大家好，我是熱愛(ài)安全的老趙。平時(shí)喜歡琢磨，不將就，典型的理科男。

我一直特別喜歡安全這個(gè)領(lǐng)域，前些年，利用業(yè)余時(shí)間使用反匯編、 反java做過(guò)一些桌面軟件的破解， 其實(shí)更主要的目的是從這過(guò)程中來(lái)反思作為一個(gè)Software Developer，我們?cè)撛鯓痈玫谋Ｗo(hù)咱們的軟件? 直到2017年， 才開(kāi)始全職的從事安全崗位，其實(shí)也算是個(gè)嘎嘎新的“老new comer”。 我喜歡和大伙分享自己的學(xué)習(xí)和心得，也特別期待能和同樣熱愛(ài)安全的朋友們一塊交流。

前言

這次的話(huà)題是“淺談數(shù)據(jù)安全和隱私保護(hù)”。這是一個(gè)看似離我們很遠(yuǎn)，但又時(shí)刻發(fā)生在大伙身邊的問(wèn)題。每一年都有各種數(shù)據(jù)泄漏的大事件。其中包括一些互聯(lián)網(wǎng)巨頭， 涉及到百萬(wàn)，千萬(wàn)級(jí)的數(shù)據(jù)。

這篇文章，主要目的給大家介紹在2018數(shù)據(jù)安全和隱私大會(huì)上的學(xué)習(xí)心得。 從各個(gè)維度簡(jiǎn)單介紹當(dāng)前業(yè)內(nèi)一致認(rèn)可的整體方案和思路。 一來(lái)是給大伙參考，二來(lái)如果誰(shuí)對(duì)這個(gè)話(huà)題感興趣，也歡迎咱們一塊討論、交流。

正文

和大多數(shù)人一樣，我也曾經(jīng)遇到過(guò)詐騙電話(huà)，至今仍然記得當(dāng)時(shí)從疑惑 -> 緊張 -> 心跳加劇 -> 差一點(diǎn)上當(dāng) -> 剎那間幡然醒悟 的難忘經(jīng)歷。 也和咱們大多數(shù)一樣，事情就這樣過(guò)去了，好像它從來(lái)沒(méi)發(fā)生過(guò)。直到和小伙伴們一塊參加了“2018第三屆數(shù)據(jù)安全和隱私保護(hù)大會(huì)”，才對(duì)數(shù)據(jù)安全和隱私有了更深入的認(rèn)識(shí)。

現(xiàn)如今地球人都面臨著數(shù)據(jù)安全的挑戰(zhàn)，如果宇宙中真的有外星人，我相信他們也會(huì)為數(shù)據(jù)安全和隱私保護(hù)而頭疼吧。一句話(huà)，從個(gè)人到企業(yè)，數(shù)據(jù)安全和隱私保護(hù)都是非常非常Big，而且正在越來(lái)越Big的挑戰(zhàn)，下面是引用“2018第三屆數(shù)據(jù)安全和隱私保護(hù)大會(huì)”公開(kāi)的數(shù)據(jù)圖表：

圖1-全球企業(yè)數(shù)據(jù)安全問(wèn)題報(bào)告

圖2-國(guó)內(nèi)數(shù)據(jù)安全威脅報(bào)告

這些問(wèn)題，遠(yuǎn)不是個(gè)人和幾個(gè)企業(yè)所能解決的，我們需要全社會(huì)的努力和參與，這是一場(chǎng)持久的“戰(zhàn)爭(zhēng)”，那么怎么才是最有效的解決辦法呢?答案只有一個(gè) – – 使用安全工程的方法，系統(tǒng)的建立從上至下的解決方案。

1. 從數(shù)據(jù)生命周期著眼進(jìn)行數(shù)據(jù)保護(hù)

圖3-數(shù)據(jù)生命周期

2. 建立自上而下的數(shù)據(jù)保護(hù)體系

圖4-自上而下的全面數(shù)據(jù)保護(hù)體系

• 建立治理機(jī)制，明確定義角色和職責(zé)，以有效地管理和維護(hù)數(shù)據(jù)安全方案。
• 根據(jù)全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估所發(fā)現(xiàn)的差距，加強(qiáng)所有支持性IT流程。
• 采用涵蓋全部三個(gè)領(lǐng)域(人員、流程、技術(shù))的技術(shù)解決方案，以有效的監(jiān)控、防止、和響應(yīng)所有潛在的數(shù)據(jù)泄漏。

3. 采用適合的數(shù)據(jù)安全保護(hù)技術(shù)

??

4. 數(shù)據(jù)安全能力評(píng)估

當(dāng)采取了相關(guān)的數(shù)據(jù)安全和隱私保護(hù)方案，如何評(píng)估安全保護(hù)效果和能力呢? 《數(shù)據(jù)安全能力成熟度模型(DSMM)》正是為了解決這個(gè)問(wèn)題而制定的。 它定義了企業(yè)數(shù)據(jù)安全能力評(píng)估的國(guó)家標(biāo)準(zhǔn)。同時(shí)，頒布了與之配套的《數(shù)據(jù)安全實(shí)施指南》為企業(yè)實(shí)施數(shù)據(jù)安全和隱私保護(hù)提供了可操作的實(shí)施方法參考。

圖5 – 數(shù)據(jù)安全能力成熟度評(píng)估

5. 安全法規(guī)

從全球來(lái)看，世界各國(guó)都充分的認(rèn)識(shí)到數(shù)據(jù)安全和隱私保護(hù)的重要性?，F(xiàn)如今，大多數(shù)國(guó)家和地區(qū)已經(jīng)頒布和實(shí)施了隱私保護(hù)法規(guī)。目前最嚴(yán)格的法律就要當(dāng)屬歐盟的GDPR了，大家一定要細(xì)心學(xué)習(xí)一下。下圖列出了當(dāng)前各國(guó)和地區(qū)的隱私保護(hù)法規(guī)

6. 提升個(gè)人安全意識(shí)

對(duì)個(gè)人來(lái)說(shuō)，最重要的是提高自己的安全意識(shí)。 如果有條件，建議多參加一些相關(guān)的安全意識(shí)培訓(xùn)和講座，這樣就可以顯著減少安全事件發(fā)生的可能性。

例如：及時(shí)更新電腦補(bǔ)丁，及時(shí)更新防火墻和反病毒軟件的病毒庫(kù)，避免訪(fǎng)問(wèn)不受信任的網(wǎng)站，知曉如何防范釣魚(yú)，誘騙和社會(huì)工程等等。

另一方面，大伙也要遵守計(jì)算機(jī)和互聯(lián)網(wǎng)使用的道德規(guī)范，你知道嗎?懷有下列目的的任何行為都是不可接受和不道德的：

• 試圖獲得未經(jīng)授權(quán)訪(fǎng)問(wèn)Internet 資源的權(quán)利
• 破壞Internet的正常使用
• 通過(guò)這些行為耗費(fèi)資源(人、容量、計(jì)算機(jī))
• 破壞以計(jì)算機(jī)為基礎(chǔ)的信息的完整性
• 危害用戶(hù)的隱私權(quán)

小結(jié)

有一句話(huà)，大家一定熟知的： “道高一尺，魔高一丈”，但我們從未聽(tīng)說(shuō)：“魔高一尺，道高一丈”的說(shuō)法，這也許就是為什么我們確實(shí)沒(méi)有辦法完全避免數(shù)據(jù)安全威脅和隱私泄露的原因吧!但是，絕不要灰心，因?yàn)橛袩o(wú)數(shù)的安全工作者一直在為此努力著，相信我們的數(shù)據(jù)和隱私環(huán)境也一定會(huì)越來(lái)越安全!