大數(shù)據(jù)無處不在，安全性需要得到重視

（文章來源：企業(yè)網(wǎng)D1Net）

從大數(shù)據(jù)分析中獲得的見解對(duì)于企業(yè)來說是非常有價(jià)值的。但是，每個(gè)新數(shù)據(jù)流都會(huì)創(chuàng)建一個(gè)新的潛在攻擊向量，從而使傳統(tǒng)的外圍防御措施變得過時(shí)，并使組織容易受到攻擊。在以往，數(shù)據(jù)安全主管和數(shù)據(jù)科學(xué)家不得不在分析和安全之間做出選擇，但是現(xiàn)在別無選擇，特別是在嚴(yán)格的隱私法規(guī)出臺(tái)的情況下。那么，企業(yè)如何克服這一點(diǎn)，并確保高質(zhì)量的數(shù)據(jù)分析不受安全因素的影響呢?

大數(shù)據(jù)對(duì)企業(yè)的影響無法輕易量化。它幫助許多人制定了路線圖，以提高效率以及為他們的客戶改善服務(wù)和產(chǎn)品。通過收集這些大數(shù)據(jù)集，企業(yè)在制定業(yè)務(wù)決策時(shí)不再需要依賴直覺。與其相反，通過使用大數(shù)據(jù)分析，他們能夠以切實(shí)的方式獲得見解，查看模式，建立聯(lián)系，并理解人類的行為交互。對(duì)于當(dāng)今的組織而言，數(shù)據(jù)科學(xué)已成為當(dāng)今數(shù)字時(shí)代業(yè)務(wù)運(yùn)營的關(guān)鍵。

在過去的十年中，大數(shù)據(jù)已成為大業(yè)務(wù)，到2023年，大數(shù)據(jù)分析市場(chǎng)規(guī)模將達(dá)到1030億美元。大數(shù)據(jù)無處不在，它們?cè)趦?nèi)部部署數(shù)據(jù)中心、云端，以及來自傳感器和設(shè)備的流媒體，使它成為所有使用、存儲(chǔ)或傳輸數(shù)據(jù)的組織具有價(jià)值的商品。

由于組織已開始將大量數(shù)據(jù)轉(zhuǎn)移到標(biāo)準(zhǔn)范圍之外，而沒有意識(shí)到連接到云計(jì)算和物聯(lián)網(wǎng)設(shè)備等數(shù)字基礎(chǔ)設(shè)施，因此這種連接網(wǎng)絡(luò)已經(jīng)失控。敏感數(shù)據(jù)不僅遍及企業(yè)的在線網(wǎng)絡(luò)，而且遍及合作伙伴、供應(yīng)商和其他第三方。很多企業(yè)面臨的問題是，如果敏感數(shù)據(jù)發(fā)送給第三方，則不能保證他們會(huì)保護(hù)此關(guān)鍵信息。

這將創(chuàng)建復(fù)雜的連接網(wǎng)絡(luò)，使敏感數(shù)據(jù)面臨嚴(yán)重風(fēng)險(xiǎn)。而且，考慮到在過去12個(gè)月中有78%的組織經(jīng)歷了網(wǎng)絡(luò)攻擊，因此數(shù)據(jù)安全性再也不容忽視。因此，大數(shù)據(jù)的處理和安全應(yīng)該作為更廣泛的商業(yè)數(shù)字戰(zhàn)略的一部分來討論，而不是將安全視為一個(gè)獨(dú)立的、封閉的實(shí)體。

為了讓企業(yè)從大數(shù)據(jù)分析中獲得價(jià)值，它需要實(shí)現(xiàn)貨幣化，因此，創(chuàng)造的價(jià)值越多，數(shù)據(jù)就越敏感。這就是問題所在，因?yàn)榫W(wǎng)絡(luò)罪犯希望獲取這些信息以獲得更多的經(jīng)濟(jì)利益。在2019年的前6個(gè)月，全球大約41億份數(shù)據(jù)記錄通過網(wǎng)絡(luò)攻擊被曝光或被盜。數(shù)據(jù)分析師和工程師有責(zé)任像保護(hù)組織的安全團(tuán)隊(duì)一樣保護(hù)這些信息，特別是考慮到如今組織收集的大部分?jǐn)?shù)據(jù)都是敏感的個(gè)人信息。網(wǎng)絡(luò)攻擊者知道這些數(shù)據(jù)的價(jià)值，企業(yè)也需要了解數(shù)據(jù)面臨的威脅，而且其損失代價(jià)高昂。

有能力修復(fù)最新的網(wǎng)絡(luò)威脅并不是企業(yè)唯一關(guān)心的問題，因?yàn)樗麄冃枰袷匦袠I(yè)法規(guī)和數(shù)據(jù)隱私法，需要保護(hù)敏感數(shù)據(jù)。如果不遵守規(guī)定，企業(yè)將面臨可能高達(dá)數(shù)百萬美元的高額罰款。歐洲通用數(shù)據(jù)保護(hù)法規(guī)為企業(yè)在保護(hù)敏感客戶數(shù)據(jù)時(shí)所預(yù)期的情況提供了先例，但是如果信用卡信息泄露，那么需要遵從PCI DSS法規(guī)。這僅僅是兩個(gè)例子，因?yàn)楦鶕?jù)組織的運(yùn)營地點(diǎn)或信息涉及的對(duì)象，需要遵守多種法規(guī)。正因?yàn)槿绱耍M織正在尋求解決跨監(jiān)管合規(guī)問題的解決方案，同時(shí)保護(hù)整體數(shù)據(jù)。

為了保護(hù)復(fù)雜的在線環(huán)境以及駐留的數(shù)據(jù)，最好實(shí)施基于兩個(gè)原則的以數(shù)據(jù)為中心的安全策略。首先，盡早保護(hù)數(shù)據(jù)，這看起來很明顯，但是通常不是企業(yè)常規(guī)執(zhí)行的。如果敏感數(shù)據(jù)在偏移量收集之時(shí)就得到了保護(hù)，那么以無保護(hù)形式共享信息的風(fēng)險(xiǎn)就較小。第二個(gè)是僅在絕對(duì)必要時(shí)取消保護(hù)數(shù)據(jù)。如果個(gè)人或應(yīng)用程序需要以純文本格式查看受保護(hù)的敏感數(shù)據(jù)，則僅在必要時(shí)才進(jìn)行查看。這回到了始終保護(hù)數(shù)據(jù)的原則之上。從歷史上看，數(shù)據(jù)以其原始形式更易于分析和處理，但是在現(xiàn)代數(shù)據(jù)安全領(lǐng)域應(yīng)避免這種情況。有一些解決方案可實(shí)現(xiàn)安全的數(shù)據(jù)處理和分析，而對(duì)企業(yè)運(yùn)營的影響很小。

企業(yè)應(yīng)該投資于利用令牌化的解決方案，因?yàn)檫@將通過分析一個(gè)敏感數(shù)據(jù)元素與一個(gè)非敏感等價(jià)物(稱為令牌)來保證分析過程中的數(shù)據(jù)。通過標(biāo)記關(guān)鍵信息，數(shù)據(jù)分析師可以提取見解，而不必冒著暴露個(gè)人機(jī)密數(shù)據(jù)的風(fēng)險(xiǎn)。這消除了安全解決方案的主要問題之一，這些解決方案試圖在基礎(chǔ)設(shè)施周圍構(gòu)建隔離墻，而不是保護(hù)敏感數(shù)據(jù)。

通過采用這種“以數(shù)據(jù)為中心”的安全策略，企業(yè)可以在大數(shù)據(jù)分析環(huán)境中保護(hù)敏感信息，而不會(huì)影響在現(xiàn)有應(yīng)用程序和系統(tǒng)中使用數(shù)據(jù)的能力。遵守法規(guī)要求還可以帶來額外好處，而不會(huì)禁止或限制對(duì)某些包含敏感信息的數(shù)據(jù)集的訪問。數(shù)據(jù)有可能促進(jìn)或破壞組織的業(yè)務(wù)。大數(shù)據(jù)只有在真正受到保護(hù)的情況下，才可能成為一個(gè)偉大的工具。