本文来自微信公众号“安全牛”。
在数字经济发展的大背景下,数据已成为企业的重要资产。一旦发生泄露,不仅会影响企业的正常经营,导致经济损失,还可能损害企业声誉和用户信任。然而,网络攻击、内部威胁和数据泄露事件频发,敏感数据面临着前所未有的安全挑战。如何实现敏感数据的全生命周期监控和管理,构建全面有效的安全防护体系,成为摆在众多机构和企业面前的一道难题。
本期《牛人访谈》邀请到北京明朝万达科技股份有限公司助理总裁兼研发中心总经理安鹏,围绕我国敏感数据管理现状、面临的挑战,企业进行敏感数据应关注的重点,以及敏感数据安全管理未来的发展趋势等进行了深入的讨论,期望给企业在进行敏感数据全生命周期管理提供参考和启示。
安鹏北京明朝万达科技股份有限公司助理总裁兼研发中心总经理
安鹏主要负责明朝万达数据安全相关产品的研发管理工作。
他具备10余年信息安全行业研发经验,对于云安全、大数据安全及公安安全有较多的经验,具备丰富的团队管理经验。他先后承担并完成科研项目、成果转化项目及企业级项目50余项,包括科技部重点研发计划、其拥有10项安全相关的发明授权专利。
01
安全牛
随着网络攻击、内部威胁和数据泄露事件频发,数据,特别是敏感数据,面临着前所未有的安全挑战。您认为当前我国敏感数据管理处于什么水平?主要面临怎样的挑战?
安鹏
在当前数字经济时代,数据已成为组织的核心资产。我国数据管理,包括敏感数据管理正处于不断发展和完善的过程中。国家已经出台了《数据安全法》、《个人信息保护法》等一系列数据安全和隐私保护的法律法规。同时,相关部门也陆续颁布了一系列标准和规范,指导企业进行敏感数据管理。特别是工信部在制定工业领域的数据安全标准,提供了相关的指导和方案。
在技术方面,数据安全技术近年来得到了一定的发展。AI技术在数据识别能力提升方面效果显著,同时在敏感数据保护方面发挥着重要作用。AI技术可以帮助分析和监测人和系统,提升敏感数据保护的技术能力。
从用户侧来看,用户不但具备了敏感数据保护的意识,而且有些企业已经在行动。很多企业和机构都积累了丰富的数据,希望能得到很好的保护和利用。尤其是大型互联网公司,由于拥有大量数据并在数据使用过程中获得了优势,他们从企业自律的角度出发,具有很强的内部数据管理能力。像阿里、腾讯和美团等,内部都有数据合规和数据安全治理的相关部门。从我们在很多项目中也可以看到,很多部委都在规划敏感数据全生命周期管理的建设。
不过,相比大型企业,中小企业在数据安全方面的投入和意识可能不足,他们没有太多的人力、物力投入到数据安全上。中小企业的敏感数据数据安全管理主要是为了满足合规性要求,能否真正防得住数据泄露并不好说。
同时我们期望,监管部门一方面能够进一步加强监管,对那些数据管理不善或频繁出现数据泄露问题的企业采取严格的处罚措施;另一方面,对于那些做得好的企业,也应该给予一定的鼓励和宣传。
02
安全牛
您认为当前企业在管理敏感数据主要面临哪些挑战?
安鹏
数据本身的特点使得数据管理的难度很大。数据具有存量大、分布广、流动强等特点。数据在流动过程中,每个环节都可能留存数据,造成泄露风险。特别是数据的跨境流动,还要考虑不同国家地区对数据安全法律法规的差异性。
当前敏感数据的管理主要面临的挑战有:
第一,敏感数据管理面临来自多方面的安全威胁:一是APT攻击,国际形势发展,特别是国家级的对抗,使得政府部门和国有企业面临被渗透和攻击的风险,而且针对的都是高价值信息;二是内部泄密,混进企业的间谍可能泄露敏感数据;三是误操作,工程师或外包软件开发商在生产过程中没有遵循合规要求,引发数据泄露。
第二,当前的安全解决方案普遍会对业务造成影响。一方面,加密技术虽能提供基础防护,但会影响业务效率。比如,数据库加密后,密文检索的效率可能降低。另一方面,在不影响业务的前提下通过动态代理和面向切面编程实现访问权限管控,涉及到并发性能和兼容性问题。
第三,在数据资产梳理过程中,数据识别准确率和效率均不高。数据资产的梳理是敏感信息安全管理的基础。有统计显示,数据识别准确率只有70~80%,剩下的就需要人工校准。我们用AI技术将准确率提升到了90%,但还面临样本依赖的问题。
第四,新技术带来新的安全挑战。比如说当前炙手可热的AI技术。AI应用的基础是数据的积累和流转,这其中可能会把敏感内容纳入数据中。而黑客也在利用AI技术进行数据资产探测、漏洞扫描和攻击工具制作,提升了攻击者的能力,对信息系统和数据窃取造成威胁。此外,企业数据中台等新型架构的应用也在带来新的安全挑战。
第五,数据安全人才的缺乏也是一大挑战。数据安全不仅仅安全问题,还与业务密切相关,需要既懂业务又懂数据安全的复合型人才,才能在不影响业务的前提下做好数据安全管理。例如,智能网联汽车领域就存在数据传输的安全、模型运行的安全等问题,这需要对AI和智能网联汽车业务有深入了解的网络安全人才。
03
安全牛
那么,企业在制定敏感数据安全策略时,应重点关注哪些环节?如何从数据全生命周期的视角,构建全面、有效的安全防护体系?
安鹏
敏感信息的全生命周期监控管理是一项复杂的系统工程,涉及到数据的采集、存储、传输、使用、交换和销毁等各个环节,需要企业从制度、流程、技术、人员等多方面入手,持续建设和完善。
企业在制定敏感数据安全策略时,首先需要领导层足够重视。否则,业务部门可能出于自身利益的考量就可能会抗拒。做好敏感数据管理的关键,是管理层要明确管理要求和制度。
除了领导层重视,我们也积累了其他一些敏感数据管理的方法和经验:
一是摸清数据家底,对敏感数据的全面梳理和分类分级。明确哪些数据需要保护、哪些不需要,按照级别分清,这样能更有针对性地进行防护和资源投入,提高效率。
二是对环境进行风险评估。数据不是孤立存在的,还在办公、生产网、与外部交互的互联网等环境中使用。要梳理不同环境中的安全漏洞,因为不同级别的网络安全要求不同。
三是采用成熟的数据安全产品和工具,如数据安全管理平台。利用平台能看到数据资产静态位置和动态流转情况;能对数据访问接口、应用进行权限管控;在出现数据泄露事件的时候,可以根据应急响应预案,进行数据溯源,找到泄露源头,同时通过流程化的工单系统支撑,辅助安全管理员进行相应防护。
04
安全牛
您认为好的数据安全管理平台应该是怎样的?
安鹏
为了实现全生命周期的管理目标,企业不能依赖单一的技术和产品,而是要采用具备多维数据安全能力的数据安全管理平台。我们在服务客户的实践中发现,平台应该具备五大能力:
1.敏感数据发现能力。在数据采集阶段,必须对数据进行分类分析和定级,以便在后续的传输、存储和使用过程中实施相应的管控措施,如加密、访问控制和审批阻断等。
2.解决方案适配能力。例如,在金融行业,解决方案最初主要针对办公网环境下的敏感数据管控,以数据防泄漏为主。但随着对数据生命周期前期产生的数据的关注,解决方案也在扩展,以覆盖从生产网到办公网的数据流转。
3.数据跨网传输的管控能力。在数据从生产网到办公网流转过程中,需要有能力进行管控。这通常涉及到在生产网中设置安全云盘,以确保数据在传输过程中的安全。
4.跨系统的集成能力。用户会更倾向于在一个平台上管理所有的数据安全产品,而不是维护多个分散的工具。因此,需要集成度更高的平台。
5.AI能力的引入。当前AI技术在数据安全领域的应用和赋能是一大热点,在效率和风险识别方面的潜力巨大。
明朝万达Chinasec(安元)数据安全管理系统就是这样一个平台。平台为敏感数据提供全生命周期的安全管理和审计,安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中,实现事前预测防护、事中安全管控、事后行为审计的目标。
值得一提的是,不影响业务的正常运行是敏感数据安全管理的一个关键。所以,好的敏感数据安全管理平台必须与业务紧密结合,平衡数据安全与业务的关系。Chinasec(安元)数据安全管理系统作为一款切入到用户日常办公使用的数据安全产品,在确保安全合规的同时,好用易用。
05
安全牛
从明朝万达服务客户的实践来看,做好敏感数据的全生命周期监控和管理关键在哪些方面?请结合具体案例说明。
安鹏
随着数字化转型的深入和数据安全意识的提升,越来越多组织开始重视敏感信息的全生命周期监控管理。一些大型企业和政府机构已经建立了专门的数据安全团队和管理体系,对敏感数据进行全方位防护。
以某商业银行为例。近年来,该银行在数据安全领域取得了显著成果,获得了金融行业数据安全领域权威奖项,明朝万达为其提供了系统支撑。
这家商业银行的数据安全管理平台在仅短短三个月发现了数百起数据泄露事件。接下来,他们又提出通过用户行为发现隐蔽数据泄露事件的需求。例如,打印文件未按审批要求登记。为了满足这一需求,我们与这家商业银行紧密合作,共同将相关功能优化并落实到位。
这一方面说明,在敏感数据全生命周期管控过程中,不能单靠一个产品或设备解决所有问题,需要统一管理平台进行全面检测和管控;另一方面,用户需要选择合适的平台供应商,与供应商密切合作,结合自身的业务特点和需求,不断深化解决方案和应用。
06
安全牛
您认为接下来敏感数据的全生命周期监控和管理发展还有哪些关键趋势?用户、市场将发生怎么的变化?
安鹏
我认为接下来应该关注以下三个趋势:
一是信创趋势。随着信创的发展,很多用户的业务系统正在从Windows平台转向基于Linux系统架构的信创平台,接口和控制模块发生巨大变化。这就要求相关数据安全厂商对信创系统和设备有非常好的了解和产品适配。
二是关注持续运营。敏感数据的全生命周期管理是一个持续不断的过程,需要将其纳入运营范畴进行常态化管理。企业将持续加大在数据分类分级、脱敏、DLP等领域的投入,将数据安全融入到业务流程各个环节。供应商则要从业务视角出发,帮助用户真正将数据安全管理系统用起来。
三是关注数据安全咨询。数据安全咨询不仅要进行数据资产梳理、分类分级和数据安全风险评估,还要帮助用户提炼、挖掘数据安全需求。在后续的运营过程中用户会产生新的需求,再反馈给厂商进行完善,如此形成一个动态闭环。
四是关注数据合规。随着《数据安全法》、《个人信息保护法》等法律法规的出台和落地,敏感数据保护将成为企业合规的重要内容,厂商的解决方案要帮助用户满足这些合规需求。事实上,明朝万达的数据安全管理平台已经设有专门的合规板块,可以输出合规性检测结果,为合规人员提供素材。
07
安全牛
面对这些趋势,明朝万达将如何应对?
安鹏
针对企事业单位数据所面临的潜在威胁,明朝万达按照“防内为主、内外兼防”的思路,于2012年推出Chinasec(安元)数据安全管理系统,并根据技术和需求的变化持续优化。
针对这些趋势和自身的业务优势,明朝万达将重点做好以下几点:
一、提升敏感数据的发现能力:支持更多数据格式和形态,对多媒体数据进行内容检测;提升敏感数据扫描的性能;不断优化数据解析、内容提取和分类分级能力。
二、强化加密技术与业务的结合:提供数据安全SDK,嵌入用户业务系统;增加数据脱敏能力,推出针对非结构化数据脱敏的产品。
三、加强风险监测能力:积累异常行为识别的业务场景,形成办公环境和生产环境下的敏感信息管控异常监测模型,实现场景化落地;通过AI模型对生产环境中的数据异常行为进行监测。
四、进一步进行客户拓展:重视在军工和保密单位领域的客户拓展。对于这些客户数据安全管控是强需求,特别是对敏感数据流转,需要应用新技术和产品进行有效的保障需求,如数据交换、溯源和权限管控等产品。
编者话:
面对日益复杂的网络安全形势和不断涌现的新兴技术,敏感数据的全生命周期监控和管理任重而道远。相信在各方的共同努力下,我国敏感数据安全防护体系建设一定会不断迈上新台阶,为数字经济高质量发展保驾护航。