11月24日至27日,以“新基建——安全为本”为主题的年度信息安全界盛会——NSEC WORLD 成都·世界信息安全大会顺利召开。大会由3大院士共同领衔,逾40家网安品牌同台,近60位海内外演讲嘉宾倾情奉献,吸引逾70万名全球观众观看。作为数据安全代表企业,美创科技应邀出席此次大会。
在数据安全及云安全分论坛上,美创科技CTO周杰进行了题为“驭数而新,安全为本——构建面向新基建的多维数据安全框架体系”的主题演讲。
周杰在演讲中指出,数字经济时代,数据的价值迎来了影响深远的革新,随着“新基建”推进,多元技术的应用,数据已不再仅仅是信息的载体,而是与土地、劳动力和资本一样,成为关键生产资料,通过开放、流通等不同方式创造价值,重塑个人生活方式与商业模式。
但数据价值提升的同时,也带来不断升级的安全风险。过去,基于网络位置的传统安全防护提供着强大的防御能力,而伴随着“新基建”、数字化转型的开展,先建设再定界、先定界再加固的传统安全防护模式正在被颠覆:
首先,随着5G、人工智能、工业互联网、物联网为代表的新型基础设施建设加速,数据处在更加开放的环境,增加了数据曝露面,安全防御难度急剧上升。其次,“新基建”聚焦于以数据的流动形成宝贵的数据资产,更追求数据集中和共享,集中后的数据风险问题更加凸显。
新基建、数字化转型已成为必然趋势,而能否保障好数据安全,可以说是数字化转型成败的关键。要解决数字基建面临的新风险,这需要转变传统安全思维,企业在安全策略实施方面需要聚焦数据对象的本身,从各个场景出发构建动态的数据安全综合防护体系。
为此,面向新基建、数字化转型,美创科技在数据安全领域十余年的研究和实践经验基础上,推出基于中台的新一代数据安全架构。周杰介绍,美创科技新一代数据安全架构,从资产、入侵、风险三个视角为核心,以零信任、入侵生命周期、风险治理为理论指导,建立一套数据全生命周期的管控。资产视角:基于零信任2.0架构,从资产出发,消除默认信任,形成以人为中心的身份管理,构筑基于上下文、行为的动态访问控制体系。
资产有其所固有的模式,每份资产被访问的模式基本确定,无论是业务系统还是运维人员,也总是会在一定的范围内,这就很好的为我们确立访问边界。通过资产定义、资产梳理、分类分级、做好资产管理。从资产角度出发,建立一个虚拟的动态的访问边界,实现资产应该被谁访问,确定最小访问权限,从而让资产运行在一个安全的动态访问边界内。
入侵视角:打破传统入侵防护每个阶段割裂的状态,通过分析入侵生命周期的特征,关注入侵过程中涉及到的资产、身份和行为,并根据不同的攻击特征,多维度的定义出涉及到的资产、身份和行为,进而完善零信任的身份认证、资产授权管理等相关体系。
入侵视角和资产视角互补,入侵视角可以为资产访问边界的确定提供有力的支撑。
风险视角:风险治理从哪里开始一直是个难题,风险的多样性增加了风险治理的难度。那么如何才能把风险治理落到实处?美创科技主张从六大维度来进行风险治理和评估。每一个维度都可以提供风险的素材。数据驱动安全,六大维度所固有的数据基准,可以为风险治理提供依据,从而把风险从混沌中提炼出来。
资产视角和入侵视角都可以在一定程度转变为风险。风险是资产和入侵的一个产物。有了风险信息,就可以更好的加强数据访问控制。
安全产品天生是场景化、碎片化的。不同部署位置、不同的目标让安全产品各自为政,一来让客户迷茫在众多的安全产品之中,二来安全厂商也为产品安全的开发投入大量的重复性劳动。为此,美创科技推出数据安全中台,把安全能力下沉到业务中台,由业务中台提供安全能力,在此基础之上提供安全产品的快速搭建和统一管理。1. 以数据中台和业务中台的双中台架构,数据中台提供访问数据的感知、控制、处理、组织和集成,业务中台则以数据中台为基础,为各种安全业务应用提供基础能力。
2. 以资产和身份为核心构建感知控制体系,应对新场景下身份管理和使用模式的改变。
3. 以治理为手段,构建包括身份、资产、行为、结果、入侵阶段和手段、风险库、知识库、行动上下文等在内的主数据体系。
4. 以事件为中心,实现持续动态检测和响应。
5. 以 NIST CSF框架为指导,构建业务中台,对外提供包括识别、保护、检测、响应、恢复在内的完整的安全能力和功能输出。
6. 以场景化驱动丰富的安全产品生态 ,通过各类安全产品融合联动,促使安全从原来被动、割裂走向融合、场景化且统一管理。
基于美创科技新一代数据安全架构,面向新基建、数字化转型,各行各业过去依托单点、离散的数据保护措施,将升级主动、体系化的数据安全体系。周杰表示,美创科技拥有完善的数据安全产品线,覆盖数据使用安全、数据流动安全、外部入侵安全,数据存储加密、防勒索、业务连续性安全、数据安全态势感知等能力。根据数据位置的不同,可通过以上产品和安全能力,采用不同的防护手段进行全局式防护,从而构建起从以往单点防护到对数据安全的全生命周期链条式的防护策略,扫除防护间的盲区,实现数据在哪里,安全就在哪里,安全跟着数据走。要解决的问题,就是数据如何正确的被使用,即数据应该被谁在什么情况下使用以及什么情况下不能使用。通过资产定义、身份识别、访问控制策略制定,确立资产访问边界。安全检测点应该尽可能的靠近资产,离保护对象越近,所能获取的保护对象信息就越多,保护也就越精准。比如:➤ 采用存储层加密,容灾备份等手段,实现资产的连续性安全;➤ 多因子实现身份识别,默认不信任,先认证再连接;➤ 授权基于PBAC, 采取最小特权原则,不同身份执行不同策略;➤ 动态访问控制引擎,基于风险评分,上下文等信息使访问控制策略动态化;➤ 基于攻击不同阶段,挖掘特性,从攻击全生命周期加强资产身份的边界确认;在数据流动路径上,增加检测点,跟踪数据安全状态、数据流动轨迹。数据从数据中心出去后,就意味着失控,数据从一个相对安全的区域流到了不安全的区域,安全就应该跟着数据走。相应的技术手段包括:➤ 添加数字水印,确保数据流转过程防篡改和可溯源。当数据在终端落地后,由于终端设备状况复杂多样,安全威胁将更大。因此需要从多个维度来保障数据的安全性,如:数据自身的存储、数据使用状态、数据二次分发等等。➤ 采取环境监测、透明加解密、权限控制、数字水印、威胁监测响应等防护手段,以应对终端复杂的安全环境。“驭数而新,安全为本”,数字经济时代,数据增值成为发展引擎,数据安全是发展保障,作为国内领先的数据安全和数据管理领域服务商,美创科技也将加大数据安全领域的投入,联合产业链伙伴们一起,为数字经济保驾护航。