​诸子云 | 5.29深圳高科技和制造业数据安全专题研讨会

随着我们进入数字化时代，数据早已不仅仅是储存在服务器的字符串，更是驱动企业发展，驱动产业升级的核心要素，也是企业最有价值的资产之一。

数据的高价值自然也带来了更高的风险，近年来和数据相关的网络安全事件不计其数，给企业带来了最直接的负面影响。因此，如何在支撑业务发展的前提下，做好数据安全的防护工作几乎直接决定了企业防护体系的等级。

那么，企业在落地数据安全的过程中会遇到哪些难题，数据安全管控的痛点有哪些，零信任落地过程中，数据安全又会存在哪些挑战......

带着以上的疑问，5月29日，深圳数据安全专题研讨会在大家的殷切期待中正式举行，各个行业的网络安全专家汇聚一堂，围绕着“高科技和制造业数据问题”进行分享和深刻探讨。

本次专题研讨会在深信服公司举办，共分为“金融/互联网专场”和“高科技/制造业专场”两场，诸子云深圳分会会长李维春担任主持人。

李维春表示，自己在过去十几年安全从业中，最大的感受是数据安全领域的产品和技术并没有得到显著的发展和进步，同时在日常工作中存在许多痛点和经验教育缺乏充分的交流，因此他希望可以借由研讨会的举行，碰撞出更多的创新实践和思考。

为了增加趣味性，本次研讨会还专门增设了互动抽奖环节，奖品包括蓝牙耳机、移动硬盘以及运动相机，希望与会的专家们可以在结交朋友、分享交流的同时，不辜负这难得的周末时光。

在下午场的研讨会中，某研发企业前信息安全负责人潘梦军、某公司安全专家李磊、国内某头部企业首席安全专家、天空卫士南区技术总监黄军、红途创程销售总监李波、观安信息数据产品线总经理衡相忠，传音控股信息安全总监姚史洁等多位嘉宾分别发表了主题演讲，分享企业当前在敏感数据识别以及数据安全治理上的实践经验和新思路、新举措。

中小规模的研发型企业，非结构化数据安全管控是企业安全“刚需”，但在安全管控的有效性层面还存在很多挑战。

例如，芯片研发型企业等IT基础相对薄弱，一些好的解决方案落地相对困难，同时数据特点也有所不同，大多都是代码类、版图类等非结构化数据。而在管控这些非结构化数据的过程当中，我们也遇到了一些痛点和一些个人等思考，这也是今天要和大家分享的内容。

数据分类分级的目的在于解决资源有限性和效率最大化的问题，这已经成为所有安全人的共识，但其中的重点是，细粒度如何把握和非结构化数据的密级如何判断？

对此，潘梦军提出三点，一是“一刀切”：根据企业的实际业务类型、业务模式，识别出特定的文件类型，对此类数据的安全管控措施统一“一刀切”；二是抓住业务流程中的关键节点，从流程的输入、输出环节中，识别出相关文档类数据，将此类数据定级为最高密级；三是把上一个环节中识别出来的文档数据内容进行分解并与业务流程相关节点匹配，其他的以此类推，数据->流程节点->数据。其中的关键是要识别出与业务相关的最基础的数据（元数据）,为后续的工具化打基础。

易分散、交互多和易伪造是数据安全管控的三大痛点，潘梦军认为想要解决这三大痛点，企业应首次对数据进行统一管理，即把分散的数据通过统一的系统进行归档管理，管理系统具备最基本的安全功能，如权限管控和日志记录；其次，收紧数据出口，即关闭对外数据出口，严控内部数据出口，内部出口具备最基本的安全审计功能；最后是在业务流程中开出口，基于业务流程识别数据交互需求，管控措施融入业务流程中，并按照交互数据的涉密等级细化管控粒度。

其中，数据出口与业务流程融合的目的，明确和落实流程节点上的安全职责。只有管理职责明确了，技术措施才能更好的发挥作用，管控效果才能更好的体现。

安全技术选择的痛点有加解密、DLP、沙箱和平台，涉及效率问题、误报问题、兼容性问题、成本问题等。为此，潘梦军的解决办法是场景化、守底线和重管理。

场景化是指安全应该聚焦业务场景，先解决最大风险点，不求大而全，但求有效；守底线是指安全技术的有效性可以不完美，但是审计、可追溯功能必不可少，这可以为我们守住安全的底线，万一发生了泄密事件，可以定位到人；重管理大家都能理解，所谓“七分管理三分技术”，目的是为了落实职责，管住人。

最后，潘梦军就“如何与业务部门之间的协作”发表了看法，一是摆事实，讲道理，明确职责；二是安全工作是为公司的整体利益服务，本质上也是为业务服务；三是一条船，风险共担，协作共赢。

零信任下数据安全管控实践与挑战

2020年新冠疫情的出现使得大多数企业开启远程办公模式，随之带来接入内网人员数量骤增、远程权限松绑和接入终端类型多样化等变化，放大了远程办公的数据安全风险。企业面临的点状数据安全风险，扩展成面，需要重点解决数据落地、核心应用面向外网暴露和拍照等风险。

结合以上面临的数据安全风险和业务场景，我们提出了数据安全管控“三原则”，即数据不落地：公司数据不落在不受控的电脑终端或外部环境中；核心不对外：核心应用系统不对外开放，特殊按需审批控制；BYOD受控接入，BYOD仅访问特定资源。

基于“三原则”，构建了零信任数据安全管控框架，主要围绕终端可信和应用/链路可控两个方面。终端可信包括合规检测，可信接入、基于身份，按需授权及行为管控，数据不落地；应用/链路可控则包括链路加密、最小开放+安全评估、应用防护+定期攻防测试，以及威胁情报，实时APT威胁检测。

对此，李磊分享了两个典型业务场景的落地。

1. BYOD接入场景

针对员工、外包、供应商和代理商BYOD接入的需求，采取的措施是差异化的访问资源（云桌面或远程桌面）和安全策略管控。其中安全策略管控包括MFA、场景化水印、落地渠道消除和自动化预警等。

2. 办公PC接入场景

针对员工办公PC远程接入的需求，采取的措施是受控的访问资源和安全策略管控。我们将访问资源区分为基础包和拓展包，基础包定位面向全员，满足日常办公诉求；拓展包定位面向特殊需求员工，按需申请开放，兼顾安全和效率的平衡。

这里遇到的问题，主要是拍照风险的识别？现有技术条件下，期望做到低感知下的主动检测是不现实的，通常做法一般会采用水印等组合方式，通过事前威慑和事后追溯机制降低此类风险。

我们面临的挑战主要分两个方面，一是业务挑战，二是安全挑战。

业务挑战主要包括云桌面卡顿问题（海外尤甚）、IT资源浪费（云桌面非标配，应对需每人标配1台，造成IT资源浪费）、体验（无法做到与内网办公一致性的体验）的问题。安全挑战主要包括差异管控（业务差异化管控诉求支撑压力大）、精细化管控、以及研发云场景效率平衡的问题。

基于以上挑战，我们对业内其他基于零信任理念的产品也做了调研，看到沙箱或许是一个不错的方案。沙箱类似围栏的概念，进一步做到了风险的收口。沙箱功能的核心本质即网络访问控制和安全策略控制。

这里也有几个点和大家一起探讨，就是沙箱广泛应用的前提，需要在以下几个方面进一步加强：一是体验无差异性，目前沙箱内的办公体验与本机还存在着较大的差异；二是产品自身稳定性方面还有一定的进步空间，三是兼容性，沙箱与企业已有安全产品等的兼容还需要进一步的优化。

针对沙箱发展的趋势，轻量化、统一化、服务化和协同化会是主流。沙箱有望成为替代终端行为管控工具和承接部分攻击防护EDR的功能的产品，在行为管控和攻击防护方面做到统一化。当然，沙箱自然也不会作为一个独立安全能力孤立存在，一定会成为企业安全防护的一环，持续增强与其他安全能力建设的协同联动。

目前黑客攻击有一个很大的变化，以前主要是拿走企业的代码或文档，然后在暗网中售卖，但现在勒索攻击是直接要钱，企业一旦遭受攻击很有可能会对业务造成严重影响。 

2020年，已经有多家企业遭受了勒索攻击，包括丰田、佳明、佳能、富士康等。2021年，美国油管商科洛尼尔遭受勒索攻击，被黑客勒索了500万美元，企业前期支付赎金拿到秘钥，但据称解密速度还是太慢了，秘钥相当于没有，最后只好恢复备份。 

早在台积电遭受了勒索攻击后，我就在思考一个问题，企业究竟该如何应对？ 

一直以来我们都认为攻击方的技术更新更快，因为它是以利益驱动的。

比如油管事件的攻击方DarkSide到目前为止，其官网上公布的数据显示，至少81家企业和机构遭到了攻击。同时，勒索团伙如雨后春笋纷纷冒出，并率先尝试了勒索软件即服务模式，使毫无经验的人都可以参与，极大地降低了勒索攻击的门槛，并且造就了一个超级大的攻击平台，可以进行广泛的撒网和深度的探索，不断寻找企业的漏洞，然后进行勒索攻击。

针对日益频发的勒索攻击，我们需要构建两种能力，一是短期的应急能力，二是感知能力。我们还要构建对关键数据的保护。如果这些关键系统瘫痪了，那么会对公司的业务造成非常严重的影响。在2018年我们尝试做到72小时恢复，即便我不知道攻击和漏洞是什么，但是可以进行恢复。

同时我们还要加强数据存储灾备和恢复能力，确保系统在遭受灾难时数据的安全，以及业务的快速恢复。容灾备份我们已经实现了，由于现在系统的漏洞太多了，所以数据保护需要再加上备份系统，确保数据的安全性和可用性。 

接下来咱们讨论一个问题，面对勒索软件该怎么防护呢？2018年我们曾对俄罗斯勒索攻击软件家族进行研究、分析、筛选、发现，然后整合、形成了动态的基于机器学习的方法。基于终端动态，通过模型来建立勒索软件的感知能力。 

未来我们可能会将勒索攻击和APT攻击关联起来，然后实现较为精准的预测和防御。

数据安全治理体系与技术实践分享

正式分享之前，黄军首先对天空卫士进行了简要的介绍，比如是目前为止亚太地区唯一入选 Gartner 全球数据泄露防护（DLP） 代表性厂商和 CASB 观察者名单的中国网络安全企业。2020年入选Gartner《2020全球邮件安全市场指南》，成为亚太区唯一入选企业。

作为专注于数据安全的企业，天空卫士的数据安全治理体系以人和数据为为中心，，以咨询、产品、技术与交付服务为框架。天空卫士作为国内数据安全治理的倡导者和引领者，融合统一内容安全技术（UCS）和内部威胁管理技术（ITM），创立了内部威胁防护技术体系（ITP）。产品有云访问安全代理（CASB）、数据防泄漏（DLP）、内部威胁管理（ITM）、移动接入网关 (MAG) 、统一内容安全管理平台 (UCSS) 、增强型Web安全网关 (ASWG)、增强型邮件安全网关（ASEG）、统一内容安全审查平台（UCWI）、云安全平台 (GatorCloud)。

随后，黄军向嘉宾们重点介绍了天空卫士DSG：DSG是自适应的动态数据安全治理体系，通过平衡业务需求与风险，制定数据安全策略，对数据分级分类，对数据的全生命周期进行管理，从技术到产品、从策略到管理，提供完整的产品与服务支撑。

DSG着眼于数据生命周期的保护，涵盖了数据采集、传输、存储、使用、共享、销毁全生命周期，在不影响数据使用的情况下实现数据全生命周期防护。

为了让嘉宾们更好地理解天空卫士的数据安全产品，黄军分享了数据安全的三个实践。

1.数据泄漏风险防御。包括对通过网络外发的数据进行审计与拦截；对外发的邮件主题/正文/附件进行审计；对通过终端外发：（终端外设、网络、应用程序、即时通讯）的敏感内容及时拦截与告警。

2.DLP级内容识别能力。包括预置企业级高精度OCR引擎，千种文件类型识别，压缩/嵌套/图片识别，主流压缩加密格式识别。

3.核心机密数据类型。包括用户信息/薪酬/财务/战略、源代码、产品设计文档/技术方案/项目方案/测试方案/应急方案/需求文档和15种设计图纸格式(CAD)。

随着远程办公的出现，即时通讯中常常会出现大量的有价值的数据，那么这部分数据该如何保护？

天空卫士的终端数据泄露防护产品可以支持Windows、Linux、Mac操作系统终端DLP主要针对企业办公终端在办公环境中使用 U 盘/移动硬盘、即时通讯（QQ/微信等）、刻录、打印机等进监控和阻断，对通过电脑终端外发的敏感数据进行实时监控与保护。目前国内几家大的物流公司、航空公司、新能源公司都已经在使用。

在这个实践中，所有业务应用与邮件、终端、网络遵从一致的数据内容安全策略与合规基线；所有业务应用赋能统一的企业级深度内容分析能力；所有业务应用受益统一的敏感数据事件、证据管理与统计、违规信息追溯能力。

引用内容安全产品可以检测应用系统中传输、存储的数据是否合规、是否涉密、是否含有病毒木马等，识别并记录敏感信息的流动，能很清楚知道某一个敏感信息在什么时间，被谁使用过、在哪篇文档中使用过、发送给了谁。

应用内容安全产品可对CRM/ERP/业务平台、IM/OA/网盘类应用系统数据提供深度内容感检测，比如社区/论坛应用、内部即时通信、文件共享/网盘应用、APP应用中是否传输敏感数据。

随着数据安全战略地位提升和法律法规趋严，企业数据安全防护工作面临着越来越高的要求。另外随着外部威胁的增加，企业数据安全防护工作面临着越来越严峻的挑战。为了应对这些威胁，各个企业纷纷构建安全纵深防护体系，但是依然存在一些痛点，我们尝试总结了一下，主要有以下内容：

一是未知的威胁是无限的，二是安全运营往往扮演救灾队员的角色，三是当事件发生以后，安全会因为要素不全、链条缺失而导致难以审计溯源。

要想做好数据安全防护和运营，首先要清楚企业有哪些数据资产尤其是敏感数据资产，以前大家很少关注应用层面的数据资产问题，也缺乏相应的手段，相当于一个黑盒子。那么现在我们需要打开这个黑盒，梳理出里面有哪些数据、API和链路资产，从而更好地对数据进行治理、运营和保护。

基于此，红途创程提出数据原生安全的概念，数据原生安全有四个特性，分别是：以数据为核心、感知运营能力、内置安全能力以及联动控制能力。进而围绕数据原生安全提出了GOPR的方法论，GOPR是数据安全治理(Governance)、数据安全运营(Operation)、数据安全防护(Protection)和安全风险响应(Response)四个英文单词的首字母缩写。

当前产品有五大核心能力，分别是：

1、链路追踪引擎。采集用户的数据访问链路、数据在内部流转的链路，从而获取完整的数据流转链路。

2、有特征数据识别引擎。纯自主研发智能识别，内置九十余种策略，有效解决结构化和非结构化数据识别需求。

3、无特征数据识别引擎。业内首创，突破无特征数据识别难题，实现无特征数据的分类分级和流转链路管理。

4、应用日志动态采集。无需研发介入，全自动应用日志全链路采集技术。

5、用户ID与数据库语句三层关联。通过采集用户ID和数据库访问语句，获取三层关联日志信息。

可以有效覆盖数据资产梳理、API资产梳理、链路资产梳理、应用日志采集、三层关联日志、智能审计溯源这六大应用场景。

敏感数据自动识别的准确性

在上午的活动中，观安信息数据产品线总经理衡相忠已经分享了敏感数据分布地图建设方法，引起了现场不少嘉宾的兴趣。在下午的活动中，衡相忠就“敏感数据自动识别的准确性”和大家进行分享。

首先提一个问题：企业该如何自动、精准识别敏感数据？就目前而言，敏感数据自动识别还没有出现银弹，算法也存在各种局限性，因此只能是通过细粒度设计进行综合评判。

基于此，观安的做法是通过内置丰富敏感数据发现算法来发现常见固定格式的敏感类型；自定义发现算法可实现大量噪音的文本数据敏感识别；利用机器学习训练模型可解决人工无法自定义类型的问题；支持定时、周期性，增量等发现模式可持续更新适应数据的变化。

在这个过程中，有三个方面是企业必须要考虑的点，分别是数据本体、数据载体和数据环境。

数据本体包括数据格式（结构、半结构、非结构化）和数据噪音（嵌套、变换、转换），想要实现精准识别就必须尽可量支持数据格式，隔绝数据噪音的影响。数据载体包括载体介质（DB、文件、流转通道）和载体属性（客户端、服务端）；数据环境则包括数据环境（类型、描述）和数据关联（数据上下文）。

举个例子，我们经常遇见一个文本，南京市长江大桥，但从这一条数据你无法分辨这是人还是什么，如果发现第二条数据就变成了某某路，这时机器才会有反馈，上一条数据说的是路而不是人，因此除了对单条数据做去噪声、规整化、统一化以外，对于数据等统计分析也非常重要。

为了有效提升敏感数据识别准确性，观安的做法是多维度匹配，即可利用业务数据自身的多种特征采用多维度匹配模式，通过维度叠加的方式，来提升敏感数据识别的精准度。除此之外，可灵活用到的匹配维度还包括：数据值、字段名称、字段描述、表名、表描述、库名、库描述等。

此外，机器学习模型也可以有效提升敏感数据识别准确性。事实上，运用机器学习模型，对数据进行精准识别，贴近不同场景的用户业务需求，识别结果更精确、更智能。比如用户敏感数据发现后可通过结果来调整指定的学习内容，然后经过样本数据和敏感类型的机器学习，可以复用同类型任务，并以此为结果再次调整指定学习内容，循环往复。

最后，衡相忠也将观安信息敏感数据识别准确性等结果进行展示，让嘉宾们可以直观感受到观安信息敏感数据自动识别的强大和准确。

在座的诸位都是老安全了，先吐槽一下安全，我们常说做对100件事情也是应该的，但是做错了一件事这个锅就稳稳戴在了头上。如今从事安全行业也有十来年了，其中既有一些经验，也遇到了许多痛点，希望今天可以和大家一起分享，探讨。

2003年，我在的第一家公司是天嘉信，第二家公司是富士康，就职于富鸿网网络安全部，第三家公司是美国寿力，担任UTC 属下亚太区安全官，现在的话是在深圳传音，又是从零开始，重新出发。

一个企业的商业模式几乎就决定了安全模式。比如富士康作为业界大型的制造龙头企业，大概有30万员工，12个事业部，规模庞大，其IT部门主要分成两个部门，一个是网络部门，另一个是资信管理部，两家都想要把安全握在手里，在这样的情况下两家就必须竞争。

富士康实行的是军事化管理，管理特点就是“严”，但不见得就能保证安全。例如2020年富士康墨西哥工厂遭勒索软件攻击，黑客勒索3400万美元赎金 。

美国企业的管理风格是开放式管理，既有尊重也有信任，但是如果发现是坏人就会进行严厉的处罚，它的逻辑是假定你是好人，但如果发现是坏人就会进行严厉的处罚。值得一提的是，它对核心产品的保护做的非常好，但是对其他的网络控制放的比较松。

第三个公司是在手机行业，它的特点是以销售为指导，以制造为支撑的企业，讲究的是快速迭代和等效平衡。这里有两个问题，一是前段的销售数据、成本、价格和销售策略该如何管控；二是研发侧管控困难，研发人员对于安全软件很排斥。

我个人认为信息安全建设3-5年后是体系认证的时机。其实体系建设的推动力无非以下几个方面，比如客户需求、合规和检验现有的安全能力等。

如果信息安全建设3年了却没有发生任何的状况，那么我们可能要小心了，要么是你做的太好了，但更大的可能是敌人已经悄悄渗透进来了。比如在2018年渗透测试之前，我们也很自信，但结果却是他们只花了两周就渗透进来了。

这也就是为什么我们3-5年就要进行一次认证。另外，进行体系建设也可以给我们带来很多好处，包括整体规划、推进整改、甩锅的手段（总比什么都不做的强）等。

安全产品的选择常常面临以下的限制和影响。

1、国家的限制。比如在中美贸易战的时候很多企业因此遭到美国的限制，有的企业甚至因此不得不进行大批量的裁员。再比如印度限制使用企业微信也是一个很明显的例子。

2、实施限制。由于国内和海外存在很大的差异，倘若企业使用的国产软件，那么在海外该如何实施，有没有英文版和海外代理机构等。

3、代理限制是指国内是否只有一两个代理商？

4、售后问题则是指安全产品的售后是否及时响应；当产品出现升级或者其他问题时是否有强悍的技术人员支持。

无边界访问内容刚刚李磊已经讲了很多，我这里讲疫情环境。去年年初的时候企业被迫远程办公，那么我们该如何保证家里电脑的数据不落地；当海外员工电脑损坏后，又该如何快速恢复使用；国内出差人员该如何供应商沟通和分享研发资料等。我们的做法是基于身份、目标和状态进行控制，并可实现可审计。

花絮

本次诸子云深圳数据安全专题研讨会两场活动共计16个主题演讲，所有PPT都可在诸子云知识星球内免费下载。

另外，本星球已开通“分享有赏”，20%分享奖励，以当前价格计，您只需引荐5位付费新星友，您就完全赚回“门票”支出了。