数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周

admin 2023年2月2日21:53:24评论53 views字数 3505阅读11分41秒阅读模式

数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周

数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周

0x1 本周话题TOP2

话题1:请教各位大佬,数据安全和网络安全,信息安全最根本区别在哪里?

A1:互相交叉,数据和网络是信息安全的一部分。Cyber security 包括以上三者。

A2:我的理解网络安全偏边界,数据安全偏业务。

A3:各模块守的门不一样,要看你的网络是network还是cyber吧。

A4:现在其实就没多少涉及数据安全的,大部分甲方都只是在做网络边界安全。

A5:现在说网络安全一般指网络空间安全吧,cyber security。在中国,网络安全包含业务连续性,是最大集,而不是最小集。数据治理,信息安全,数据安全也不好定边界。数据安全,维度是数据,网络安全,维度是基础设施。

A6:应该是不好分开去定义,因为彼此都涵盖交叉,只是为了便于理解安全场景而已。数据安全,实际应该算数据治理的一部分来看会更好。看出发点是啥,基础设施出问题,会附带影响数据泄露。

A7:我们纠结了半天,数据安全是安全牵头还是数据治理牵头,最后还是算安全。数据治理,也涉及在基础设施层面如何定义好边界的问题。

A8:治理牵头会好点,但是出发点会有不一样的地方,安全在治理里面都算作管控这个子方向了。他们做完分级分类,后面的采存算管用销都要安全去给解决方案。然后也要你做到sdlc里面。

A9:治理包括测绘、识别描述、管控、质量。

A10:还要你给应用页面做敏感信息屏蔽给意见,现在还拉上个个人信息保护一并算。分类分级治理和安全都要参与吧。治理的分类分级视角跟安全还不太一样。摆脱不了,这个本来也算是安全提的需求。算管控的细节。分级分类在券商是有行业标准的。但那个只到数据分类,那你落到字段,落到什么应用,什么场景,哪些角色,那就复杂了。

A11:对啊,得有实际字段到类型级别的抽象映射。治理偏业务架构层面居多,很多看长期的动作。问题是,大厂有人,但普通甲方安全没有那么多人,更没有这么多人懂。映射完,那对现有系统改造,新增系统的数据架构设计,人数场的设计。

A12:数据治理如果有专门的部门,由他们牵头梳理,及制定管理规则,安全负责提需求,安全牵头梳理数据很难,要么就是由业务部门牵头。没有业务牵头很难落,安全要变成需求方和基建方。数据治理可以认为是顶层设计了,数据质量,数据分析,数据流程,数据安全,甚至数据合规…都需要组建虚拟组织来一起构建。

A13:这个事情,范围太广,安全部门目前只适合做部分技术落地工作。安全负责提安全策略要求及技术支撑比较合适,这些说的都是业务数据。企业商密数据,大多数应该还是安全牵头吧。

A14:安全只能做技术落地,什么叫商业秘密,怎么定义。保密性,防泄露,防漏洞 这个信息安全合适。不同的业务都有不同的界定,安全何德何能。

A15:财务,人力等这些数据。采集,使用合规性,太偏业务了。经营分析类的数据,我们这边是这样。

A16:安全三部法律,对应三大块安全:网络安全,数据安全,隐私安全,最近还多了一个算法安全。

A17:人理解商密数据安全还是要站出来的,IT,法务,各部门联动这里面,合规法务应该靠前站,IT做好技术落地就不错了。

A18:五法一典。国家安全法》《网络安全法》《数据安全法》《密码法》《个人信息保护法》以及《民法典》。

A19:网络安全,安全pk网络,大部分说了算。隐私安全,安全pk法务,各家不一样,谁lead都有。

A20:各位招数据安全的大佬,数据安全跟网络安全在一个团队吗?

A21:这里面,合规法务应该靠前站,IT做好技术落地就不错了。

A22:这里面,合规法务应该靠前站,IT做好技术落地就不错了。算法安全,安全pk产品和BI,安全有成熟治理框架,更多需要产品支持。

A23:那还有数据治理团队不?关系理顺了吗?

A24:数据治理就没怎么见过做的好的。没有哪家能说顺吧。各家单位安全组织定位不一样,安全部门如果是一级部门是交代不过去的。安全只负责技术落地的话,老板没感觉,他们看的是体系。

A25:安全的人去说数据体系,说了老板也不信。都是基于数据管理团队的产出和要求去做技术落地而已。只不过你的技术落地要有规划,有联动,有闭环而已。

A26:数据来源于业务,天然与业务紧密相关,所以有一份文件提出数据安全治理原则是“谁管业务、谁管业务数据,谁管数据安全”,数据安全管理一定要前置到业务部门。关于安全部门在数据安全治理工作中所体现的角色是一个值得探讨的议题。

A27:办公数据,财务,人力,经营分析这些偏商业数据的保护,指的是这些,业务数据的治理安全确实不好牵头。

A28:数据安全主要是对数据生命周期的管理,数据治理主要是推动和挖掘数据价值,创造新的业务,方向和目的都不一样。

A29:数据治理里面有数据安全域。

A30:数据治理团队很多不包含数据安全职能,如果包含通常开展的数据安全也仅仅是制定安全要求策略。最后还是落到安全团队来负责实际的数据安全。

A31:监管部门来查数据安全的执行情况也是找安全部门,别的部门也不头疼

A32:你们这是人多,还能细分,安全人少的公司,全包了。

A33:我们的感受倒不是。

A34:嗯嗯,各家不一样吧,我们目前是这样,涉及安全两字眼的都会过来。

话题2:大佬们,评估公有云安全方案,计划买下面这些东西,WAF、云防火墙、堡垒机、云安全中心、数据安全保护,还有可买的吗?或者哪些可以不买?

A1:hids

A2:云安全中心好像带hids,或者就是hids。

A3:是阿里云吧。

A4:腾讯云应该叫安全运营中心。

A5:数据安全保护是SDDP?带数据库审计的功能不?

A6:那挺全的了 云防火墙带了ips功能。

A7:ssl证书在哪里,wafips能识别加密报文吗。

A8:看云厂商的介绍,waf可解。

A9:ssl证书在云waf上就可以卸载。

A10:一般再CLB卸载。

A11:我还纳闷呢,怪不得厂商把waf放在防火墙前面。如果不是用来做业务的话,感觉高防没必要唉。

A12:好像我明白了。一般在负载均衡器上做SSL卸载。

A13:我们的业务一天完成交易即可。waf和云防火墙真的用起来比本地的要爽很多,充分能感受到云原生。ddos成本较高,负载均衡好像还在后面。

A14:腾讯云的WAF是绑在CLB下的如果不能挂,需要高防 如果要高可用,要slb 如果要吐日志,要消费日志的服务(吐也收费,但你说的业务估计在免费范围)。

0x2 本周精粹

重磅!西北工业大学遭境外网络攻击,攻击者竟是美国国安局NSA!

0x3 群友分享

【安全资讯】

漏洞风险提示 | 畅捷通T+远程代码执行漏洞

此次安全事件中涉及到的漏洞为任意文件上传漏洞。远程且未经过授权的攻击者可通过访问畅捷通T+的Web服务端口,上传恶意文件到服务器上的任意路径,攻击者可通过上传访问 asp dll 后门,即可执行任意代码、接管服务器主机权限

百日行动 | 企业经营守法律,数据安全莫大意

赵立坚:那家公司是美国政府白手套

全文来了!《中华人民共和国反电信网络诈骗法》

电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。给了安全团队强大的法律口径来做事哈。17、18条有了法律支撑。

黑客通过「用友畅捷通T+」实施勒索攻击:索要 2.8 万元

国家卫生健康委等三部门印发《医疗卫生机构网络安全管理办法》

2022年国家网络安全宣传周将于9月5日至11日举行

上海市等保测评机构5家变4家

【安全技术】

浅谈华为SDL软件安全工程能力

华泰证券:证券行业应用安全架构设计实践

--------------------------------------------------------------------------------

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。

往期群周报:

关于企业密码管理、特权账号管理、双因素身份认证的讨论,涉及海外用户的网站在数据出入境、内外部合规方面的一些建议 | 总第162周

通过XFF获取客户端请求的真实IP地址的讨论,攻击者能否让目标忽略reset继续通信?如何评价乙方渗透测试效果?|总第161周

对当下热点事件的探讨,以及对“数字化”及“数字化转型”背景下企业信息安全建设路径的思考| 总第160周

如何进群?

如何下载群周报完整版?

请见下图:

数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周

原文始发于微信公众号(君哥的体历):数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月2日21:53:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周https://cn-sec.com/archives/1292210.html

发表评论

匿名网友 填写信息