中新網客戶端北京3月31日電(記者 吳濤)隨著“新基建”的走熱,5G、人工智能、工業互聯網等產業被寄予厚望,有望迎來質的發展。隨著這些產業發展,數據安全成為了所有企業必須直面的挑戰。
據安全企業Risk Based Security統計,2019年上半年,全球發生3813起數據洩露事件,被公開的數據達41億條。各行業正在遭受高頻次數據洩露安全事件困擾,無論是科技巨頭還是傳統廠商,一旦發生數據洩露,都會遭受巨大的損失。
而世界通信行業巨頭威瑞森公司曾在一份報告中指出,近四分之一的數據洩露是由於企業內部人員操作不當或主動洩露造成的。究竟該如何做好數據防護、管理員工權限,防止類似事情再次發生呢?近日,中新網記者採訪了騰訊安全雲業務安全負責人周斌。
企業安全權限漏洞多
周斌稱,目前很多企業權限設置不當,也存在安全漏洞,很多的場景下,為了先讓業務運行,企業往往是業務先跑起來,但是隨著整個業務的推進,積累的歷史風險也就越來越多。
“另外,很多企業裡面都能碰到這種情況,某員工權限過低,不好開展工作;權限過高又有風險。”周斌稱,企業對此一般採取臨時授權,而臨時授權帶來的風險是很多企業開啟權限就忘記關,從此該員工擁有了一個特權賬號,卻沒有被針對性管理。
周斌還表示,隨著雲時代的到來,雲上體系和原來體系怎麼打通?現在還有很多企業員工隨時隨地辦公,不一定在企業局域網裡面,身份體系怎麼管理?很多企業在調整和適配過程中可能就出現臨時授權或權限越權事件。
“越大型企業,這個情況越突出,它越不靈活。所以越大型企業越要警惕數據丟失或越權這樣的事情。”
企業該如何預防?
那企業如何預防類似權限漏洞導致的安全風險呢?目前業內普遍認為數據安全七分靠管三分靠治,保障企業數據安全不僅需要完善整體管理體系,還要建立一個可有效落實管理制度的安全產品體系。
首先,企業要梳理數據的整體風險。隨著《網絡安全等級保護2.0制度》、《數據安全管理辦法》等法規的陸續出臺及完善,合規是企業首先要做的。其次,好的策略需要好的工具才可以有效地落地執行。
最後就是對外部、內部、大數據等不同場景針對性地構建一體防護方案。例如採用身份認證,數據庫審計,加密網關等保護核心數據不受外部攻擊的威脅。
周斌稱,要配合數據安全系統對數據洩露進行更好的管理和防範,首先就是權限配置,很多人認為,部署了一套安全系統,是不是就已經能防護住了?結論是不一定,因為系統權限不一定配置妥當,比如某員工擁有了不該有的權限。
“權限配置好了,還有權限隔離問題,很多大企業都是多個核心繫統,某員工可能只有一個核心繫統的高級權限,如果不做權限隔離,可能涉及到其他核心系統權限。”
另外,周斌稱,員工不在公司內,通過公用網絡接入,企業還要考慮申請登錄的“員工”是不是本人。因為這個賬號、密碼有可能是被別人利用了,這個環節要有一個權限審計模塊,去審計這一次的行為是不是高危行為。另外,還可設置可信終端等預防遠程登錄不是本人操作。
周斌稱,做好了權限配置,還要做好容災,容災是指當數據發生風險以後,怎麼快速恢復,這就涉及到備份,不管你數據是在雲上還是本地,都要考慮容災和備份能力。
“企業數據備一份,出問題時丟失概率是100%,丟了能不能找回全靠運氣;做兩份,數據丟失概率就已經非常小了;三份我們認為在99.9%的情況下,你的數據已經不會丟失了。”
不過備份越多,經濟成本越高。周斌稱,如果沒有備份,或者說備份機制不完善,這都是隱藏的風險。
目前企業最需要做什麼?
目前對企業來說,周斌稱,做好了權限防護,後續還要做權限維護,原來做權限維護就是定期梳理各種權限,但現在對很對大企業來說,幾乎不可能了。
“首先梳理就不可能,涉及數據太多,有的企業員工和客戶數據都放一塊,千絲萬縷;就算你梳理完了,將來可維護性也幾乎為零,因為不可能費了三、五個月梳理,隨著數據的增加,過個一年半載又要梳理,這完全不可以持續。”
周斌稱,唯一的辦法就是權限統一集中在一個平臺中去處理,企業必須要有統一的權限梳理模塊,並且能夠把各種業務系統或運營系統對接到身份管理中心,一次性做完,類似企業身份平臺這樣一個概念,也便於審計跟管理。
周斌稱,“這方面騰訊安全目前有身份安全管控平臺這種產品,面向政府、廣電、交通、旅遊等行業,我們已經擁有了數千萬的用戶和穩定超過兩年的穩定運營的經驗,未來要做的是讓這種身份安全管控平臺更好的服務更多企業。”
閱讀更多 中國吉林網 的文章
