传统的数据安全存在的问题有哪些
传统的数据安全存在的问题如下:
数据的流动性使安全防护困难。数据正在成为组织中重要的生产资料,并且会在流动、交换的过程中创造新的价值。传统的数据安全防护措施更多针对静态的数据,无法满足流动数据的保护需求。由于数据的流动性这一特点,要求数据无论到达哪里,都必须具有相同等级的风险应对能力,否则将因为短板效应而导致该防护体系失效。
传统的方案面临海量数据的巨大挑战。与传统数据库和文件服务器的数据分类分级不同的是,数据治理面临的第一个问题就是数据是海量的。在数字化时代,数据存储与传统数据库和文件服务系统存储不同的是,企业级大数据在来源、种类、格式、数量和敏感性上差别很大,使用的场景各有特点,安全要求各有不同。面对规模如此庞大的数据,已经很难采用传统的技术手段或人工的方式完成大数据平台的数据分级。
数据种类繁多,传统方案难以开展数据分类分级。在数字化业务环境下,数据来源非常庞杂,数据种类至少包括内部业务系统数据、外部机构数据、互联网数据等,这为数据的分类分级工作带来了巨大挑战。从各种渠道和来源收集上来的数据格式千差万别,如何对这些不同格式的数据进行归一化处理,不仅是数据分类分级工作的基础,也是大数据平台数据共享开放与分析挖掘的前提。
单一安全产品难以满足复杂应用场景下的数据安全要求。传统的数据安全机制通常是围绕着办公环境、小型数据中心开展的,数据资产规模小、种类少、结构单一,强调存储加密、脱敏、审计,数据安全体系不完整,难以满足大数据应用场景下的数据动态安全防护。
缺乏数据的识别与管控,难以开展有效的数据安全管理。企业积累了大量的生产、经营和企业管理数据,这些数据体量大、维度多,而且数据与数据之间的联系有强有弱。传统方案缺乏对敏感数据的识别能力。传统地依靠人工参与并结合自动化技术来识别敏感数据的方式,已经完全无法满足当前在时间和效果方面的需求。因此,只能通过新的大数据分析技术与人工智能手段来达到对海量数据的敏感性识别。
访问控制力度不足,缺乏精细化数据访问控制能力。在大数据场景下,数据从多个渠道大量汇聚,数据类型、用户角色和应用需求更加多样化,多源数据的大量汇聚增加了访问控制策略制定及授权管理的难度,导致过度授权和授权不足现象严重。同时,传统访问控制方案中往往采用基于角色的访问控制,缺乏基于属性的访问控制能力,且针对用户的权限策略相对固定,无法根据主客体的风险情况动态调整访问控制策略,导致无法为用户准确指定其可以访问的数据范围,难以满足最小授权原则。
传统的数据安全问题的防护措施如下:
以应用为单位进行资源分配:不同安全等级的应用实施不同安全等级的SLA服务,不同安全等级应用的资源物理隔离。不同租户之间的资源逻辑隔离。
各租户享有独立的存储空间:拥有独立的访问控制策略、存储策略、访问日志等。子/孙租户的存储空间只能是租户的子集,各子租户间共享物理节点资源,并逻辑隔离,拥有独立的进程服务、独立的数据库。
对用户存储空间的数据进行访问控制:云存储系统根据用户标识和对应权限对用户存储空间的数据进行访问控制,避免未授权用户访问到其他用户的数据和用户信息。同一租户下的子租户在ACL控制下可互访。
存储容器是数据存储的基本单元:不同的存储容器有不同的访问授权,用户数据必须存储在事先分配的存储容器中。
按需灵活采用身份认证措施保护数据安全:身份认证的目的是确认操作者身份的合法性,确定该用户是否具有对某些数据的访问或使用权限,使系统的访问策略、操作行为合规合法。如果身份认证机制失效,易出现身份冒认、非法访问等行为,进而对工业生产的正常运行造成威胁。
基于业务实际自主选择访问控制策略保护数据安全:访问控制是指主体依据某些控制策略或权限对客体或其资源进行的不同授权访问,限制对关键资源的访问,防止非法用户进入系统及合法用户对资源的非法使用。访问控制是保护数据安全的核心策略,为有效控制用户访问数据存储系统,保证数据的使用安全,可授予每个系统访问者不同的访问级别,并设置相应的策略保证合法用户获得数据的访问权。常见的访问控制模式包括自主访问控制、强访问控制、基于角色的访问控制、基于属性的访问控制。
应用集行为分析、权限监控等为一体的安全审计措施保护数据安全:数据安全审计是指对数据的访问等行为进行审计,判断这些行为过程是否符合所制定的安全策略。在数据安全治理中,数据安全审计是一项关键能力,能对数据操作进行监控、审计、分析,及时发现数据异常流向、数据异常操作行为,并进行告警。数据安全防护需要通过审计来掌握数据面临的威胁与风险变化,明确防护方向。