多的场景下,为了先让业务运行,企业往往是业务先跑起来,但是随着整个业务的推进,积累的历史风险也就越来越多。
“另外,很多企业里面都能碰到这种情况,某员工权限过低,不好开展工作;权限过高又有风险。”周斌称,企业对此一般采取临时授权,而临时授权带来的风险是很多企业开启权限就忘记关,从此该员工拥有了一个特权账号,却没有被针对性管理。
周斌还表示,随着云时代的到来,云上体系和原来体系怎么打通?现在还有很多企业员工随时随地办公,不一定在企业局域网里面,身份体系怎么管理?很多企业在调整和适配过程中可能就出现临时授权或权限越权事件。“越大型企业,这个情况越突出,它越不灵活。所以越大型企业越要警惕数据丢失或越权这样的事情。”
那企业如何预防类似权限漏洞导致的安全风险呢?目前业内普遍认为数据安全七分靠管三分靠治,保障企业数据安全不仅需要完善整体管理体系,还要建立一个可有效落实管理制度的安全产品体系。首先,企业要梳理数据的整体风险。随着《网络安全等级保护2.0制度》、《数据安全管理办法》等法规的陆续出台及完善,合规是企业首先要做的。其次,好的策略需要好的工具才可以有效地落地执行。
最后就是对外部、内部、大数据等不同场景针对性地构建一体防护方案。例如采用身份认证,数据库审计,加密网关等保护核心数据不受外部攻击的威胁。周斌称,要配合数据安全系统对数据泄露进行更好的管理和防范,首先就是权限配置,很多人认为,部署了一套安全系统,是不是就已经能防护住了?结论是不一定,因为系统权限不一定配置妥当,比如某员工拥有了不该有的权限。
“权限配置好了,还有权限隔离问题,很多大企业都是多个核心系统,某员工可能只有一个核心系统的高级权限,如果不做权限隔离,可能涉及到其他核心系统权限。”另外,周斌称,员工不在公司内,通过公用网络接入,企业还要考虑申请登录的“员工”是不是本人。因为这个账号、密码有可能是被别人利用了,这个环节要有一个权限审计模块,去审计这一次的行为是不是高危行为。另外,还可设置可信终端等预防远程登录不是本人 *** 作。
周斌称,做好了权限配置,还要做好容灾,容灾是指当数据发生风险以后,怎么快速恢复,这就涉及到备份,不管你数据是在云上还是本地,都要考虑容灾和备份能力。“企业数据备一份,出问题时丢失概率是100%,丢了能不能找回全靠运气;做两份,数据丢失概率就已经非常小了;三份我们认为在99.9%的情况下,你的数据已经不会丢失了。”
不过备份越多,经济成本越高。周斌称,如果没有备份,或者说备份机制不完善,这都是隐藏的风险。目前企业最需要做什么?目前对企业来说,周斌称,做好了权限防护,后续还要做权限维护,原来做权限维护就是定期梳理各种权限,但现在对很对大企业来说,几乎不可能了。
“首先梳理就不可能,涉及数据太多,有的企业员工和客户数据都放一块,千丝万缕;就算你梳理完了,将来可维护性也几乎为零,因为不可能费了三、五个月梳理,随着数据的增加,过个一年半载又要梳理,这完全不可以持续。”周斌称,唯一的办法就是权限统一集中在一个平台中去处理,企业必须要有统一的权限梳理模块,并且能够把各种业务系统或运营系统对接到身份管理中心,一次性做完,类似企业身份平台这样一个概念,也便于审计跟管理。
周斌称,“这方面腾讯安全目前有身份安全管控平台这种产品,面向政府、广电、交通、旅游等行业,我们已经拥有了数千万的用户和稳定超过两年的稳定运营的经验,未来要做的是让这种身份安全管控平台更好的服务更多企业。”
(责任编辑:fqj)
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)