2.如何通过向上管理,加大企业对数据安全的投入?
3.业务在公有云上,像防火墙WAF这种边界设备,能不用公有云厂商产品,而 采购其他安全厂商的安全设备吗?架构上有可能吗?
话题一
现在有种声音,觉得“数据合规太严了”,面对数据安全法规越来越多,企业数据合规的压力越来越大,这一困难该如何解决?
A1:
其实我作为一个非行业内人员,觉得事后处罚力度太轻,在处理数据合规问题上,大家容易逃避或者规避问题。
A2:
我觉得这个优先应该搞大头,抓大放小,我这些小公司,根本就摸不着头脑,数据分类分级的样板也没有,参考也没有。
A3:
这个说法不对,容易双标,双标的结果就是谁也不想做大,然后怎么发展国家经济?
A4:
我觉得本质不是数据合规太严格了,监管本身就需要对行业起到一定推动作用,要不然发布那么多法规干嘛,毫无意义,本质还是企业和监管之间需要取一个平衡,如何平衡各种不同业务/规模的企业在安全所投入的价值能否满足法规要求,以及企业法人/CEO对于安全的价值理解看待。
A5:
所以企业内控很重要,如果企业原本的内控机制有问题,这些只是虱子多了痒不痒的小问题,如果原本内控闭环机制运营良好,这些只是新加的风控条款,问题也不大。
A6:
如果出了事,涉案企业合规从宽算是弥补措施。
Q:企业数据合规往往也面临“开过了会、提了需求、给了方案、知道了风险”,但到底能执行到哪种程度、有没有效果,却是不知道或是不清楚,那企业究竟该如何保证数据合规的有效实施?
A7:
监管查,抓典型,令企业“不合规”成本变大,权衡之下,就会实施了。
A8:
我观察的结果,大概这样几个方面: 1.设置组织、分配职责、授权,大部分企业把数据安全合规放在IT,其实是不对的; 2.开展数据分级分类,更多的是系统BIA分级分类(含数据层); 3.开展核心系统、重要系统保护,比如等保、数据保护、数据防泄露、签署供应商保密协议、人员补充签署各种安全协议等; 4.建立制度; 5.技术方面,数据安全管理提升、网络安全能力提升,数据防泄漏系统、数据加密、传输保护、权限控制、身份管理 、零信任等; 6.开展自查自评估、数据保护等工作。
A9:
我再补充一下,既然要开展业务,那就考虑的更全面一些,因此: 1.员工培训方面:确保所有员工都能够理解海外业务中的安全风险,并知道如何遵守公司的安全政策和海外相关法律法规;定期组织培训,一定不能断; 2.物理安全方面:对于一些敏感的业务、数据、设备等,需要采取适当的物理安全措施,如访问控制、视频监控、安全锁等; 3.信息共享方面:在海外业务拓展过程中,可能需要与其他企业或机构进行合作和信息共享,需要谨慎处理,并与合作伙伴签订相关的保密协议和合同; 4.应急响应方面:在海外业务中,给自己留条后路,知道怎么全身而退;应该制定应急响应计划,以便在出现安全事件时能够及时应对,并采取必要的措施减少损失。
Q:大家觉得该如何通过向上管理,加大企业对数据安全的投入?
A10:
要向上管理只能借外部压力,上海这次亮剑浦江就很好。
A11:
一些特别的企业,加大投入也是国家法律法规要求, 向上管理=国家要求、证监会要求。
A12:
1.结合企业的实际业务,比如金融、外贸,就需要详细说明与生产的直接关联,不做可能产生巨额罚款,是影响企业生存的大事;一般企事业单位,就将一把手责任制,不做可能连带追责;中小企业就将现实的监管要求,某某上级单位多次强调XX,不做可能不给对方面子; 2.结合实际分析差距,那些需要具体的投入,最低投入多少,建议多少等等; 3.最好有兄弟单位、行业的最佳实践,参考着来。
A13:
看行业,通过政策合规,就像国央企那样,作为一把手的绩效,不用向上管理。
A14:
别的国家我不知道,现在我国央企、国企、政府机关、事业单位在推进一件事情,就是信息安全责任纳入高层绩效和政治考评。
A15:
以什么为评判标准呢?做了并通过了XX(比如等保,密评,关基)就算OK?或者是出事也行,到时请第三方进驻评估,看是没做好还是不做?以责任归属判断?
A16:
简单点说: 1.经济方面,要留一部分用于信息安全,比如30% 的收入与信息安全挂钩; 2.职位、政治方面,出小事罚款,出中事下课,出大事坐牢。 至于过不过等保、密评、关基,从影响度和范围来评估到底是1还是2还是1 2。
话题二
业务在公有云上,像防火墙WAF这种边界设备,能不用公有云厂商产品,而采购其他安全厂商的安全设备吗?架构上有可能吗?
A1:
可以,自己搞出口。但如果是SaaS业务,大概率不行。
A2:
公有云算PaaS服务 主要是云服务器和自建数据库。
A3:
物理上你不知道在哪里,怎么搞自己的防火墙。
A4:
感觉也不可能把设备扛到公有云的机房里去,公有云玩法就得全家桶。
A5:
可以ECS镜像部署,坑蛮多的,建议不要放边界,可以关键节点。
A6:
云服务器有IP吧,仅允许防火墙所在的公网IP访问。
A7:
自建机房放安全设备,域名绑定机房的公网IP,再引流到云上就行了,机房跟公有云用专线打通,就跟内网一模一样。
A8:
题主是不想用公有云的防火墙,想自己搭一个,主要是防止公有云内部各用户之间的串流。
A9:
WAF 可以用软件的。防火墙如果用自己的,会很麻烦而且很局限,基本就是映射 EIP 到墙上,墙控制 NAT 等,但这样不太能高可用。如果考虑高可用用云的 LB,那只能四层映射墙的 80 443,灾备和流量出方向的管控又很难弄,路由要全局的修改。比如 Fortinet 的墙,性能是管够。
A10:
IDC也可以建LB啊,他的意思就是只用人家的服务器,前面的安全设备、LB都用自己的。
A11:
他说的是公有云,公有云我联系测过,改动很大的,网络架构会很复杂。
A12:
我知道是公有云,我上面说的,自建IDC,跟公有云专线打通,就是大内网,跟传统架构基本一样的玩法。
A13:
软件WAF是指自建一台服务服务器安装WAF组件吗?还是那种直接每台Web服务器安装Agent。
A14:
对,不管是反代还是啥的。
本期观点总结
在面对数据安全法规越来越多和企业数据合规压力增大的情况 ,讨论认为,解决这一困难可以从多个方面入手。比如建立完善的内控机制,确保企业原本的内控闭环良好运营,以及通过分类分级、保护重要系统、建立制度、技术提升等方面保证数据合规有效实施。此外,数据安全投入的向上管理,可以通过外部压力、国家法律法规要求、不同行业更细致的监管要求等途径来实现。
在公有云上部署业务时,通常使用公有云厂商提供的安全产品,如果考虑采购其他安全厂商的设备,需要注意复杂性和一些限制性。自建安全设备可能存在部署和访问的问题,因此需谨慎评估。对于SaaS业务,自行搭建安全设备可能不实际。采购安全设备需权衡安全性与可用性,并选择与公有云架构兼容的解决方案。
近期群内答疑解惑
Q:请问网关类产品有没有实际效果比较好的防DDoS、 分片等简单攻击的措施 ?
A1: 自己部署设备,国内做DDoS的考虑某盟的产品。 A2: 我们要在自己设备上搞,只需要能防御简单攻击就行。 A3: 这种附带功能的数通设备,感觉运算性能都不够,只能应付小打小闹,而且攻击流量大于专线带宽时,再好的设备都顶不住,流量在上游就拥塞了。 A4: 买抗D设备 运营商清洗服务,自己配置的那些基本扛不住什么。 A5: 是的,这种功能就是简单防御下,大流量下肯定不行。我们是小型网关,这种成本太高了。
Q:对官方网站(含政府网站)进行远程漏洞扫描,犯法不犯法?
A1: 未经允许违法。 A2: 要授权,未授权就违法。 A3: 追加问题:如果我方系统与对方系统有对接,能否对对方系统进行安全扫描? A4: 不能,我记得都要授权。 A5: 我记得之前一个白帽子发现了一个地方政府网站的漏洞,报给了CNVD,然后政府还是将这个白帽子给告了,判了。
Q:翻出数据库里的个人信息(敏感信息、隐私信息),生成数据清册,跟踪并记录哪个系统、哪个模块在调用,这个有简化方案吗?
A1: 数据库扫描 分级分类工具。 A2: 敏感数据清单好说,自己定义规则扫描,跟踪记录使用麻烦。 A3: 有行标的。 A4: 行标里也没落地的方案。 A5: 行标里有敏感信息定义,扫出来拉清单,然后结合监管、行业要求、安全保护要求设计方案。 A6: 识别哪些是敏感的没问题,向上溯源整个使用链路很难。 A7: 看系统架构和数据架构,每个系统都有蓝图设计、开发,调用哪些字段、数据很清晰啊。 A8: 要是有现成的话就不这么头疼了。 A9: 每个系统的逻辑不一样,没有现成的。
甲方群最新动态
上期话题回顾:
内外网系统等保如何定级;安全漏洞风险如何量化
活动回顾:
酱香拿铁刷屏后,我们搞了一场“真香”的网安沙龙
近期热点资讯
调查称全球多所顶尖高校网站存在网络攻击风险 谷歌应用商店中惊现Telegram间谍软件,下载量超数百万次 面临安全危机!AI聊天机器人领域兴起“越狱潮” GitHub 曝出漏洞,或导致 4000 多个存储库遭受劫持攻击 CISA、FBI、NSA联合发布深度伪造威胁网络安全报告