每经记者:靳水平 每经编辑:文多
成都•世界信息安全大会。图片来源:每经记者 靳水平 摄
大数据时代,数据成为越来越重要的资产,数据安全防护也随之变得越来越重要。因此,如何在高速发展的环境里做好安全建设,成为业界普遍关注的话题。今日(10月22日)下午,成都•世界信息安全大会在中国西部国际博览城举行,部分与会企业家、专家学者分别就网络安全等问题展开激烈交锋和思想碰撞。
蚂蚁金服高级专家吴飞飞表示,很奇怪的是,企业在做网络安全的时候,都会思考从不同角度入手。有的公司是以漏洞角度为核心,有些公司则是以风险角度为核心。
“我们之前在蘑菇街做的时候,一直尝试以漏洞的视角为核心。”吴飞飞说道,但这样做安全后来会发现会漏掉一些重要点。
而以偏基础安全的风控,吴飞飞认为还不能看作是纯粹意义上的风控。他认为,有些团队有时会花很多时间去做一些对实际安全没有太大帮助的事情。但实际上,有的漏洞要么利用条件比较苛刻,要么利用路径比较困难。此外,还要考虑企业自身内部的量级、影响面、是否能快速修复漏洞。漏洞本身的情况加上企业的情况,才是这个漏洞对于企业的风险程度。这个风险程度才是做网络安全时应该要考虑的事情。
吴飞飞建议,在保护整个网络安全的过程中,如果企业本身有一个很好的目标、一个基准,朝着这个方向选择一个最优的基准,以基准进行网络安全建设,会少走很多弯路。
针对网络安全问题中的数据安全,滴滴出行数据安全负责人钱业斐认为,在企业内部,首先要思考的是数据感知,在证明、找到一个安全风险后,企业内部要思考感知,共同决定对于这个风险的评级是否要调低?否则安全保护推动起来就是时上时下,很多措施做了,日后却可能会被放开。
钱业斐表示,数据安全要想做得好,跟漏洞不一样,漏洞有CVE(公共漏洞和暴露),但数据安全则不同,比如前端页面可以直接下载大数据,或者这个权限没有做隔离,这些东西都可能导致数据泄露。
“习惯性用数据驱动,不要用感性认识评定该如何做。重视内部员工的数据安全行为,它造成的损失大于外部威胁。”钱业斐最后建议道。
每日经济新闻
领取专属 10元无门槛券
私享最新 技术干货