物聯網
返回首頁

新思科技:部署數據安全戰略,加強安全管理和隱私保護

2021-09-07 來源:EEWORLD

與數據技術相關的應用正改變著各行各業,然而與數據價值并存的是信息安全和隱私保護問題。如今企業運營越來越數字化,他們必須在應用安全流程中采取合適的舉措以確保數據安全。尤其是隨著各種數據隱私法律法規的頒布,企業需要部署數據安全策略,以更好地實現合規性。


image.png


新思科技指出企業要更好地保護敏感數據,符合當地法律法規要求,就必須創建數據安全策略和框架,多部門協作共同保障數據安全。


世界各地的消費者隱私法


歐盟數據保護指令(DPD)完善了個人數據在歐盟內的處理的規范。加拿大《個人信息保護和電子文件法》(PIPEDA)規定了個人數據的使用權限。這些是最早一批頒布的隱私法。歐盟在2018年出臺的《通用數據保護條例》(GDPR)引起國際廣泛關注。


在中國,政府也頒布了相關法律法規。比如2017年正式實施了《網絡安全法》,旨在保障網絡安全,維護各主體網絡空間權益,促進經濟社會信息化健康發展。另外,近日頒布的《數據安全法》有助于規范數據處理活動,保障數據安全,維護各主體數據相關權益。而且即將在11月1日生效的《個人信息保護法》也將更加有效地保護個人隱私。


新思科技軟件質量與安全部門高級安全架構師楊國梁表示:“現在,政府和企業都在推進數字化、智能化及云化轉型,安全需求不斷升溫,對網絡安全行業的重視程度也在持續提升。各方都需要加強數據安全技術的應用。”


數據安全戰略和框架


企業必須首先創建符合其業務需求的數據戰略和建構。這對于那些以用戶數據作為其業務戰略的一部分的企業來說尤為重要。這需要企業建立并協調主要指標和目標,用于監管合規、數據安全治理、支持IT戰略和預估風險等。


其次,企業須進行數據查找和分類,明確訪問權限,并在企業的生命周期內管理數據集。數據分類需要注意文件、數據庫和電子郵件的敏感度;而訪問權限則規定哪些群體或個人被授予訪問權。類似地,應用需根據程序內數據的關鍵程度,以及它們是面向外部/內部,或云管理等進行分類。


此外,應由企業內不同團隊制定合理的數據安全政策和充足的執行資源,并經執行管理層批準。在戰略敲定后,企業應選擇有助于確保數據和應用安全的安全工具、產品和服務。


數據保護需要協作


首席信息安全官(CISO)的主要職責之一是保護其公司的重要數字資產,包括企業知識產權,例如轉悠源代碼和其它專利技術和機密信息。隨著數據隱私條例陸續頒布,CISO還需要保護用戶數據,包括個人身份信息、健康信息、支付卡數據等。


這些新頒發的法律法規加強了對用戶數據的使用和保留的限制。這需要企業保護用戶數據和其在內部及與處理這些數據的第三方供應商的使用。CISO 需要與不同崗位的同事協作,包括數據保護、IT 基礎設施、合規性和軟件開發部門等,以確保遵守數據保護和隱私法律、標準和指南。此外,混合云和多云服務的出現和采用為數據安全帶來了新的挑戰。諸如數據的地理來源、存儲位置和用戶訪問位置點等因素也進一步使數據保護變得復雜。因此,服務提供商和主要云基礎設施提供商需要采取更多、更有效的舉措以保護數據。


應用安全在數據保護中的角色


了解應用安全如何與數據和隱私保護聯系起來至關重要。越來越多行業正在數字化轉型,企業也不得不將業務數字化,并且要比競爭對手更早行動以獲得新客戶和留住客戶。在金融服務行業、醫療保健和電子商務/零售細分市場尤其如此,移動和 Web 應用程序和網站的使用量顯著增加。然而,這些網站和應用也可能成為黑客的攻擊媒介。黑客利用它們作為進入企業數據庫的入口,其中包含可以在暗網上貨幣化的敏感用戶數據。


從安全和系統工程的角度來看,新系統的軟件安全服務、架構分析和威脅建模同樣重要。CISO 應與其軟件應用開發、第三方應用采購和系統工程的負責人合作,以更好地保護敏感數據免受網絡攻擊。數據泄露可能導致高昂的代價。


楊國梁總結道:“雖然大家討論得較多的是數據安全,但數據安全與否其實是一種結果。歸根結底,數據不夠安全的原因在于處理這些數據的應用軟件在設計或實現上有明顯的缺陷,被攻擊者利用,而導致數據被竊取。在代碼層面進行安全檢測,甚至在設計階段就引入安全屬性,是為了從源頭上盡量規避、解決這類問題,把風險問題控制在產品推出市場之前。這也就是我們常說的安全‘左移’,在軟件開發早期就確保安全。”


進入物聯網查看更多內容>>
相關視頻
  • 微波五講

  • 天線原理 哈工大 林澍

  • 一分鐘了解智能家居發展史(視頻)

  • 直播回放: TI 新一代低功耗藍牙微控制器助您降低應用成本

  • 什么是天線振子

  • 智能樓宇無線解決方案

    相關電子頭條文章
萝卜大香蕉