浅析数据安全防护

本文介绍了数据安全防护的背景、所面临的问题以及对应的策略，并介绍锐捷产品在数据安全方面的解决方案。

#安全

发布时间：2022-09-13
点击量：
点赞：

分享至

我想评论

1 数据安全防护的背景

数据安全防护，是指通过采取必要措施确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数据安全应保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全，并保证数据处理过程的保密性、完整性、可用性。

随着信息与通讯技术的飞速发展，大数据早已渗透到各行各业，推动全球数字经济蓬勃发展。“万物互联”时代下，每年入网设备数量在不断增长，随之产生的数据量也以超乎想象的速度呈指数量级增长。IDC Global DataSphere（2022）指出，2021年，全球数据规模达到了空前的84.5 ZB，预计到2026年，全球数据规模总量有望达到221.2 ZB。数字经济带来的发展机遇促使数据成为驱动经济发展的第五大生产要素。

然而，数据经济高速发展也伴随着诸多数据安全防护问题。近年来，全球数据安全威胁呈现多样化趋势，各类数据泄露、网络攻击、恶意软件、数据贩卖等问题层出不穷，极大危害到网络安全和企业利益。“没有网络安全就没有国家安全”，数据安全防护是网络安全的基础，是国家安全的重要部分，数据安全防护问题在全球范围内引起了广泛关注。

2 数据安全防护面临的问题

近年来，由数据泄露引发的网络安全问题已经成为主要的网络安全危害之一。ForgeRock在《2022 ForgeRock Consumer Identity Breach Report》中指出：2021年，全球有大约20亿条消费者信息（包括用户名和密码）泄露，比2020年增加了35%。IBM的《Cost of a Data Breach Report 2022》报告也显示：2022年全球数据泄漏的平均成本达到435万美元，较2021年同期上涨了12.7%，数据泄漏规模和数据泄露平均成本均创历史新高。超过83%的受访企业表示他们经历过不止一次的数据泄露问题。此外，该报告还指出：医疗行业连续12年都是数据泄露成本较高的行业，而且还在快速增长中。2022年医疗行业因数据泄露产生的平均违规成本较2021年增加了近100万美元，达到创纪录的1010万美元。

除此之外，信息技术的快速发展，催生出许多新型高级的网络攻击手段，使得传统的检测、防御技术暴露出严重不足，无法有效抵御外界的入侵攻击。网络安全解决方案提供商Check Point的报告显示：2022年第二季度全球网络攻击创历史新高，较2021年同期增长了32%，全球的每个机构平均每周遭遇的攻击次数可高达到1200次。即使有传统的防火墙、网络防病毒等被动的数据安全防护手段，仍有超过80%的设备至少遭受过一次网络攻击。不断攀升的数据安全防护问题已成为当今全球网络安全的核心关注点，阻碍着数字经济的稳步发展。

3 数据安全防护的策略

为应对层出不穷的数据安全防护问题，全球诸多政府、企业和网络安全专家都在积极应对并实施全方位的数据安全防护策略。

3.1 政策层面的数据安全防护策略

美国是全球最先启动大数据战略的国家，并将其上升到国家战略层面，制定了一系列政策体系来确保数据安全，包括《网络空间可信任身份的国家战略（The National Strategy for Trusted Identities in Cyberspace）》、《国防部数据战略（DoD Data Strategy）》等。欧盟为确保能够成为数据时代的领航者，在数据安全防护方面构建了完善的法律框架，提升数据安全防护的透明度，通过构建“泛欧数据市场”实现其数据战略。近年来，我国相继出台多部数据安全防护相关的法案，包括《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全保护法》和《中华人民共和国个人信息保护法》等，极大完善了在数据安全层面的法规制度和标准体系，对政府数据、企业商业秘密和个人信息的保护起到了决定性的作用。

3.2 技术层面的数据安全防护策略

3.2.1 防火墙技术

防火墙是安全系统中的初始安全层，部署在网络边界，对进出网络边界的数据进行防护，防止未经授权的用户或信息进入内部网络，保证了网络数据的安全。防火墙技术是一种有效的网络安全机制，防火墙产品内置的防火墙技术可对内部网络进行划分，实现内部网络网段隔离，防止局部的网络安全问题对全局网络产生影响，并且保障网段独立，免受内部网段攻击，起到数据安全防护作用。

随着信息化安全问题日益复杂，传统的基于端口进行应用识别和访问控制的防火墙技术已远远无法满足新形势下的数据安全防护需求。大量网络安全功能的内置以及安全产品自动集成化，促使下一代防火墙朝着网络安全平台的方向发展。锐捷网络顺应数据安全防护需求的变化，推出了锐捷网络新一代Z系列防火墙。该系列防火墙产品内置了IPS（Intrusion Prevention System，入侵检测系统）特征库，在设备收到数据报文时，把该报文的方向、源地址、目的地址、协议等信息和用户配置的安全策略匹配，决定是否建立数据流以及通过的数据类型、数据进出的位置等信息。在用户未配置安全策略的情况下，锐捷防火墙系统会默认一条全any禁止的策略，禁止所有数据包通过设备。另外，该系列防火墙产品会对经过的流量进行实时的深度检测，识别流量中隐藏的恶意信息，实现实时告警、阻断，确保用户数据不受威胁，起到数据安全防护的作用。

图3-1 RG-WALL 1600-Z5100新一代Z系列企业级防火墙

3.2.2 多因素认证技术

MFA（Multi-factor authentication，多重要素验证），又称为多因子认证、多因素验证、多因素认证，是一种设备访问控制的方法，用户要通过多种认证机制，才能得到授权访问某资源，如应用程序、在线账户、VPN（Virtual Private Network，虚拟专用网络）等。MFA是IAM（Identity and Access Management，身份识别与访问管理）策略的核心组成部分，其主要的优势是限制验证因素不仅仅是用户名和密码，还需要额外的验证因素，如指纹、授权码等，这极大程度上降低了数据泄露的风险，起到数据安全防护作用。

锐捷网络的RG-SMP+安全管理平台是锐捷新一代的终端安全智能准入与身份安全智能准入平台。利用多因素认证技术，在802.1x认证、Web认证、短信认证等传统认证方式基础上，引入Oauth实名认证、二维码认证、授权码认证、免认证等方式，同时还增加了直接与设备之间采用SNMP（Simple Network Management Protocol，简单网络管理协议）或Telnet等技术下发准入控制命令，实现对用户数据安全进行实时防护。

图3-2 RG-SMP+安全管理平台

3.2.3 敏感数据脱敏技术

敏感数据又称为个人隐私数据，常见的敏感数据有姓名、身份证号、银行账号、医疗信息等。这类与个人生活、工作息息相关的数据受到不同层次的数据隐私法规的管制，如果无法保障这类数据的隐私性，企业或政府在用户信任方面将会受到极大的质疑。

数据脱敏技术是敏感数据安全防护的一个重要举措。数据脱敏，即数据去隐私化，是指通过既定的脱敏规则和脱敏策略，对某些敏感信息进行数据的转换或修改，实现敏感隐私数据安全防护的一种技术手段。数据脱敏可适用于绝大部分需要与非生产用户共享机密或受监管的数据的情况，这类用户可能包括企业内部员工、外部业务合作伙伴等。数据脱敏技术可分为两种：

●SDM（Static Data Masking，静态数据脱敏）

SDM技术通过创建数据副本进行数据脱敏后分发至指定用户，使脱敏后的数据与生产环境隔离，在满足业务需求的同时起到了数据安全防护的作用。

●DDM（Dynamic Data Masking，动态数据脱敏）

DDM技术主要在生产环境中就对敏感数据进行实时脱敏，并且需要根据不同的需求进行不同程度的脱敏。数据脱敏过程中可能涉及对数据进行加密、加扰、剔除、赋随机值等方式进行敏感数据安全防护，确保数据在传输使用过程中的隐私安全性。

近年来，我国致力于科教兴国战略的部署促使信息技术在高校中得到充分的使用，高校校园网的建设将零散的资源进行整合和共享，打破资源地理划分上的限制，解决信息孤岛问题。需要注意的是，在高校智慧校园建设中存在大量的敏感数据，涉及高校人员的姓名、身份证号码、账户密码等，这类敏感数据在传播过程中就需要对其进行数据脱敏，保障用户个人隐私安全。锐捷网络在高校智慧校园建设方面建树颇丰，旗下智慧校园产业的底层核心平台——智慧身份认证平台（RG-Source ID），集成各种人员管理、多种身份认证、多入口单点登录、身份标签管理等场景功能，直击当下敏感数据安全痛点，内置可视化全动态数据脱敏加密工具，针对不同的用户需求实现不同程度的脱敏配置，并且不破坏底层数据间的关系，实现敏感数据安全防护功效。

4 结论

综上所述，面对日新月异的技术变化，在国家政策和个人权益的双重驱动下，数据安全防护的重要性不容忽视。数据安全防护技术在快速迭代的同时，其发展趋势也在合规的基础上，进行多因素融合，将数据安全防护落实到产品、业务与服务。新兴科技赋能数据安全，助力全生命周期的数据安全防护体系的建立，保障国家与企业的数字化转型，实现数据安全持续、有效的防护。

5 参考文献

●《网络攻击趋势：2022年年中报告》2022：Check Point

●《Worldwide IDC Global DataSphere Forecast, 2022-2026》2022:IDC

●《Cost of a Data Breach Report 2022》2022: IBM

●《2022 ForgeRock Consumer Identity Breach Report》2022: ForgeRock

●《数据安全治理白皮书 4.0》2022：中关村网络安全与信息化产业联盟，数据安全治理专业委员会