🔥 热搜 🔥
11'"1'@亘古鱿鱼游戏朱令抖音kN张靓颖朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'@亘古鱿鱼游戏朱令抖音kN张靓颖朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会娱乐国际人权科技经济其它
查看原文
其他

美创科技周杰:基于零信任建设数据安全体系是必然

Cismag 美创资讯 2024-03-27



杭州美创科技有限公司副总裁、首席技术官 周杰



周杰简介

周杰,杭州美创科技有限公司(简称“美创科技”)副总裁、首席技术官。从事数据安全领域研究开发十多年,曾经在思科等公司任职,长期跟踪和关注数据安全理论、技术、实践,对于增强身份治理、资产治理、风险治理、动态策略等有比较深入的研究,同时对于零信任、攻击链、持续自适应风险信任评估等理论体系比较熟悉,在云管端的数据安全产品开发方面有着多年的实践,积累了大量经验。目前他是云安全联盟(CSA)零信任专家、认证讲师,从事 SDP、数据安全等研究,保持和 NIST、GARTNER 等机构的紧密联系,紧跟数据安全理论技术的最新动态。此外,他还代表公司参与了数据库防火墙、数据脱敏、数据共享、数据备份等产品的标准制定及修订。

随着大数据、云计算、物联网和人工智能驱动的新一轮全球科技变革成为现实,数据在其中扮演着愈发重要的角色。与此同时,数据安全问题愈发突出和严峻,数据泄露、勒索等安全事件频发,对个人隐私安全、组织权益、社会稳定、国家安全等造成了严重威胁,如何保障数据的安全开发和利用,成为全社会关注的焦点话题。
事实上,政企单位的安全管理和防护措施更多针对网络层面。随着数据的价值凸显,数据成为黑客和不法分子的目标,数据的安全意识不足、防护不到位等问题导致数据安全事件频发,对组织单位经营发展产生重要影响。面对层出不穷的数据安全风险,尽管多数企业把数据安全摆在了整个信息安全体系中最重要的位置,但是如何进行数据安全建设,既能满足监管侧要求,又能在业务侧保证数据安全,首席信息官(CIO)、首席安全官(CSO)一直在探索和尝试。
美创科技结合多年在数据安全领域中的经验,从零信任数据安全 1.0 架构到 2.0 架构,构建起以“以数据中心、流动路径和终端落地为视角”的安全防护链。通过对数据生命周期链条式的防护,实现数据在哪里,安全就在哪里,让数据自由流动,发挥更大价值。
近日,记者与美创科技副总裁、首席技术官(CTO)周杰,围绕数据安全领域的数据安全治理思路、防护思路、发展特点等内容进行了详细沟通和探讨。

记者:您如何理解现阶段的数据安全?

周杰:我认为,现阶段的数据安全可以用查尔斯·狄更斯的话来形容,“这是最好的时代,也是最坏的时代”。
一方面,2021 年,数据安全市场景气度高涨。国家在数据安全领域的政策制定与立法工作明显提速,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等出台实施,一系列配套法规和规章紧锣密鼓地进行意见征集或者颁布,释放了大量政策红利。在强监管态势和数据业务发展需求下,我们明显感受到各行业单位对数据安全建设的重视程度在加深,尤其涉及大量公民敏感信息及社会治理、公共服务方面重要信息的政府及互联网数据密集型行业,“数据安全是整个信息化、数字化过程中的基础工程”,这一认识正在觉醒,这对美创科技和同一赛道的其他厂商都产生了很好的促进作用。随着政策刺激的持续兑现和数据业务的持续推进,数据安全市场规模增幅将进一步扩大,迎来春天,这是整个行业的共识,当然,数据安全领域也将会面临更加激烈的赛道竞争。
另一方面,从目前来看,数据安全形势依然严峻。一是有组织、大规模的勒索病毒攻击、数据泄露等事件频发,数据安全面临的威胁不仅仅是传统的黑客、地下黑产。2021 年,全球爆发多起赎金巨大的勒索攻击事件,勒索病毒因勒索软件即服务(Ransomware as a Service,RaaS)模式兴起所引发的高爆发态势对数据安全构成了严重的挑战。二是新技术和新架构带来的挑战,导致出现了许多传统安全防护体系无法应对的问题。目前,很多企业新生业务对数据实时性要求不断增加,这就要求安全服务效率更高,要在最早的时间发现安全风险,并在最短的时间内进行应急处置和追踪溯源。三是数据流动属性释放给数据安全带来更多的不确定性和更大的防护难度。数字化转型的深入建立在数据要素流通之上,依托数据共享交换实现信息资源集约化、服务化和标准化供给。以前数据相对离散、静止,企业拥有的可能仅是 GB 级别的数据,但现在,企业数据的体量、格式构成都十分复杂、活跃,并在不断发生变化,当敏感程度不一的数据参与到生产经营,与企业内各部门、外部第三方交换合作,参与数据处理的角色更加多元,数据安全防护和管理的难度都在大幅提高。

记者:您是如何看待政企数据安全治理和数据安全防护的?

周杰当前,加强数据安全治理已经成为维护国家安全的战略需要。对政企单位来说,数据安全治理是进行数据安全防护的重要基础。政企数据安全治理建设涉及从决策层到技术层,从业务部门到 IT 部门等多个部门的沟通协同,绝不能仅靠单个或多种产品、解决方案的简单“堆积”,而是一种自上而下系统性的解决方式。其中还对匹配性、目标和宗旨等有很高的要求,确保有序、畅通、合理、有效地进行数据资产安全管理和有效保护。
网络和数据安全方面的保障能力在不断提升,但现阶段仍存在数据现状不清晰、数据权责不明确、安全制度策略不完备、防护能力不匹配等问题。
安全问题实际是“人 + 方法 + 工具”协同作用的结果,这需要对企业的各方面数据和流程进行详细梳理,包括业务流程、关键数据、权责关系、数据权限、功能权限和角色权限等,并对这些环节的关键风险点进行分析,最终给出一个贴合业务的数据安全解决方案。数据安全治理的首要目标是找到数据安全和数据业务的平衡点,让双方的利益得到最大范围的保障,既要把握好业务之间的紧密联系,又要兼顾效率与稳定可靠的平衡,其中的互通性和复杂性可见一斑。因此,数据安全治理体系的建设,必须与其业务流程产生强关联。此外,还需要对数据进行分类划分,以及根据重要程度进行分级,对不同位置、不同形式和不同级别的数据实行不同的保护策略。
需要强调的是,数据的价值在于流动。而数据一旦产生流动,很容易走向失控,因此,在数据流动之前掌控数据,控制流动路线,以便当数据流动失去控制之后,至少要求完成流动溯源或实现流动限制。具体可以从 4 个方面来操作:一是要及时发现敏感数据并进行分级分类;二是在数据流动之前进行安全措施保护,使其在流动中保持数据安全性,溯源控制的主要手段有脱敏、加密和水印;三是数据提供方通过制度性的审计检查推动数据接收方合规使用数据;四是通过流动可视化来更好地发现可能存在的数据流动风险。
另外,数据安全问题表面上是技术层面问题,但实际上属于管理层面,核心在于“人”,技术与制度都是“人”的工具。这就必然离不开人的安全管理。实际上,所有的安全问题从本质上都可以归结为人的安全问题,所以,对于人的安全管理成为数据安全的核心课题。

记者:政企用户数据安全建设常见的问题有哪些?

周杰:在美创科技服务的大量客户中,我们能看到用户数据安全建设的一些共性问题。
一是不清楚数据资产,无法有效保护。不少企业困境是很难摸清楚数据资产家底,由于系统过多、数据过杂,无法有效统计和获知数据资产的真实情况。例如,企业有多少数据,有哪些数据,数据价值如何,这些数据分布在什么地方,最有价值的数据存储在什么位置,企业数据的归属和责任人是谁等。也有企业虽然进行了数据资产盘点,但缺乏大数据平台支撑,或者没有运用科学合理的分析方法,导致多个来源数据的质量不高,数据挖掘和分析在质量上大打折扣,结论的有效性和可用性也被大大削弱,甚至成为垃圾数据资产。
图 1 当前数据分类分级面临的问题
这就要求第一阶段对数据治理工作展开调研,摸清楚企业数据资产的分布、数据的质量、数据的管理现状、数据应用需求等情况。该阶段的工作目标是确定数据治理项目的目标和范围,评估数据治理成熟度,确定改进内容和方向并与客户达成共识。然后,按照业务主题进行数据资产的梳理,并制定数据资产的标准。包括:数据资产的数据含义、数据来源、存储路径、管理部门、管理人员等,其中对核心数据资产要进行重点梳理,并进行分级分类。
二是如何进行数据分类分级,也是我们接触到的高频问题。数据分类分级事实上是一项复杂的工作,作为数据安全治理的前置性基础项目,分类标识要全、逐步定级要准、分级管理要细,才能更好地实现数据安全精准化防护,但既要符合国家要求,又要结合行业数据特性,很难通过“上产品”的方式解决,这也是目前企业单位用户面临的一大难点。美创科技在实践中形成“六步走”的数据分类分级整体方案,通过“咨询服务 + 技术工具”的方式来配合完成数据分类分级的最终落地。
图 2 数据分类分级实施步骤
例如,美创科技咨询团队在前期对企业数据战略规划、数据建设情况、业务需求、信息安全环境进行深入调研,分析企业数据管理现状,得出数据资产状况,整理形成业务系统清单,输出业务平台调研结论等。在实施以及后续长期动态运营阶段,为提升数据发现和分类分级的准确性和规范性,缩短项目周期。与传统分类分级做法相比,美创科技自研的暗数据发现和分类分级平台集合自动扫库扫表、模型匹配、数据统计、机器学习等技术,实现高效率、高质量分类分级和持续化运营。
三是数据安全防护技术和产品的选择问题。市面上关于数据安全的产品有很多种,例如数据脱敏、数据库审计、数据库防火墙等,每个产品都有其特定的功能和特定的应用场景。
图 3 数据安全建设需要考虑的几个方面
总的来说,首先,单位在安全建设中应有一个明确的安全目标,分层解耦,分步实施,例如,哪些部门、哪些业务、哪些数据需要达到什么样的安全程度,需基于风险评估进行合理规划,避免后期升级难、扩展难、重复建设甚至推倒重建等现象,从而造成成本的提升,同时,还需平衡好安全与业务之间的关系,不能因安全保护力度过大影响到数据的正常流动和业务开展,也不能因业务发展置安全风险于不顾,例如数据库加密系统,存储加密技术实施复杂,是否涉及业务系统改造?存储加密技术实施后,是否影响业务系统对数据库系统的访问,造成严重的性能损耗?
其次,对数据全生命周期和具体防护目标场景进行安全能力的配置,例如入侵防护、访问控制、数据脱敏、数据加密、水印溯源、防勒索、容灾备份等。数据的价值在于流动,当敏感数据发生流转时,要确保安全跟着数据走。这时,脱敏就显得尤为重要,同时需要运用全流量的溯源审计等技术手段,一旦发现问题进行预警同时阻断。加水印也是一种比较典型的技术手段,可在数据泄露前的数据载体中隐藏水印标记信息。一旦发生数据泄露事件,则可提取水印,进而对企业员工、组织机构等进行溯源追责,一定程度上还可以起到心理威慑作用。
最后,数据安全不是一次性投入,而是一个持续的过程。数据安全建设完成后,用户需要通过持续的数据安全运营工作使整个过程有效地运转起来,并在运营过程中不断地优化提升。

记者:请您详谈一下美创科技零信任数据安全体系架构。

周杰:美创科技是国内较早将零信任理念应用于数据安全领域的厂商,2015 年,美创科技正式形成了零信任数据安全架构 1.0 版本,经过 5 年的成熟实践,2020 年,美创科技零信任架构升级为 2.0 版本,形成以资产、入侵、风险 3 个视角为核心,以零信任、入侵生命周期、风险治理为理论指导的新一代数据安全架构体系。
图 4 基于数据流向的全生命周期的数据安全策略制定
图 5 从零信任 1.0 构架到零信任 2.0 架构
零信任是美创科技数据安全产品体系的核心。目前,数字化转型业务的开展,数据由静转动,数据安全场景、保护对象都在发生变化,但传统边界安全保护的目标并没有具体所指,这就导致传统防护与现有安全防护需求的失衡,在这一背景下,零信任是破解这些挑战的最佳选择。在美创科技基于零信任思路构建的数据安全防护体系中,充分考虑流动数据安全防护,以数据安全治理为前提,形成数据资产清单;结合零信任体系和安全治理成果,基于数据流转路径和现有的数据访问原则和控制策略,规划数据安全策略;继而导入零信任架构,通过全局数据安全态势感知、数据库审计、数据脱敏、数据水印、数据库加密、数据备份恢复等技术手段,对数据全生命周期进行多方位防护。
在美创科技零信任数据安全实践中,资产和身份是两个核心支撑点:一方面,美创科技从资产视角出发,以数据资产保护为核心诉求规划防护体系,通过重新定义资产的边界来实现进一步的治理与管控,例如,明确访问资产的行为,建立细粒度访问控制模型,定义访问策略,同时充分认识到数据流动已经成为主要的安全场景之一,采取相应的技术手段(如 3A 加密),简化重要数据在不安全的网络环境中存储、计算和流动的管理难度。另一方面,在围绕资源建立了访问控制点后,改变传统基于位置和账户的认证和权限管理体系,结合人、可信终端、应用和账户 4 个要素,进一步实现以身份为中心的访问控制策略,进行持续信任评估和动态认证授权。

记者:在数据安全治理方面,美创科技有哪些沉淀与创新?

周杰:我们认为数据安全治理的结束是数据安全运营的开始。目前,我们通过“数据安全治理咨询服务 + 数据安全管控平台 + 数据安全产品”的立体方式,真正帮助用户落地了数据安全治理实践。这个过程在业界没有参考,从理论模型到推广应用,美创科技也是一直在摸索、沉淀、改进和应用。在 2021 年某燃气公司、某机场、某医院都得到了很好的反馈。除了数据安全治理,美创科技还有一块业务范围更大,属于数据治理的范畴。在美创科技看来,安全和成本是制约数字化转型是否成功的两大因素:一是数据安全是数字化转型顺利进行的基础。数字化转型背景下,数据不再只存在于内部网络,还会在内外部进行交换共享,因此面临更多的安全问题。如果安全不到位,轰轰烈烈的数字化转型就会在中途“夭折”,走不到终点。二是成本。数字化转型是不断探索、不断迭代的过程,需要消耗巨大的资金成本和机会成本,这也限制了它的成功率。对此,美创科技数据治理业务致力于以灵活、低成本、敏捷交付能力帮助用户降低数字化转型成本,提高用户数字化转型的成功率。目前,美创科技已经形成数据管理、数据流动、数据应用、数字化交付服务 4 大完整产品线,一站式提供数据发现、分类分级、集成、治理、服务、资产运营等核心能力,核心产品数据治理 3 件套——数据资产管理平台、暗数据发现和分类工具、数据支撑平台,在可操作性、全交互可视化、数据处理智能化、安全性等多方面的能力得到不断优化,且完成在各类主流物理环境、云环境、大数据基础层面的灵活适配。目前,该业务主要聚焦医疗卫健、物流交通两大垂直行业,并取得很好的成绩,例如在港口,我们已经先后为宁波舟山港、深圳港、广州港、青岛港、天津港、厦门港、大连港、北部湾港等国内港口客户提供数据治理、数据应用、数据安全建设等解决方案。


本文来自信息安全与通信保密杂志社,记者王超










请输入标题

请输入标题

继续滑动看下一个
美创资讯
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存