随着“新基建”的走热,5G、人工智能、工业互联网等产业被寄予厚望,有望迎来质的发展。随着这些产业发展,数据安全成为了所有企业必须直面的挑战。
据安全企业Risk Based Security统计,2019年上半年,全球发生3813起数据泄露事件,被公开的数据达41亿条。各行业正在遭受高频次数据泄露安全事件困扰,无论是科技巨头还是传统厂商,一旦发生数据泄露,都会遭受巨大的损失。
而世界通信行业巨头威瑞森公司曾在一份报告中指出,近四分之一的数据泄露是由于企业内部人员操作不当或主动泄露造成的。究竟该如何做好数据防护、管理员工权限,防止类似事情再次发生呢?近日,中新网记者采访了腾讯安全云业务安全负责人周斌。
资料图:多企业打击电信网络诈骗。
企业安全权限漏洞多
周斌称,目前很多企业权限设置不当,也存在安全漏洞,很多的场景下,为了先让业务运行,企业往往是业务先跑起来,但是随着整个业务的推进,积累的历史风险也就越来越多。
“另外,很多企业里面都能碰到这种情况,某员工权限过低,不好开展工作;权限过高又有风险。”周斌称,企业对此一般采取临时授权,而临时授权带来的风险是很多企业开启权限就忘记关,从此该员工拥有了一个特权账号,却没有被针对性管理。
周斌还表示,随着云时代的到来,云上体系和原来体系怎么打通?现在还有很多企业员工随时随地办公,不一定在企业局域网里面,身份体系怎么管理?很多企业在调整和适配过程中可能就出现临时授权或权限越权事件。
“越大型企业,这个情况越突出,它越不灵活。所以越大型企业越要警惕数据丢失或越权这样的事情。”
企业该如何预防?
那企业如何预防类似权限漏洞导致的安全风险呢?目前业内普遍认为数据安全七分靠管三分靠治,保障企业数据安全不仅需要完善整体管理体系,还要建立一个可有效落实管理制度的安全产品体系。
首先,企业要梳理数据的整体风险。随着《网络安全等级保护2.0制度》、《数据安全管理办法》等法规的陆续出台及完善,合规是企业首先要做的。其次,好的策略需要好的工具才可以有效地落地执行。
最后就是对外部、内部、大数据等不同场景针对性地构建一体防护方案。例如采用身份认证,数据库审计,加密网关等保护核心数据不受外部攻击的威胁。
周斌称,要配合数据安全系统对数据泄露进行更好的管理和防范,首先就是权限配置,很多人认为,部署了一套安全系统,是不是就已经能防护住了?结论是不一定,因为系统权限不一定配置妥当,比如某员工拥有了不该有的权限。
“权限配置好了,还有权限隔离问题,很多大企业都是多个核心系统,某员工可能只有一个核心系统的高级权限,如果不做权限隔离,可能涉及到其他核心系统权限。”
另外,周斌称,员工不在公司内,通过公用网络接入,企业还要考虑申请登录的“员工”是不是本人。因为这个账号、密码有可能是被别人利用了,这个环节要有一个权限审计模块,去审计这一次的行为是不是高危行为。另外,还可设置可信终端等预防远程登录不是本人操作。
周斌称,做好了权限配置,还要做好容灾,容灾是指当数据发生风险以后,怎么快速恢复,这就涉及到备份,不管你数据是在云上还是本地,都要考虑容灾和备份能力。
“企业数据备一份,出问题时丢失概率是100%,丢了能不能找回全靠运气;做两份,数据丢失概率就已经非常小了;三份我们认为在99.9%的情况下,你的数据已经不会丢失了。”
不过备份越多,经济成本越高。周斌称,如果没有备份,或者说备份机制不完善,这都是隐藏的风险。
目前企业最需要做什么?
目前对企业来说,周斌称,做好了权限防护,后续还要做权限维护,原来做权限维护就是定期梳理各种权限,但现在对很对大企业来说,几乎不可能了。
“首先梳理就不可能,涉及数据太多,有的企业员工和客户数据都放一块,千丝万缕;就算你梳理完了,将来可维护性也几乎为零,因为不可能费了三、五个月梳理,随着数据的增加,过个一年半载又要梳理,这完全不可以持续。”
周斌称,唯一的办法就是权限统一集中在一个平台中去处理,企业必须要有统一的权限梳理模块,并且能够把各种业务系统或运营系统对接到身份管理中心,一次性做完,类似企业身份平台这样一个概念,也便于审计跟管理。
周斌称,“这方面腾讯安全目前有身份安全管控平台这种产品,面向政府、广电、交通、旅游等行业,我们已经拥有了数千万的用户和稳定超过两年的稳定运营的经验,未来要做的是让这种身份安全管控平台更好的服务更多企业。”(记者 吴涛)