解读Ponemon《2021全球加密趋势研究》
Key Points
应用层是数据安全防护重心
从数据流转的角度来讲,数据在应用层的价值点更高,加密防护的重点在于应用层。企业目前的 IT 架构,包含基础设施、软件平台以及业务应用等不同层级,企业数据在不同层之间高效流转,实现互联共享,为企业创造价值。数据越朝上层流动,价值点越多。数据在基础设施层,就是一些没有业务含义的二进制数字;在软件平台层,表现为各种形式的文件格式;在业务应用层,数据才具备了丰富的业务含义。从调研结果来看,在应用层部署安全模块成为很多企业的共同选择,这说明针对应用层的加密正成为全球很多国家的共识,同时基于应用层加密的技术也在趋于完善和成熟。
敏感数据的最大威胁来源:人员管理问题
对敏感或机密数据的最显著威胁是员工错误,类似的威胁来源还有临时或合约雇员、恶意的内部人员等,这些都属于人员管理问题。首先,建议企业重视和加强人员管理,规范人员的操作,加强人员的数据安全保护责任心。另外,随着《数据安全法(草案)》和《个人信息保护法(草案)》的二次审议稿发布,数据保护“有法可依”将进一步提前,企业可以加强对员工的“普法”教育,降低自身“合规风险”。最后,企业可以从技术角度出发,将数据加密与权限控制、脱敏等安全技术结合,做到权责到人可追溯,从技术架构建设方面有效规避重要数据发生泄漏的可能性。
加密关键特性:性能、密钥管理、合规
数据发现是加密策略实施的最大挑战
加密策略成功实施的最大障碍是“如何发现敏感数据位于组织中的位置”。65%的受访者表示,发现敏感数据位于组织中的位置是第一大挑战,主要体现为企业重要数据资产的发现以及分级分类。针对敏感数据的发现问题,单纯靠人工去筛选,不仅费时费力,还有可能导致部分关键重要信息疏漏。因此,可以针对性建立“敏感数据智能发现平台”,通过“智能定位敏感数据分布”“动态监测敏感数据”“敏感数据分类分级”等技术手段,从根本上解决企业重要数据发现难的问题。然后根据相关行业的法规和标准,结合行业特性,对数据作系统性梳理,并根据定级要素、影响范围、影响对象、影响程度等维度,确定公开、私密、机密等数据敏感等级,对不同等级数据进行分类施策,保障数据的规范共享与高效应用。
密钥管理可以从制度技术两方面进行优化
密钥管理有多痛苦?平均56%的受访者认为密钥管理非常痛苦,其中69%的最高百分比疼痛阈值发生在西班牙,37%的最低疼痛阈值发生在法国。据数据显示,密钥管理困难的三个主要原因在于:(1)对密钥管理职能没有明确责任划分;(2)缺乏专业的技术人员;(3)密钥管理系统孤立或支离破碎。企业可以从两方面出发解决以上问题,首先,在密钥管理方面,设立明确岗位职责和相关人员,形成专业的密钥管理制度体系;其次,在关键密钥管理系统方面,采用或开发更专业、更系统化的密钥管理平台或产品,提供对密钥进行全生命周期管理的功能,包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等,平台或产品建议拥有“支持KMIP协议”“基于业务的密钥使用审计”“提供多种应用业务级接口”“兼容各类密码机”“方便、易用的维护诊断技术”等特性。
云数据的安全如何保证?
随着云的普及,传统的IT架构正发生变化。企业很多业务系统都托管在云服务商处,日常的很多工作,比如HR、社保、报销、OA等工作事务的管理都有相应的SaaS服务可以采用,尽管云计算具有许多优点,但因为数据在物理上驻留于云服务提供商(CSP)中,不受数据所有者直接控制,有一定的安全威胁。在调研中,60%的受访者表示,他们的组织不管是否通过其他技术手段进行加密防护,都选择将敏感或机密数据传输到云中,另有 24%的受访者预计在未来一至两年内可能会将数据传输到云。这些发现表明云计算的好处超过了将敏感或机密数据传输到云的风险,但如何保证云数据的安全仍是一种挑战。
实现云加密最重要的三个特性是支持密钥管理的KMIP 标准(59%的受访者),SIEM 集成、日志可视化和分析(59%的受访者)和访问控制颗粒度(55%的受访者)。KMIP提供了加密系统与密钥管理系统之间的标准通信方式,通过KMIP技术标准的密钥管理器,企业或组织可以使用单个集中式平台来管理不同供应商的加密技术的密钥,并统一密钥管理策略和工作流程;SIEM、可视化和分析日志主要为了保证信息泄露后的事件分析和可追溯,相关加密方案建议支持日志管理、密钥全生命周期的可视化展现以及可独立部署的数据访问审计,实现科学有效的日志管理、事态分析,以及信息泄露后的可追溯;访问控制颗粒度方面,加密方案可以基于B/架构设计,通过可视化管理控制台进行加解密权限规则的设置,并针对结构化数据实现安全审计,提供“主体到应用内用户,客体到字段级”的安全能力,从而实现对企业内部人员的敏感数据访问最小化授权。
系统性的加密策略渐成企业刚需
政策合规助力加密应用实施
德国和美国的加密策略流行程度最高。在本研究所代表的国家中,加密策略的平均采用率在50%左右,企业加密策略的流行程度各不相同,德国、美国、日本和荷兰报告的企业加密策略的流行程度最高。俄罗斯和巴西的受访者报告中,企业加密策略的采用率最低。相对大陆来讲,尤其是“十三五”期间,中国网络安全产业发展取得积极进展,2020年产业规模预计超过1700亿元(本数据来自“人民日报”),越来越多的企业开始主动接受数据安全服务,相关的加密策略和技术也在不断升级迭代。最新出台的“十四五”延续了国家对“安全建设”的重视,提出“统筹发展和安全,建设更高水平的平安中国”的规划目标,我们判断,在未来五年乃至更长时间,政策层面都将持续助力加密策略、技术的推广及应用。
用户、企业、政策三方驱动数据加密
加密的主要驱动力量来自于客户敏感信息保护、企业重要数据保护和政策合规性三方面。随着互联网产业崛起,以及大数据和人工智能的不断发展,个人信息“裸奔”现象在国内外时有发生,企业对客户/用户数据的加密实战化需求不断增加。目前,据调研结果分析,敏感或机密数据的显著威胁可分为三方面:客户敏感信息保护、企业重要数据保护,以及政策合规性。客户敏感信息代表客户的基本权益,一经泄露,对于客户的隐私和财产安全都将造成挑战;企业重要数据代表企业的核心利益,数据一旦被竞争对手获得,将可能导致企业在商业竞争中处于被动;政策合规性则代表各国政府对数据安全的重视和管理,数据泄露等事件的频发显然不利于社会健康发展。不管从客户角度,还是从企业本身的利益,亦或是从国家政策层面出发,对重要数据进行加密防护都是很有必要且具有前瞻性的举措。
数据安全市场还有较大潜力可挖
注2:下载的中文翻译版研究报告仅供参考,具体请参考英文版研究报告;
一文读懂十大数据存储加密技术
密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护
炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。
微信号:炼石网络CipherGateway