爱因斯坦说过,问题不可能由导致这种问题的思维方式来解决。面对瞬息万变的数据安全威胁,只有改变固有思维方式进行认知升级才能以不变应万变。接下来谈谈三个数据安全的认知升级。
01
没有绝对的数据安全
没有绝对的数据安全,只有相对的数据安全,数据安全是一种以安全为目标的持续的不均衡过程。持续的不均衡是凯文.凯利在《失控》一书里提出的一个概念。什么叫持续的不均衡?以走路为例,我们都有这样的经验,单脚立地的时候不好保持平衡,但走路时感觉很稳定。走路其实就是一个个单脚着地瞬间的连接,只不过这种不均衡由于两条腿着地的周期很短,我们意识不到而已。
数据安全也是这样一种追求安全的持续的不均衡过程。不断变化的业务场景迫使你调用既有的安全认知和技术来应对,当发现既有的认知和技术不足以应对时就要进行升级,如此循环往复保持一段时间内相对安全。
只有持续投入才能保证比攻击者快半步,就可以为自己争取一段时间,利用这段时间把未知的风险转变为已知的风险,再去寻找抵御风险和提升防御能力的方法。
02
数据安全要有系统化思维
航空界关于飞行安全有一条经典法则——海恩法则,即每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。这条法则同样适用于数据安全。对于医院核心数据的攻击也有大量的先兆,人们感觉不到是因为这样的攻击分布在边缘业务或者非核心数据上。因此数据安全要有系统化思维,必须系统化作战,只确保核心数据资产的安全是远远不够的,必须要形成一个系统,把与患者、合作伙伴、供应商等对接的账号等周边最容易被忽略的元素全部纳入进来,实行系统化防范。特别注意外包服务相关系统的防范,黑客攻击的突破点往往是安全防范力量最薄弱的地方。
03
数据安全评估及整改服务
从整体安全的角度对现有的网络与信息系统安全策略进行全局性的预评估,包含了技术和管理方面的内容,分析信息资产存在的安全漏洞,分析信息资产面临的安全威胁及威胁发生的可能性,检查现有安全措施的有效性,从而识别出信息资产中存在的安全风险点,并根据客户所能接受的风险,对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议。数据安全只有起点,没有终点!