安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能对比
下载中心
购买咨询
客户列表
关于安企神

滴滴下架!数据安全就是国家安全

更新时间:2022-07-08 10:20:16


本文简介:作者: 吴湘泰等 来源:数仓宝贝库7月4日,“滴滴出行”因App存在严重违法违规收集使用个人信息问题,被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架。公告里显示:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范

滴滴下架!数据安全就是国家安全

作者: 吴湘泰等 来源:数仓宝贝库

7月4日,“滴滴出行”因App存在严重违法违规收集使用个人信息问题,被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架。

公告里显示:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。据报道,这是国内首次动用《中华人民共和国国家安全法》的案件。

7月5日,网络安全审查办公室再次发布公告,宣布将对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查,毫无疑问,滴滴只是一个代表,举国上下关注数据安全的时代终于要拉开帷幕。

6月10日,十三届全国人大常委会第二十九次会议表决通过包括《数据安全法》在内的多项法案及两项决定。《数据安全法》的出台,把数据安全上升到了国家安全层面。

在金融科技和数字化时代,数据已然成为一家公司的重要资产,甚至关系到一家公司的生死存亡。业界称数据资产为“皇冠上的明珠”。打个不一定恰当的比方,把大数据比作核裂变,如果我们对这种反应使用得当,那就能让它为经济发展带来巨大能量,但如果控制不当,就会引发巨大的危机。数据安全可以比作为大数据这座“核电站”提供可控核裂变的关键能力。

1、数据资产面临的威胁和挑战

根据中国信息通信研究院于2022年发布的《大数据安全白皮书》,在云计算和大数据的背景下,围绕数据的生产、采集、处理、共享等数据生命周期的各个环节,内部泄露和外部攻击、管理和技术、新技术风险和存量技术风险等问题交织发生,数据安全威胁可来自大数据平台自身、数据安全、隐私保护这三方面。

平台安全方面的挑战主要表现在以下几方面:

Hadoop等开源工具缺乏整体安全规划,自身安全机制存在局限性。

由于大数据平台服务具有数据多源化、多样化、高度流动化的特点,传统安全机制难以满足需求。

大数据平台的大规模分布式存储和计算模式导致安全配置难度成倍增长。

对于面向大数据平台的新型网络攻击手段(如APT等),传统安全监测技术存在明显不足。

数据方面的威胁和挑战主要表现在以下几方面:

数据泄露事件发生的数量持续增长,造成的危害日趋严重。

由于缺乏监测手段,数据采集环节的完整性保障缺失成为影响决策分析的新风险点。

跨传统组织边界的数据处理过程中的机密性保障问题逐渐显现。

由于数据流动路径的复杂性,事后追踪溯源变得异常困难。

个人隐私方面的挑战主要表现在以下几方面:

因为传统隐私保护技术可以通过对多来源、多类型的数据集进行关联分析和深度挖掘来复原匿名化数据,所以隐私保护有失效的可能。

传统的隐私保护技术(如去标识化、匿名化技术等)难以适应大数据的非关系型数据库。而在金融科技领域,因为系统中存有海量个人敏感信息和交易信息,所以监管网络安全和消费者数据安全面临重大挑战。

2、数据资产估值

想要对数据进行保护,就要对数据资产的价值有相应的评判。业界近年来开展相关实践,发现影响数据资产价值的因素有三个(见图1):数据资产质量价值、数据资产应用价值和风险。数据资产质量价值是站在数据消费者的角度,考虑数据资产的真实性、完整性、准确性、数据成本、安全性;数据资产应用价值则考虑稀缺性、时效性、多维性、场景经济性;风险方面主要指法律限制和道德约束,这对数据资产的价值有着从量变到质变的影响。对数据交易的限制性规定越多,交易双方的合规成本和安全成本就越高。能制定出有效解决合规安全和效率问题的数据安全解决方案,就能提供更多价值。

而在数据资产评估方面,根据业界近年来的实践,发现可以通过成本法、收益法、市场法等对数据资产进行定量评估。用成本法评估数据资产时,会依据形成数据资产的成本进行。尽管无形资产的成本和价值关联不强且成本不一定完整,但用成本法评估一些数据资产的价值是存在一定合理性的,比如在交易性和收益性不确定但又需要交易的时候,可以采用成本法。用收益法评估数据资产时,数据资产作为经营资产直接或者间接产生收益,其价值实现方式包括数据分析、数据挖掘、应用开发等。收益法较真实、准确地反映了数据资产本金化的价值,更容易被交易各方所接受。在市场法中,数据资产的获利形式通常包括客户关系管理、客户细分、客户画像、个性化精准营销、提高投入回报率、内部风险管理等。收益法和市场法可应用于交易性和收益性较好的数据资产评估。三种评估方法在应用于数据资产价值评估时,各自具有优势和局限性,目前尚未形成成熟的数据资产价值评估方法。

3、如何理解数据安全

数据安全有别于传统的针对网络攻击的防御,可在大的数据管理的框架下,以保护数据为中心,把“建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和复制等权限,监控访问和复制等行为,完善数据安全技术,定期审计数据安全”作为数据安全管理工作的主要内容。而数据安全管理和数据治理之间有着相辅相成的关系,我们可以通过目标、对象、理念、技术、发起部门、产出内容、资产管理等维度对数据安全、网络安全、数据治理进行比较。

4、数据安全管理参考框架

当前业界解决数据安全管理有两个主要思路:

从数据安全治理的角度,首先明确谁对数据安全负最终责任,然后在这个责任框架下通过数据发现、数据分类分级,明确以DLP(数据防泄露)为主导的技术管理措施和审计措施。在集中式的以金融机构为主导的传统技术架构下,这种模式是有效的。然而,就像牛顿的经典物理学的有效性在更为宏观的尺度下不再那么有效一样,在诸如小微、消费信贷、医疗险、车险等领域,跨界、跨实体的多数据源计算成为主要计算场景。

在法规方面,又会面临网络安全以及个人信息保护等相关法规对于隐私保护和个人数据安全的严格要求,传统的基于DLP的解决方案便不能应对新的挑战。这时,一些领先的金融科技公司就开始在验证测试阶段乃至投入生产阶段,运用诸如联邦学习等全新的数据安全解决方案来应对。这两者并不是互相排斥的,而是相辅相成的,它们的共同点在于“以数据为中心”,不同点在于数据安全治理是站在某一机构的视角来看数据安全,而联邦学习等新的数据安全解决方案是站在一个跨界业务生态的视角上的。

不同规模、不同发展阶段的机构可以根据自己的实际情况灵活运用上述思路解决实际问题。

接下来,我们谈谈数据安全相关的参考框架。

Gartner在数据安全领域也颇有建树,先后提出了数据安全治理和以数据为中心的安全架构等参考框架,其中数据安全治理架构据称是Gartner的分析师Marc Antoine Meunier在“Gartner 2022安全与风险管理峰会”上代表Gartner发布的,Marc将其比喻为“风暴之眼”,以此来形容数据安全治理框架(DSGF)在数据安全领域的重要地位及作用。

DSGF的核心架构如图2所示。许多人认为数据安全只是一个技术问题,然而想通过数据分类、DLP、数字版权管理或数字加密等工具完全解决数据安全问题是不可能的。数据安全是一个复杂的问题,如果不对数据本身、数据创建和使用的上下文以及如何映射到既定的治理框架有深刻理解,就无法理解到底什么是数据安全,更谈不上数据保护了。

DSGF可以帮助企业解决数据安全问题。DSGF提供了一个以数据为中心的蓝图,其中包括:识别和分类企业相关结构化和非结构化数据集,定义数据安全策略,选择实施风险缓解的技术。

在DSGF落地过程中,企业高层风险领导者是主要负责人,其主要职责如下:一是必须确定组织对数据安全事件、监管环境的业务策略和风险的容忍度,并根据业务风险识别和分类数据资产;二是进一步考虑并明确企业技术投资优先级,以实现从DSGF衍生出来的目标;三是需要充分利用数据,为管理提供数据驱动的情报;四是数据安全必须包括传统数据安全技术之外的其他方面。

上面所说的其他方面涉及的内容包括如下几项。

关键技术方面:身份和访问管理(IAM)程序应能帮助理解用户上下文和跟踪数据访问的关键组件,特别是在响应受损害的凭据问题时。IAM为管理人员访问系统和数据提供了一种结构化、连贯的方法。而UEBA解决方案采用基于行为分析的方法构建用户和实体(主机、应用程序、网络流量和数据库等)的标准配置文件和行为标准。与这些标准不相符的活动就会被认为是可疑的,从而发现恶意内部人员和外部攻击者。

意图:在保护数据方面,企业必须有能力尝试揭示用户及攻击者的意图,以更好地确定和区分哪些是合法的数据安全事件,哪些是存在疏忽或滥用的情况的。

优先级:通过采用自动化和智能建议,使用DSGF时应优先考虑使用持续的适应性风险和信任评估系统来选择适当的安全政策规则和功能,以确保能减小关键业务的风险。

与数据治理充分协同:在DSGF实施过程中,应该保证数据安全方案与企业数据治理方案保持一致,尤其是数据管控的评估政策和数据分类。

关键敏感数据集的开发识别能力:开发识别敏感或关键数据集的能力,并审计整个企业环境。明确跨多个工具协调的规则,因为单个工具或控件很少能解决所有企业的数据安全风险问题。

持续改进:在企业数据安全程序中定期进行差距分析,以应对不断变化的业务目标和动态威胁。


立即下载试用

服务器超融合架构在数据中心的应用

超融合基础架构(Hyperconverged Infrastructure,HCI)是一种集成了虚拟计算资源和存储设备的信息基础架构。在这样的架构环境中,同一套单元设备中不但具备计算、网络、存储和服务虚拟化等资源和技术,还包括备份软件、快照技术、重复数据删除、在线数据压缩等元素,而且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,实现统一的资源池。


超融合越来越多的在数据中心上推广应用开来,从商业形态上分为收费订阅版与开源免费版本。常见的品牌有:

订阅版本:Nutanix、VMware、各类国产知名厂商品牌

免费版本:open stack、proxmox VE等

商用版本Nutanix、VMware两家合计全球超融合市场占有率超过60%,国产的smartx 、浪潮、华为、ZStack等也是在突飞猛进。

不差钱的金主用户直接上Nutanix或VMware不会有错,有完善成熟的技术支持与生态体系,基本没有坑,缺点就是基本没有厂商本地化服务,大多数依赖生态伙伴或硬件厂商如联想、浪潮、Dell等。

国产品牌的选择就需要用户有一双慧眼了。超融合和虚拟化的区别简单来说,超融合是分布式存储,虚拟化是集中式存储。对于中小企业来讲,想使用超融合技术,又没有多少资金投入。本着能免费不花钱的原则,有一定的技术积累,喜欢技术研究,可以关注开源的免费产品(愿意承担软件版权纠纷的除外)。

Open stack:2010年项目成立是一个开源的云计算管理平台项目,是由 Rackspace和NASA共同开发的云计算平台,帮助服务商和企业内部实现类似于 Amazon ec2和S3的云基础架构服务( Infrastructure as a Service)。

Openstack包括两个主要模块:Nova和 Swift。前者是NASA开发的虚拟服务器部署和业务计算模块;后者是 Backpack开发的分布式云存储模块,两者可以一起用,也可以分开单独用。

proxmox VE(pve):是一个开源的服务器虚拟化环境Linux发行版。Proxmox VE基于Debian,使用基于Ubuntu的定制内核,包含安装程序、网页控制台和命令行工具,并且向第三方工具提供了REST API,在Affero通用公共许可证第三版下发行。。Proxmox VE支持两类虚拟化技术:基于容器的LXC(自4.0版开始,3.4版及以前使用OpenVZ技术)和硬件抽象层全虚拟化的KVM。

从官方的定位上看,PVE 和 OpenStack 已经不同了,OpenStack 将自己定位为云服务,并自称世界上最广泛部署的开源云计算软件。 OpenStack 是一种云操作系统,可控制整个数据中心内的大量计算、存储和网络资源池,所有这些资源都通过具有通用身份验证机制的 API 进行管理和配置。仪表板也可用,让管理员可以进行控制,同时授权用户通过 Web 界面配置资源。除了标准的基础设施即服务功能之外,其他组件还提供编排、故障管理和服务管理以及其他服务,以确保用户应用程序的高可用性。

简单来说openstack适合大规模云场景的使用,更像阿里云,亚马逊的架构超大规模的私有云应用场景,通过了解proxmox所使用的技术可以得出这个结论,proxmox使用的数据库是sqllite文件数据库,官方文档说的是上千个虚拟机管理是没有任何问题的,其实潜台词就是说上万个估计就有问题了,为什么没有使用和openstack一样的mariadb,主要还是定位不一样造成的,对于上千个虚拟机的虚拟化产品,其实还真是没必要使用mariadb,用sqllite有什么好处呢,主要就是方便管理和实现文件系统级别的HA。 

pve适合小规模使用,更像esxi,简单易用。vmware能够实现的功能proxmox基本能实现,vmware不能实现的功能proxmox可能也能实现。类似vmware的操作风格,基本上可以这么说,会使用vmware的人,也会使用promox。

为什么说我更愿意认为他是虚拟化平台,是因为proxmox主要是提供了虚拟机主要实现Iaas功能,对于Iaas层上面Pass层基本没有涉及,比如没有提供容器编排,大数据,数据库编排等模块。

PVE的安装使用超级方便。真的就是10多分钟就能安装一个物理节点并且直接可以登录web管理界面进行使用了,当然后面上传ISO镜像,生成虚拟机,网络管理配置,创建存储等等例行的工作还是一样需要做的。

但是proxmox没有实现网络虚拟化,无法实现私有云内大规模网络虚拟化的需求,不像openstack可以自己定制内部vxlan网络和路由器,这个特性对于公有云是必备条件,但是对于私有云,规模不是特别大的情况下,可以接受。如果虚拟机规模过千,就确实需要考虑openstack了。

优点是proxmox对于存储的使用可以说做到了出神入化的境界。proxmox可以直接使用物理机本地存储,可以用lvm,可以用分布式存储ceph,可以用传统的磁盘阵列提供的共享存储,也可以使用zfs,可以使用NFS,等等等等。创建虚拟机的时候,可以自行选择将虚拟机放在哪个存储池中,不同的存储池中的虚拟机数据,可以采取不同的备份策略,比如文件系统的存储池,直接备份文件,对于支持快照的存储,可以采用快照备份,非常灵活。

proxmox中linux虚拟机偏向于推荐使用容器(CT)实现,具体采用的技术是LXC,windows虚拟机使用kvm。CT虚拟机的生成,直接提供模板文件下载,在联网的情况下,直接点击下载就可以,模板下载完成后直接通过模板生成linux虚拟机,当然,也可以使用kvm方式的linux虚拟机。kvm虚拟机的使用主要通过上传ISO镜像直接进行安装,和vmware是一样的。当然也可以通过导出导入的方式生成虚拟机,前提是你需要有原来制作好的虚拟机备份。proxmox也可以直接使用openstack中的镜像文件,比如openstack中的各种镜像包含cloud-init虚拟机初始化脚本可以很方便的初始化生成虚拟机完成主机名IP地址等参数的初始化,proxmox可以直接拿过来使用。

  proxmox更适合做桌面云。由于proxmox相对于openstack更轻量,更易于管理使用,所以也就更适合在中小型企业中使用桌面云。关于桌面云,现在通常的概念是需要在虚拟化平台的基础上再加上VDI的相关组件,比如用户认证模块、桌面连接分配管理模块、桌面web管理模块等等。

从另一个角度去分析桌面云,其实对于规模不是很大的环境,如果只是普通办公使用,不需要图形设计虚拟机,根本就不需要VDI。   

不管是proxmox,还是openstack,直接生成windows虚拟机并分配好IP,用户直接通过在瘦客户端设置RDP连接就可以直接使用了,哪来这么复杂的什么用户管理、资源池管理。桌面统一管理的需求,主要是在不固定瘦客户端的场景下使用。windows虚拟机上。但是我们大部分的公司都是固定座位的啊,所以这种情况下面,告诉每个员工他的虚拟机IP地址和账号密码是什么,他自己直接通过瘦客户端设置连接到自己的虚拟机上就OK了! 如果是想做三维图形设计的虚拟机,可要慎之又慎才行,想风险低就直接用思杰没有错,VMware或Hyper-V也能考虑,还有考虑英伟达图形卡的直通与授权等问题等等,其它品牌就需要一双慧眼了。  桌面这一块还涉及到视频画面质量、音频、操作等用户体验的问题,这一块需要通过动手实践而不是听一家之言了。

最后总结一下:

大企业的大规模超融合注重产品稳定、技术支持、冗余拓展就用头部品牌比如路坦力,VMware,成功案例多的国产品牌就可以了。对于大规模应用,稳定压倒一切,别尝试使用开源产品。

中小型企业想尝试新技术,又没有多少预算,在小型虚拟化或者私有云场景下,可以选择pve。大型私有云场景下,使用openstack。桌面虚拟化就用proxmox 直接满足,不用VDI 。


安企神是一款功能强大的企业级安全软件,集终端安全、数据防泄密、文件加密、员工行为审计、上网行为管理、电脑屏幕监控为一体,保障您的企业信息安全。

我们的产品具有以下优势:

  • 高效的终端安全保障,为您的企业数据和机密信息提供全方位的安全防护。
  • 多种加密方式和级别,保障您的文件和数据的机密性和完整性。
  • 强大的员工行为审计,监控员工的操作行为,预防企业内部不当行为。
  • 灵活的上网行为管理,让您掌握员工的网络行为,防范恶意攻击和信息泄露。
  • 实时的电脑屏幕监控,让您随时了解员工的电脑使用情况,提高办公效率和管理水平。


本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/11225.html