直播回顾|大话数据安全:平台化运营怎么做?
2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确地表示数据成为生产要素。与此同时,企业在数字化转型过程中发现,业务和数据的关系越来越紧密,随着数据爆发式的增长,业务流程愈发复杂,跨部门、跨角色的协作共享越来越多,数据安全所面临的风险和威胁越来越高。数据的格式、种类也极其丰富,数据存储、流转及使用已构成一个复杂的数据生态。
此前,安在邀请多位甲方专家共同讨论数据分类分级的建设和相关误区,而数据安全作为数据分类分级的上层建筑,目前也带给企业很多挑战。流动的数据和静态的网络边界势使数据安全的防护措施与网络安全截然不同,数据安全平台化运营的难度也提高了很多。
对此,如何通过平台化运营提升数据安全的能力?构建数据安全平台都会面临哪些痛点和难点?有哪些可参考的实际案例?带着这些问题,8月26日,安在再次邀请安华金和高级副总裁&事业中心总经理杨海峰,同金融行业信息安全专家蔚晨,OPPO数据安全架构师刘玉霞,安言咨询总经理董永乐齐聚线上直播分享。本次直播由安在创始人张耀疆主持。
(从左至右,由上到下依次为张耀疆、蔚晨、刘玉霞、杨海峰、董永乐)
张耀疆表示,数据安全是一个老话题,但这几年数据安全的变化非常大,不仅表现在立法,整个业界对数据的理解也发生了很大的变化,过去对数据的理解还停留在静态的,是资产的一种表现形式,而现在数据已经成为生产力了。因此,对于数据安全也需要有一些和过去截然不同的新思路。
蔚晨表示,作为金融行业的信息安全专家,他在信息安全行业已经工作了十五六年的时间。从他整个职业生涯以及接触数据安全的过程来看,国家、行业对数据的认知是越来越清晰。从ISO27001到等级保护,很多信息安全框架都涉及到数据安全,并且都会提到数据的分类分级。但实际上,站在安全的视角来看,数据安全的具体工作在整体数据安全治理发展的初期是不够体系化的。
因为安全与业务是间接相关的角色,很多时候对于数据安全的认知都来自于监管层面,从系统、网络、主机、终端等多个风险角度去做所谓的数据控制。回忆下来,当时的数据安全按照现在的门类分类的话,应该更偏向于应用安全和主机安全,只不过它所处置的对象是数据而已。
从金融行业的视角来看,数据安全发展主要是来自于监管的逐步要求,随着网络安全法、数据安全法等等一系列法律法规的出台,监管层面开始逐步将一些要求变得清晰,这也让金融行业的安全从业者找到了很多方向。但蔚晨认为,真正推动金融行业落地数据安全的管理措施,还是业务驱动。
刘玉霞表示,最初接触数据安全是在十多年前,那时候能和数据安全相关有文档加密、硬盘加密、数据库审计这几个产品。当时企业的诉求主要是对商业秘密的保护。促进传统企业开展数据安全更多的是自驱的需求,以防止商业间谍窃取机密。
随着互联网发展,企业数字化转型,电信诈骗越来越疯狂,数据安全的诉求也越来越多。大概在2015年前后,第二批数据防泄密的产品DLP出现在市场上,企业开始陆续引进这些产品,金融行业也开始落地加密措施和体系。
2018年GDPR发布前后,数据安全开始成体系建设,企业开始提出按照数据生命周期去管控数据。当前,随着我国数安法、个保法的相继出台,企业数据安全的建设的驱动主要围绕监管和业务。数据安全从过去单点保护开始向体系化转变,环境的变化至关重要,数字化转型、互联网发展都是推动数据安全的客观因素。
董永乐表示,数据安全这些年的变化很大,其中主要有几个原因。从安全需求的角度来看,数据安全 从原来的合规需求转变成自驱,其中的因素包括勒索病毒、APT攻击以及行政处罚。总结下来就是攻击的武器化使数据安全的威胁越来越严重,APT攻击目标也从原来单一的破坏转变成对专用数据的窃取。在原有行业监管的基础上,又叠加了专业监管。
从工作理念的角度来看,第一是遵循法律,第二是追求长效。三法一条例的框架下,数据安全的标准规范越来越清晰,企业建设或运营也有了很多参考。越来越多的机构正在通过人员组织化和流程工具化来实现持续起作用(长效)。
杨海峰表示,数据安全的发展主要是法律法规的明确,企业面临着是如何落地。在过去的两三年时间里,很多企业已经从传统面向具体场景或具体能力的数据安全转向系统的、体系的运营,从单点数据安全想体系化数据安全转变。
背后的原因不难理解,企业掌握着越来越多的数据,同时数据的使用场景也在快速地增长,相对的,企业面向的数据安全威胁及付出的代价也在不断地增长。依靠单一的防护手段只能满足单点场景的安全需求,很难形成全面的能力。所以基于自身数据安全长远的一种考虑,企业也会希望构建一体化的数据安全能力,来面对复杂的安全形势。随着法律法规的出台,后面还会陆续涌现出一些新的管理要求,常态化保障数据安全的能力是企业必须要做的。
很多金融行业的企业,在数据安全体系化方面主要表现在金融数据和个人金融信息的监测能力,在这个过程中,会有不同的部门结合自身的业务产生不同的需求。比如数据部门可能会关注数据部门的内部对不同级别的金融数据个人信息的使用,安全部门可能会关注来自外部的数据访问的风险和监测,这就使数据安全在不同的部门中产生不同的需求。
在政务行业中,比较典型的是政务数据中心,因为其汇聚了各行各个组织单位的数据,那么就更加需要体系化的、具有可持续运营的能力来保证数据安全。因为数据汇聚的量非常庞大,业务也非常的复杂,所以它会关注数据从前置到归集到标准库到主体库到平台全流程的监测和管控,而且对数据分发的场景也要进行相应的安全追溯和防护手段。在这个过程中,为了实现体系化的建设,会提出来三方角色,比方运营方、监管方和建设方。
大型企业会更加实务实一些,会更多地关注在数据使用环节过程中的合规监测。不同的行业和规模的企业都会呈现一些共同点,就是都是基于企业自身的业务特点和需求去考虑长效的具有可持续运营能力,而且他们基本上都会采用以数据分类分级为核心,构建数据安全的体系。
张耀疆表示,虽然数据安全愈发复杂,需求也各不相同,但是总结下来还是可以用三个词概括:常态化、体系化、平台化。企业到底要具备哪些运营能力,才能称得上常态化、体系化、平台化?
对此,杨海峰表示,数据安全的落地一定会涉及到业务方面的内容,也一定会涉及到数据安全和业务的平衡问题。在这个过程中,如何和能够在日常的流程中将合规的要求以及安全技术和设备有效地结合起来,形成统一的能力,依靠这种能力,在后续持续运转的过程中才能将不同部门及其背后的需求形成日常化的管理。换言之,一定要有一套流程在不同的部门中形成数据安全的闭环。
蔚晨表示, 数据安全和网络安全最大的区别在于,网络安全职责绝大部分由IT部门承担,其他业务部门参与为主,而数据安全则会让安全和业务之间有更多的“互动”。金融行业的数据安全最初更多服务于业务的基本需求,直到电信诈骗开始泛滥,金融行业的数据安全问题直接关系到业务的发展,至此业务与安全部门的合作意愿大大增加。然而,随着金融行业监管力度的逐渐提升,业务部门的安全要求也越来越高,比如企业级的数据仓库、数据湖等数据汇集、分析组件的快速发展,这也是金融行业在数据安全方面稍稍领先其它行业的很大原因。
监管指引促进了企业开展数据治理工作,而数据治理驱动了数据安全。蔚晨认为,安全部门与业务部门或IT部门沟通时,代表的是数据治理层面的安全需求,这种需求随着三法一条例的落地逐渐清晰,并演变成现在的体系化管理。实际上,当前的很多企业都还在标准化、自动化、平台化的道路上发展着,真正的企业级数据安全自动化运营还有很长的路要走。
刘玉霞表示,互联网标杆企业已经朝着自动化、平台化、体系化的方向发展,前期的很多建设工作都是在打点,点打得差不多,需要将各个分散的点连贯性起来进行闭环管理,这是就会考虑体系化发展。企业推动平台化的另一个驱动力是降本,监管及业务的要求,使企业在人力方面的投入越来越高,因此,企业需要在不大幅增加人力的基础上落地数据安全,就需要通过平台化降低人力成本,形成一套标准的方法论。
她认为,数据安全是一个体力活。数据的范围广,种类多,应用的场景复杂,数据安全的工作人员首先需要理解业务,识别风险,提出风险处理的解决方案,并将其作为经验沉淀下来,这就需要借助技术改善人力投入,实现降本。
董永乐表示,从咨询顾问的角度看,数据安全的痛点难点就是咨询工作的亮点,其中最大的痛点就是价值很难体现,更谈不上量化。高层不会花时间去分析数据安全报表,就缺乏高层注意力,导致可用资源减少。由于很难真正得到认可,数据安全建设的动力和对管理层的吸引力也会逐渐下降。
另一方面,数据安全难落地有几大难题,第一是分类分级,国内没有非常好用的分类分级途径,清晰的路线图也非常少见。网络空间安全目前已经有相对成熟的架构和路线图,但数据安全只有少数国外可供参考的路线图,国内目前还比较缺乏。最后一个难题是缺少合适的工具,这也是当前数据安全的市场机会。他认为,如何平衡监管要求和业务需求是当前大家需要面对和解决的问题,这或许正是数据安全管理的一个抓手。
杨海峰表示,从厂商的角度来看,不能只帮助客户发现问题,还要解决问题。目前存在的最大问题就是怎么以数据安全来保障数据的开发利用和业务发展。他表示,数据安全建设中面临着三个比较普遍的问题和难点。
第一个是数据安全和数据开发利用的平衡。数据被定义为生产要素,任何企业都会感受到数据的价值以及对创新发展的促进作用,但监管的要求又会让企业忧虑数据的利用会不会造成的一些违规。这是大家都会担心的问题,企业不想一刀切的阻碍数据的正常流动和利用。数据安全应该是站在数据的价值和挖掘数据价值去服务的角度。围绕数据生命周期为核心的数据安全建设往往容易陷入到单点防控的误区。因为生命周期是割裂的,而数据的使用不割裂,业务也不割裂,所以围绕着数据生命周期很容易陷入到单点防控,这条路的最后很可能是与业务发生的各种冲突。实际上,数据安全还是要基于数据分类分级,以分级为目标或者以分类为目标去完成数据安全监测和管控。在这种情形下,通过数据分类分级和数据纳管能力的建设,对不同级别的数据进行不同程度的保护和管理,是实现数据安全和开发利用平衡的一种最佳途径。
第二个问题是如何落地,安全能力的建设基于合规的要求,但多数的单点性的建设都会造成脱节,无法支撑流程和规范的落地。因此数据安全的建设需要把制度规范和流程进行解读。而这个解读的结果需要能通过平台的手段或者技术的手段,转换成不同的技术或者设备上的策略和规则,而且能融入到数据的使用过程中。
第三个问题是内部协同,安全和业务的出发点不同,但数据安全又不能割裂,所以内部的分工和协调会变得非常困难。数据安全的体系建设上一定是需要兼顾数据的利用、业务的发展和安全。在实际的情况中,安全部门往往缺少对业务的理解的深度,很难制定贴合业务需求的数据安全管理的体系。而业务部门自己的业务场景和需求又完全不同,例如有的会向合作伙伴或上级单位共享数据,有的是想要利用数据完成开发测试,这些细分的需求只有业务自己最了解。这就导致数据安全单靠安全部门或者IT部门的话困难重重。针对数据安全,安全部门需要打通不同部门对数据的整体监管和合规能力的落地,同时安全部门自身的定位也在发生变化,其角色向数据安全监管的角色进行转换,也就需要通平台化或者日常运营的能力。
蔚晨表示,数据安全运营是一个大循环,从数据的分类分级、自动化发现、运营监控、制定评价指标体系等等,虽然大家都在探索,但是一些小的具体环节是有成功案例可以参考的。例如,某一个业务或者某一个类型的数据可能分为多种不同的视角。站在金融的角度会从两个方面,一个是某一类数据比如个人信息数据,从金融行业来说个人信息数据的安全共识和安全需求最容易达成一致,因为监管已经非常明确。从这个视角来说,数据生命周期中的录入环节、存储环节、传输环节、使用环节的标准化技术支撑,各家的金融企业或多或少都有一套基本成型的运营机制。数据一直在变化,数据场景也一直在变化。数据分级分类是一辈子的事,也许永远都做不完。所以先把能分的、好分的做出来,然后把愿意配合在整个业务场景中实践的做出来,精卫填海一步一步来。
同时,通过个人信息这个明确的领域,安全与业务互相磨合,互相适应,这是一个很耗费精力的事。但安全部门可以是独立的,代表的是数据安全的需求,同业务和IT部门达成共识,最终形成业务化的流程,三方或多方一起慢慢形成最终的,大家都能接受的方案,这是一个必然趋势。
刘玉霞表示,数据安全需要综合的能力,除了掌握数据保护技能,也需要理解合规的要求,了解业务处理流程,能够拉齐业务、合规各方的认知,拉齐的过程就是转化对方能理解的语言和思路的过程。数据安全工作效果需要量化,需要通过体系化运营推动风险处理,体现数据安全建设和防控效果,并指标化。比如分类分级工作,需要通过运营来标注企业有哪些资产,哪些资产被加密保护,哪些资产未被加密保护,哪些资产在流通,流通过程是否合规等等。安全的数字化落后于业务的数字化,所以就更需要用指标来展示企业数据安全的状态,这样无论是安全工作持续推进,还是和上级共识的达成,通过量化的指标说话可能更好。
董永乐表示,从数据安全体系建设的解决方案来说,和其他管理体系没有太大区别。但通常会走底层设计,然后加上一系列的合规要求,包括法律法规、监管标准等等,接下来是管理对象,然后定义数据安全管理的过程,最后是通过数据安全管理能力成熟度来衡量数据安全治理的结果。在能力成熟度模型中有一个特别关键的能力是数据安全运营能力。数据安全是持久战,打赢持久战的第一步建议从擅长的角度出发。很多安全专业人士其实都有自己擅长的方向,而企业在成熟度不高的情况下,能力往往也是不平衡的,那么从擅长的角度做起就是一个很好的方法。
咨询顾问如何与厂商的产品解决方案配合,首先将对象分为两类,一类是买单的,一类是身体力行做事的。要让老板看到效果就是让买单的看到效果。具体做事的人就要清楚咨询应该能给到什么帮助,自己擅长什么,咨询顾问擅长什么。当然有的厂商可能都做,一方面提供产品,一方面提供运营服务。咨询也可以分为两种,一种是提供方案,一种是基于方案提供落地,这样和厂商配合效果就会比较好,用户受益也就更大。
杨海峰分享了两个案例,第一个是省大数据中心,因为做了大量的数据汇聚、治理和共享的工作,各类数据进到大数据中心后形成多个区域,不同区域的业务是不一样的。这个场景很类似于一些为了完成运营目标或者业务发展目标,在不同的数据场景下构建数据治理工作的企业。同时,因为它是大数据中心,所以它面临着从各个方面采集数据的第三方、建设方、数据治理方和开发方。因此,它希望把安全技术和规范融入到数据处理流程中,并能够对数据进行全面的监管。不是单纯的监测,而是将整个防护变成一个完全体系化,并能够在日常运营的环节中管控好的目标。这个目标不是一蹴而就的,它先建立了一个平台,然后逐渐纳入安全能力,并一个区域一个区域的完善,最终形成实践经验,并推广到所有区域中。
首先,这个大数据中心将自身定义为数据安全的管理方,因此第一个工作就是建立数据安全管理的体系和制定相应的制度规范。然后,安全服务方根据这些要求,去不断地补足和完善,这就涉及到资产管理发现、敏感数据分类管理、数据访问审计、安全防护、数据的匿名化、脱敏及数据水印、溯源等能力,这些能力需要集中化管理和集中化的数据访问备案。
这个过程中,为了规范和监测,包括督促和完善数据的开发方、使用方甚至云平台的运营方,大数据中心还需要全面了解监管能力的建设,并且实时了解数据资产情况。将这些资产情况作为指标,在进行平台化运营和建设。全部流程结束后,就变成了一个非常复杂的体系,整体过程经历了两年多,其中,不同区域的复制和可持续性起到了非常重要的作用,如果依靠单点是很难形成的,运营也就是形成表转化的过程。
第二个案例是银行的数据安全监测体系建设,完善这一监测体系,首先要解决两个问题。第一是因为要基于数据分类分级,就要了解数据的分布,例如哪些数据需要监测;哪些数据还没有分类分析;哪些数据的分类分级之后又产生了新的数据等等。第二个问题是结果如何利用,如何通过分类分级的结果形成数据安全的检测能力,如何形成闭环。这其实也是建设的目标,为了实现这个目标,一共分成了三方面的能力。
第一个能力是分类分级的源数据输入能力。通过数据的导入和资产平台的对接,以及对数据库、大数据平台的探测扫描,甚至会部署一些探针。这个探针会从网络流量中去识别出数据访问的流量,对数据访问的流量进行精细解析后。能够补充之前基于静态扫描的能力。形成了动态数据的自动识别能力后,再通过数据的分类分级引擎及业务数据的智能分析引擎,结合分类分级的能力形成一种不断自我完善的基础能力。第二能力是基于监测情况形成自评估的能力,将自评估结果同步到所有的流转监测平台。最后是平台化能力,将结果在平台展示。
杨海峰向所有观众展示了安华金和的产品。他分成两个部分分享,第一是将安华金和数据安全运营平台的背景和架构。第二是通过产品页面,将平台的主要流程进行展示。
刘玉霞看完分享后表示,安华金和的产品功能很全面,也很体系化。但从落地实现也有几点疑问,第一是如何保障运营数据来源的全面性,运营数据来源的质量,决定运营的最总效果;第二是平台与其他产品的融合性和开发性。对此杨海峰表示,在实际落地时,随着运营是可以不断完善的,逐渐覆盖更多的数据面,并通过自动化将A部门的经验拓展到B部门等等,最终形成一个长效的可持续完善的结果。第二,可以接入很多第三方产品,并且能通过平台达成体系化的目标。
第七场:直播回顾|大话数据安全:分类分级不简单
第八场:直播回顾|从甲方到乙方:下海还是靠岸?
推荐阅读
发布 | 安在新榜 · 2022中国网络安全产品用户调查报告
“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A
齐心抗疫 与你同在