共话数据安全 当前防护能否滴水不漏?

  • 时间:
  • 浏览:0

原文标题:共话数据安全 当前防护不能滴水不漏?

  基于原有的三大战略(云和虚拟化战略、APT治理战略、移动终端战略),亚信安全对数据安全一种生活有更深入的理解。亚信安全产品总监白日指出,安全防护肯能从IT基础架构向云主机迁移,黑客肯能不再采取大规模攻击,转而瞄准企业数据仅供,怎么还里能保重昂企业数据在不同场合被安全使用,虚拟化安全和云安全势在必行。由此分析,云端的数据安全、有针对性的攻击防护、移动终端的数据安全将是亚信所关注的三个多切入点。

  数据加密技术长期以来,三个多劲被认为是重要的技术,也被认为是一种生活从根源上处置安全问題的技术。过去,数据加密技术更为普及的领域是传输加密,肯能這個块的独立性和透明性更高,使用的成本代价更低;随着非对称加密算法的引进,在数字认证和数字签名领域也得到了广泛的应用。

  在网络边界日渐模糊的今天,传统安全体系肯不能处置安全问題。白日表示,今年5月份各个肯能撤出 内外网分别,采用了强制认证的土土措施保证传输过程中的强加密,以此来满足跨部门数据权限认证要求。国内企业克隆qq好友好友這個模式尚需时日,单一般企业不能采用智能主动防护手段来处置安全问題。

  数字证书主统统 对身份的证明,数字签名主统统 防抵赖。而应用网关这里应该是指应用层网关也统统 应用层防火墙,应用层防火墙作用也是对外屏蔽內部应用,作为三个多转发代理在其中来评估是不是有安全风险以决定阻止或放行;最典型的应用层防火墙统统 web防火墙和数据库防火墙,但从总体上来看应用防火墙依然是传统边界防护概念。肯能统统 用户更加注重边界防护,强调对內部人员的防护。因此现在的实际情形是不光有內部人员的攻击,全部都是內部人员与內部人员的内外沟通,统统 亲们所说的堡垒从內部被攻破。 以上這個這個概念无法防备內部人员信息泄露,无法防备攻击者进行的复杂化APT攻击。因此用户才逐渐产生对核心数据进行塔式防守的认知转化,打破边界防御体系。

  岳向前还给出了数据真实性的定义-即数据的提供者的身份还要确保真实,且所提供的数据具有防伪造的能力。因此数据的真实性还要提供审计能力,即在将来的某个时间,还不能再次对数据进行提供者身份和数据防伪的验证。

本文讲的是共话数据安全 当前防护不能滴水不漏,滴水不漏、天衣无缝是理想情形,因此数据安全不能得到有力保障绝全部都是三个多伪命题。

  当前对内的防护,一般会考虑采用堡垒机统统 的产品,通过统统 的产品,不能将运维人员对数据和设备的接触固定到许多集中的机器上。

  从总体上来看,国家政府部门和央企在信息安全上的投入度更大,普及率更高,政府与央企的安全体系建设与內部安全企业的联系非常紧密;而互联网企业主统统 有一定规模的企业目前比较重视,以及许多新兴的与金融密切相关的企业比较重视,而以BAT为代表的大型互联网企业的安全以自建为主,而中型互联网企业对第三方安全企业的依赖度还高些,但下一步這個中小互联网企业上云的趋势将很明显,亲们将使公有云用户中的先行者,亲们的安全也将更多地依赖大型云平台提供商的安全基础设施。

    虚拟化趋势和事件响应引发的数据安全反思

  移动终端的数据传输是BYOD带给众多企业用户的困扰,亚信安全在此方面通过虚拟手机的土土措施处置数据安全问題。通过面向企业APP生产制作、管理、扫描等一系列土土措施,保证企业数据和另一方数据分离。在传输方面通过图形数据传输而非数据形式传输,进一步保证企业数据私密性。作为传统加密厂商,信安世纪强调了数字正是、数字签名、应用安全网关的的安全防护能力。信安世纪助理副总裁岳向前认为,加密技术提供了角度很高的数据安全防护能力,不能满足数据安全的角度要求。其中问題在于,在有统统应用的场景中,全面的使用這個技术占据 一定困难。肯能会带来业务上的困难或客户体验的下降以及成本上升。互联网企业强调要降低客户初次使用的难度、基于业务的逐级提升安全角度、利用大数据技术对用户的身份安全和数据安全进行评估并利用评估的风险值来判断业务是不是继续肯能增加安全手段。這個土土措施降低了客户进入成本,因此通过逐步升级的土土措施降低了客户接受的难度。因此,数字签名、应用安全网关等产品的应用,目前的问題不出是不是满足安全要求,统统 不能在不影响客户体验的情形下对安全提供增强。在這個方面,信安世纪肯能拥有一定研究成果,不能适用于互联网企业的应用场景。

  综合来讲,数据安全分为数据传输安全和数据存储安全,在网络数据交互激增、虚拟化、资源云化的大背景下,怎么还里能保证数据安全在传输、存储中保证机密性肯能成为业界广泛探讨的问題。本期@安全圈将结合当前主流安全厂商观点,何必 同方向角度解析当前的数据安全防护架构。

  在处置终端数据传输方面,信安世纪将数据加密的环节提前。从终端设备始于进行加密,实现终端设备到服务端之间的数据安全传输,是应用很成熟的句子图片 是什么的句子图片 的句子的句子的句子的句子的架构。因此這個架构对于目前统统针对终端设备一种生活的攻击是无能为力的。因此,使用独立于终端的安全设备,在安全设备上完成数据加密以前再通过终端传输到服务端,不能防范针对终端设备的攻击。类式金融IC卡的互联网应用,通过信安世纪研究的金融IC卡机具,IC卡交易数据在传输到手机终端以前就肯能是加密信息,因此在IC卡读卡机具-手机终端-互联网-业务服务器-金融IC卡互联网安全网关整个传输路径上全部都是加密传输,杜绝了在各个节点上的泄密与攻击问題。安华金和在最初公司在10009年创办时,创始团队统统 以数据库加密技术上的产品实现作为目标,那时激励创始团队的的话统统 “数据库加密是数据库安全中间王冠上的明珠。”数据库保险箱成为安华金和的第一款产品,并在该技术领域拥有数据库密文索引国家技术专利和数据库透明加解密技术专利。这是安华金和三个多以技术为核心竞争力的企业根基性的产品开创。安华金和创始人刘晓韬统统 阐述数据安全与安华金和的情缘。

  白日在接受采访时指出,安全发展到今天这麼任何三个多处置方案是全部的,因此多层次的安全防护是处置数据安全问題的前提。任何三个多防火墙设备肯能单一的加密手段全部都是足以处置整体安全问題。亚信安全倾向于通过梳理形成成熟的句子图片 是什么的句子图片 的句子的句子的句子的句子的安全处置方案,根据不能对安全点的需求和把控进行定制化管理。传统的安全设备所提供的不不能是看似安全的数据管道。通过部署在终端的防病毒软件和桌面系统,亚信安全会针对攻击进行行为取证和分析,检测黑客的横向移动和內部违规行为。从這個角度来看,针对场景从各个层次处置安全问題可谓是虚拟化安全厂商的拿手好戏。

  数据安全威胁与防护土土措施浅析

  内网安全部都是三个多问題,主要防护的对象全部都是內部的黑客和攻击人员了;统统 內部的工作人员、第三方的开发人员、第三方的运维人员,這個人肯能占据 另一方的利益,肯能是被利用或被作为跳板,造成了內部系统被攻击,內部信息被窃取。

  对于企业用户而言,数据的产生和应用是必然的,数据的不安全因素在于扩散过程和第三方使用价值。因此怎么还里能管理数据实现数据的可控性是处置数据安全的关键问題。根据企业数据分布的节点有的放矢的进一步处置。就当前防护土土措施而言,DLP这麼落地的三个多问題在于规则难于梳理,规则的制定是阻碍技术发展的重要问題之一。企业安全运维人员还要结局的的首要问題是针对数据一种生活的分级处置。

  传统边界隔离的思想依然有它的价值,但受到的挑战也将这麼大,太少的场景无法全部用隔离的土土措施进行处置。

  数据加密技术普及和改善的核心,何必 像亲们从直觉上感觉的是算法,密钥等问題;更关键的是与数据库、应用系统的结合,怎么还里能做到透明、怎么还里能保证检索的角度,而這個目标都全部都是通过提升算法的角度或算法的易用性不能达到的。



▲安华金和CEO刘晓韬

  内网安全和数据传输安全的痛点

  从数据分析角度而言,互联网企业和传统企业的数据的来源不同,数据的容量不同,因此对数据一种生活的防护需求基本是一致的。不过基于大数据技术的应用,互联网企业对数据的真实性会有三个多评估,会对许多不一定可靠的数据进行利用,产生的结果也含晒 一定的概率性。而传统企业则大多使用绝对真实的数据,其处置过程也一般部考虑概率性结果。

  事实是最具有发言权的,事实上统统占据 安全事故的企业都肯能使用了数字证书、数字签名和网络防火墙等安全产品,但信息泄露事件依然频繁爆发。这也是为這個当前安全市场,用户对数据库审计、数据库防火墙类式技术产品有明确的需求愿因 。

    对于企业自身而言,还要考虑的是局域网內部信息存储、传输的保密性问題,尽管国内众多机构全部都是不断改进加密算法,因此从安全角度而言,抛开加密技术仍然占据 各种安全威胁,因此,就数据安全而言这是三个多泛安全问題,而非单一技术所能处置的问題。自亚信安全成立,虚拟化和云安全市场在国内的发展得到了进一步深化。数据安全的核心防护机制在亚信安全看来并这麼超脱原有的安全架构。



  网络边界日渐模糊是互联网化,数据共享加剧,信息沟通加剧的必然;即使在许多严格边界隔离要求的场景,也会肯能信息的共享与交流而打折扣。

  传统防火墙设备与未来的态势感知分析

  防内比防外更困难,內部人员一方面要让亲们工作,要提升工作角度,另一方面要管理要防控,这两者之间一种生活统统 矛盾;共同內部人员对于设备和数据接触的渠道要远高于內部攻击人员,还要防护的点要更为多样。

  传统企业互联网化带来的技术更迭

来源:it168网站

  从边界防护扩展到到全面数据安全防护

  数据加密技术核心防护机制

  防护技术和攻击技术全部都是动态发展的,相互不利于的;安全态势感知也是這個年在安全领域提出的新概念,這個新概念的引入会不利于安全技术的提升,但不肯能是一劳永逸的,这麼這個技术和产品不能全部处置安全问題;现在统统厂商全部都是搞安全态势感知,最直观的统统 在统统展台都不能看后一张中国或世界地图,展现這個地方遭受的攻击最多,這個攻击都来自于這個地方,攻击都采用這個技术,这似乎成为了一种生活潮流;但亲们不能看后世界和联 国的安全事件,并这麼随着态势感知就减少了,安全问題就减少了,就好比亲们有了卫星和雷达技术,知道了对方的战力部署,但何必 愿因 亲们不能抵抗打击了,亲们就安全了,至多不能说,亲们更清楚了该防御的重点。

  传统企业互联网化线程池池与何必 完善的数据防护机制

  众所周知,互联网企业要更加依赖信息交互,也正因这麼互联网企业对信息安全的投入力度更大。以近期占据 的主要攻击事件为例,1210006数据泄露以及网易邮箱数据泄露事件为例,其攻击手段全部都是非常时下非常流行的撞库攻击。2015黑色地下产业链报告支持,类式信息被利用和相应的攻击事件时有明确的动因占据 的。政府的监管力度再次方面亟待加强。

  对于开发和测试人的防护,一般会考虑让生产系统与测试和开发系统的分立;考虑许多脱敏的产品,使开发和测试中的数据为扰乱后的数据。对于网络和数据维护人员还要考虑采用许多加密的产品,处置存储层的泄露。许多高端的数据库防火墙产品统统 仅不能处置內部黑客入侵,而是能实现对数据库内信息的细粒度保护。

作者:李蓬阁

  数据安全痛点分析

  数据安全需求的变化

  从需求来源说,以政府和央企为代表的传统市场,首先,其需求是合规性需求,主要满足于等保和分保需求;银行、电信、能源等大型行业有另一方更严格的安全规范,也是相关企业还要遵循的;其次,随着政府信息重要性的提升,也面临着以牟利为目的进行的信息篡改、內部信息倒卖等威胁;最后,是国家要害部门面临的內部间谍机构的攻击,這個人主要以收买內部人员为主。

  从技术角度分析,数据全部性、保密性、数据防篡改性是数据安全关注的几条主要领域,数据灾备、处置黑客攻击、处置违规操作是主的企业內部应对土土措施。当前用户痛点主要围绕数据防泄漏和访问控制三个多方向。部署安全软件和客户终端软件依然是保障数据安全的基本手段。数据传输加密技术、数据存储加密技术、数据全部性的鉴别技术和密钥管理技术作为核心保护机制发挥着重要作用。

  而对于互联网企业在网络安全法未正式颁布前,需求的来源主统统 业务和数据安全的需求,还要处置肯能攻击造成的系统不不能正常运行、以牟利为目的进行的信息篡改、以信息交易为目的进行的信息泄密。

    加密技术一种生活所确保的数据安全一定程度上保证了数据交互中的安全性,从外围来看,地下产业链对与数据价值一种生活的探索要更有针对性,0day漏洞和基于DDOS的勒索事件依然是黑产针对互联网企业的主要手段,虚拟化和云计算为安全行业带来的影响是十分广泛的,亲们这麼看后新兴市场快速崛起,因此基于虚拟化技术和云平台的产品正在以爆炸式增长,而与之配套的安全服务显然何必 健全。

  当然审计的手段是不可缺的,为了保持工作的角度不肯能所有的工作行为都给控制起来,重要的是在占据 了安全事件后可追溯,起到一种生活震慑作用。

  数据安全所含晒 的范畴要十分广泛,数据安全所衍生出的问題也是难以估量的。以近期占据 的安全事件为例,携程宕机事件统统 典型代表。无论归因于错误操作还是系统漏洞,数据丢失对互联网企业产生的影响全部都是相当致命的。另外,网易邮箱泄露事件所衍生出的撞库肯能更是让数据安全威胁不容小觑。

  未来的安全处置方案一定是全面的数据防护方案,综合性的数据防护方案;传统的以网络安全起家而发展起来的网络安全厂商也正在纠结地拥抱這個变化,一方面依然在强调边界安全的重要性,另一方面也在逐渐在引入和推出另一方的数据安全、桌面安全及应用安全产品;更重要的是许多新兴的安全厂商在這個领域都取得了卓然不菲的成就,更坦然、更彻底地拥抱這個变化,安华金和作为這個新兴厂商中的一员,在另一方专业的领域里,将数据库加密产品、数据库防火墙产品、二代数据库监控与审计产品推向市场,为用户提供核心数据防护价值体验。



亚信安全产品总监白日

  而与数据库、文件等领域的加密技术的普及在过去的這個年十分有限,肯能亲们在心里有一种生活天生的恐惧,担心数据加密后谁还能还原回去;共同数据库与文件的加密,往往又与应用系统的改造、检索的性能密切相关,因此在非安全需求很高的单位或场景,用户更你还里能采用许多网络类的处置方案来保障安全。

  随着云平台技术的普及,這個情形很大程度上肯能肯能改变,数据不再存储于另一方的机房,统统 第三方,这使得用户对于通过加密技术实现、数据保护的愿望更加强烈。

  防火墙设备肯能是安全的基础设施,事实上统统网络设备肯能内置防火墙功能,不不能说防火墙这麼用,但仅靠防火墙是不肯能保证用户数据安全的,这肯能是不争的事实。