| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

网络安全宣传周丨瑞数信息解读如何做好数据安全?

2022-09-26 16:49 作者:Neke 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

​自《中华人民共和国数据安全法》(以下简称“数据安全法”)正式施行以来,正值一周年。作为我国第一部针对数据安全的上位法律,《数据安全法》的颁布实施,首次将数据安全工作升至国家安全最高监管层级,并带动各行各业陆续出台数据安全标准细则。

尽管数据安全已得到了全行业的重视,但作为一个涉及多维度的复杂领域,企业在数据安全保护和治理方面依然面临很多挑战。在近期举行的“2022年国家网络安全宣传周”上,数据安全再次成为社会关注焦点。瑞数信息作为应用安全和数据安全领域的专业厂商,对企业如何做好数据安全给出了相应的建议。

数据安全的法律定义

在《数据安全法》出台之前,有关“数据”“数据库”以及“数据安全”等提法,已经在一些法律法规中有所体现。但是,法律意义上的数据安全到底是什么?数据处理的义务边界在哪里?

对此,《数据安全法》第三条规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”具体而言,做好数据安全需要做很多事情,需要针对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等,也需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。

目前,市面上已有很多单点的安全技术或数据技术,能够针对数据处理某一个环节提供服务。但随着数据领域的不断发展,这些单点技术之间缺乏联动,也覆盖不了广阔的数据处理环节,很难达到国家数据安全的监管要求。

如何应对合规要求,建立与《数据安全法》等法律法规相适配的防护策略和技术支撑,成为各大企业数据安全落地的首要挑战。

构建应用数据安全的主动防御体系

瑞数信息指出,《数据安全法》明确提出了两个较新的数据处理环节——提供、公开,这是企业数字化深化过程中出现频率越来越多的使用和处理环节,也是近年来数据泄露风险最常发生的环节。

《2021年数据泄露调查报告》显示,80%的数据泄露来自外部,61%的数据泄露牵涉登录,39%的数据泄露事件由Web攻击导致。这表明企业在提供和公开数据时,面临着众多的数据安全风险。

这是由于企业互联网化进程的不断深入,使得越来越多的业务被迁移到互联网上,大量的应用数据被产生、传输、公开、共享。与此同时,新一代应用通过Web、H5、App、API、微信和小程序等多种业务渠道接入,导致应用敞口风险和链条管控难度加大,各类变化多端的撞库攻击、暴力破解、爬虫攻击、API接口滥用,也导致企业数据泄露风险加剧。

正因如此,瑞数信息基于数据的传输、提供、公开等关键生命周期节点,推出了基于多种安全技术打造的“应用数据安全主动防御解决方案”,以保障应用数据传输安全,防止API敏感数据泄露、实现对应用身份信息防护、恶意爬虫防护。

数据传输环节:动态混淆技术,保障数据传输的保密性和完整性

瑞数信息通过动态混淆技术,实现对应用代码、Cookie混淆,有效防止攻击者分析应用代码,盗用Cookie 获取身份信息,提高攻击门槛。同时,对数据传输进行动态混淆,防止攻击者拦截数据传输的报文发起中间人攻击,有效保证数据传输的保密性和完整性。

数据提供环节:API敏感数据管控,防止API敏感数据泄露

近期大规模数据泄露事件都和API接口有关,API接口的敏感数据管控成为各企业数据安全建设重点。瑞数应用数据安全主动防御系统,通过API敏感接口自动识别、敏感数据和攻击检测、访问行为分析和异常处置,实现API敏感数据泄露防护。通过API资产自动发现和建立数据访问API的安全基线,对可能造成批量数据泄漏的API滥用、API异常数据获取等行为进行数据安全风险识别和管控。

数据公开环节:人机识别技术,实现身份信息防护和爬虫攻击防护

瑞数信息能够通过人机识别、行为分析、按需拦截等技术,对Web、APP、小程序、H5、微信、API等全业务接入渠道,实现对外挂和数据爬虫的防护。

有数据显示,超过60%的数据泄露和账号有关,随着大量数据泄露事件的爆发,黑产社工库积累了大量的账号和密码数据,攻击者编写脚本对企业登录页面和接口,批量发起撞库和暴力破解攻击。瑞数应用数据安全主动防御系统,通过“人机识别”技术和内置的各种业务威胁模型,透视撞库和暴力破解行为,实时拦截攻击行为,防止由于账号泄露造成的进一步数据泄露。

爬虫是交互数据类应用和公开数据类应用的主要威胁之一,也是各种应用数据泄漏的的主要

途径和入口,攻击者通过编写爬虫工具,批量爬取敏感数据。瑞数应用数据安全主动防御解

决方案,通过人机识别和可编程对抗技术实现对各种自动化工具的识别,提供实时和深入的

Bots攻击抵御,有效防止爬虫攻击。

守住数据安全最后的防线反勒索

由于数据对企业的价值越来越高,数据也已经成为勒索病毒主要的攻击目标。据Sophos发布的“2021勒索软件报告”显示,因勒索软件攻击而挽回损失的平均总成本预计在2021年同比会增加一倍多,且成本增加的趋势在未来十年都不会缓解。

毫无疑问,随着勒索软件的攻击手段越来越复杂,防御措施也受到了更大挑战。传统的安全防御一般将重心放在网络边界和应用、主机侧,它们的作用是防止勒索软件入侵、阻断勒索软件扩散。然而,勒索软件具有很高的隐蔽性和伪装性,一旦进入网络/主机层后,往往攻击者会潜伏很长时间,在获取更高的权限并掌握大量关键数据后才会发起勒索,此时网络/主机层往往已经无法阻止勒索攻击。

为了守住数据安全“最后一道防线”,对关键数据进行实时的安全检测和备份刻不容缓,而这正是《数据安全法》对两大数据处理环节——存储、使用的安全要求。

事实上,传统的灾备系统已无法满足勒索软件攻击场景下的安全需求,由于传统灾备定期对全量数据进行备份,一方面不能完全识别备份数据是否健康、是否可恢复、是否完整,一旦原始数据被感染,灾备数据同样会被感染,导致数据无法使用;另一方面,备份数据量巨大,恢复周期漫长,无法保证业务的连续性。

基于此,瑞数信息推出了国内首个数据安全检测与应急响应系统(DDR),定位于企业核心数据备份、快速恢复备份数据,正是数据反勒索“收官的防线”。

数据存储环节:备份数据安全隔离、安全存储

盘点数据资产与排查系统隐患是做好数据安全的第一步。瑞数DDR系统首先对企业数据进行健康体检,基于创新的“深度文件内容检测”技术,能够高效生成企业数据完整性、数据资产分布及权限审计等报告,协作企业全面掌控数据资产的现状。

在对企业关键数据进行备份后,瑞数DDR能够对备份数据进行安全隔离,防止恶意软件或黑客进行破坏或篡改。

其次,瑞数DDR系统具备安全储技术,其防篡改保护功能,通过加密技术防止存储中的数据泄露,同时可以按设定保留策略过期删除,保留周期只可以延长不可以缩短。

数据使用环节:备份数据安全检测、快速恢复

不同于传统备份系统必须将备份格式转化生产数据格式,恢复时间往往需要数天甚至数周,

瑞数基于创举的”智能快速恢复引擎”,无论多大数据量,瑞数DDR系统都能够自动生成可直接挂载的干净磁盘镜像,达到分钟级的数据恢复,将业务中断的时间降到较低。

这是因为瑞数DDR系统对备份数据的使用,都是备份数据的内部存储快照,不需要数据合并、数据格式转化、数据移动拷贝才能恢复。同时,对备份数据本身不做任何操作,也能确保备份数据存储中始终有一份干净的、未受感染的数据用于恢复业务。

即便企业遭遇了勒索软件攻击,瑞数DDR系统基于创举的“离线智能深度检测引擎”,也能够对勒索软件攻击过程中损毁的文件进行安全检测,找到被勒索病毒感染的文件及感染时间点,协助安全管理人员快速移除勒索软件,找出干净可用的数据,让企业随时都有干净可用的数据用于快速恢复。

总体而言,瑞数DDR系统的优势在于防批量数据破坏、安全隔离备份数据、分钟级快速恢复、生产环境低干扰、自动化可编排运维,能够很好地突破传统灾备系统面对勒索攻击威胁时的瓶颈,使得企业在关键数据的存储和使用环节得到很好的防护,这种将安全检测与数据备份融合的技术正是瑞数信息所独有的。

结语

《数据安全法》正式施行一周年,政策、市场、行业、企业在数据安全方面都有了深刻的变革,同时也催生了各类新兴安全技术。瑞数信息基于多年来对数据安全的认知和技术积累,针对数据全生命周期各阶段面临的安全风险,推出了一系列的安全解决方案,为企业直面数据安全合规和实战化挑战提供了有力的“兵器”。

【对“网络安全宣传周丨瑞数信息解读如何做好数据安全?”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·2022国家网络安全宣传周开幕!联通数科重磅亮相
·API安全代表厂商!瑞数信息入选中国数据安全发展
·瑞数信息再次入选Gartner《2022年中国ICT技术成
·瑞数信息:保险反欺诈的核心,在于提升欺诈风险
·瑞数信息入选Gartner《中国云安全资源池创新洞察
·瑞数信息正式发布《2022 Bots自动化威胁报告》
·瑞数信息入选首批“业务安全推进计划”成员
·瑞数信息入选CCIA“2022年中国网安产业竞争力50
头条
国际网安巨头共论未来网络安全:技术升级、理念更新、全球合作 国际网安巨头共论未来网络安全:技术升级、理
随着全球数字化进程不断加快,安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁……
·苹果严重安全漏洞冲上热搜第一:黑客能接管设
·Meta因未经允许收集患者医疗信息隐私问题被起
·银行人脸识别系统被攻破 储户卡里钱被悉数转
·国际网安巨头共论未来网络安全:技术升级、理
·WPS被曝会删除用户本地文件 WPS官方微博回应
图文
2022国家网络安全宣传周开幕!联通数科重磅亮相
2022国家网络安全宣传周开幕!联通数科重磅
国家工信安全中心第五批“工业互联网产品白名单”正式发布!
国家工信安全中心第五批“工业互联网产品白
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·国家网络安全宣传周在京开幕 9只概念股受追捧
·微软为了加强安全将改进IE11网站密码管理功能
·中国网络安全智能制造大会:树根互联助力中国
·有消息称谷歌的英国用户账号将失去欧盟数据保
·印发《互联网网络安全信息通报实施办法》的通
广告
硅谷精选
2022国家网络安全宣传周开幕!联通数科重磅亮相
2022国家网络安全宣传周开幕!联通数科重磅亮相
国家工信安全中心第五批“工业互联网产品白名单”正式发布!
国家工信安全中心第五批“工业互联网产品白名单”正式
苹果前员工承认跳槽小鹏前窃取机密:面临严重惩罚
苹果前员工承认跳槽小鹏前窃取机密:面临严重惩罚
向日葵-漏洞知识:文件上传为什么会出现漏洞
向日葵-漏洞知识:文件上传为什么会出现漏洞
出海浪潮下,Edgio引领CDN安全新风向!
出海浪潮下,Edgio引领CDN安全新风向!
2元可查任意身份证 隐私数据到底是怎样被泄露的
2元可查任意身份证 隐私数据到底是怎样被泄露的
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2021 硅谷网. 版权所有. All Rights Reserved. <备案号:京ICP备12003855号-2>