本文来自安全牛,记者:张桂玲,分析师:王剑桥。
随着企业数字化转型的深入发展,对数据资源的应用能力已成为现代企业的核心竞争力。但同时,在数据应用的过程中也存在很多风险,只有构筑安全的数据使用环境,才能保障企业数字业务健康开展。
在传统的数据安全建设模式中,多以单点安全解决方案为主,企业无法将大量的数据信息关联起来,从而不得不在多点防御系统之间疲于奔命。数据安全监测技术难,体系化规划难运营成为企业数据防护中的普遍痛点。同时,这种“不断采购,无法集成”的割裂局面,还会带来安全能力的重叠和冲突。
针对以上数据安全建设挑战,安全牛近日采访了亿赛通CTO朱贺军,他表示:未来企业的数据安全建设必然是从孤立的数据安全产品过渡到体系化能力建设。企业需要通过一个高度集中化的平台实现数据安全能力的体系化集成,统一汇集围绕数据的资产管理、流动监测、风险分析、事件溯源、风险评估能力,实现合规有序、有效保护、高效运营的数据安全体系构建。以下是访谈内容:
朱贺军
正高级工程师,北京理工大学计算机科学与技术博士学位,CCF高级会员,计算机安全专委会委员,中国⽹络安全产业联盟专家库专家,北京信息化协会专家库专家,数据安全推进计划专家。已获授权发明专利9项(均排名第1),省部级三等奖2项(均排名第1),SCI论文4篇(均排名第1)。从事信息安全专业18年,交付了国内外20余个千万级信息安全项目,曾发起创办信息安全公司,任技术总监、产品中心总经理,现任北京亿赛通科技发展有限责任公司CTO。
01
安全牛:
我们了解到,亿赛通目前正在不断加大技术投入力度,打造数据安全运营管理平台,对安全组件进行统一纳管,以实现数据安全策略的联防联控和综合分析。对用户而言,构建数据安全管控平台的意义和价值是什么?
朱贺军:
数据安全运营管理平台是通过提供基础数据安全的能力,把各种安全能力都集成在一个平台,整合数据全生命周期各阶段状态,总览数据资产和安全风险,实现数据安全运营的闭环管控。我们研发数据安全运营管控平台,主要是基于以下背景:常见的数据安全方案大都通过提供单一或某几个产品,解决客户单一或某个方面的问题和需求,不同安全产品间的数据“孤岛”现象凸显,影响到数据安全建设在落地执行过程中的效率、质量乃至成本投入等诸多层面。
数据安全运营管理平台的主要能力是通过感知云、网、端等多源异构海量数据,实现数据资产管理及分类分级、数据安全策略联防联控、数据安全事件综合分析、数据追踪溯源分析、数据安全风险应急响应及处置、数据安全风险态势感知等。
研究机构Gartner在《2021数据安全技术成熟度曲线》上,给出数据安全平台(DSP)的明确定义,就是以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。在国内,中国信通院与中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)也在积极开展《大数据-数据安全运营管理平台技术要求》相关标准的编制工作。
02
安全牛:
在企业已经开展了SOC安全运营平台、态势感知平台甚至是网络安全能力中台等平台建设后,是否有必要专门针对数据安全防护,构建一个综合性运营管理平台?在实际应用时,它与其他安全运管平台会是一种什么样的差异化定位及协同关系?
朱贺军:
数据安全运营管理平台和其它诸如态势感知平台有着明显的不同,我们可以从应用目标和技术实现两方面去看。
从应用目标上,数据安全运营管理平台更多关注的是数据内容,以数据安全为核心的保护方案,涵盖了各行业各领域多数场景下的数据安全保护需求,以数据发现和数据分类分级为基础,使用了数据扫描、文件加密、数据访问控制、数据水印、数据脱敏等技术来实现数据安全防护,同时也包含了数据活动监控和数据风险评估等功能。网络安全态势感知平台更多关注的是网络行为,综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户。
从技术实现上看,数据安全运营管理平台不仅采集流量,而且要进行协议内容还原,更多关注数据内容,从而判断是否存在数据安全的风险。网络安全态势感知平台更多的是对日志中的异常行为进行识别分析,一般不会深入到数据内容。当然,在一些分析类技术的使用上,例如UEBA、规则匹配等,数据安全运营管理平台和网络安全态势感知平台都会用到。
数据安全运营管理平台具备数据采集、汇聚、清洗、存储、分析能力,数据安全运营管理平台可以通过相应的API规范接收SOC等平台下发的策略及指令,然后数据安全运营管理平台将感知到的数据经过分析后再通过API规范返回给SOC等平台,供SOC等平台进行综合分析并呈现数据安全态势及数据风险评估,同时数据安全运营管理平台也可以通过API规范向SOC等平台下发策略及指令,并接收SOC等平台返回的数据,进而可以形成网络边界防护+核心数据防护的双重保险。
在可视化部署方式上,可以两个平台均部署,也可以将其中一个平台的数据发送给另一个平台,然后在可视化大屏上展示数据、网络两方面的态势。
03
安全牛:
目前,企业都已经部署了很多数据库审计、DLP等数据安全产品,相比这种以点为基础的数据安全保护模式,平台化的建设模式和技术应用,能为企业数据安全防护能力构建带来哪些方面的提升?
朱贺军:
综合数据安全运营管理平台一方面可以与其他安全产品形成联动,能够将原有的数据库审计、DLP、文件加密、数据脱敏等各类产品能力集中化管理,策略统一布控,既可以减轻运营人员的工作负担,同时又能够对各类安全产品进行统一策略的管理与优化,减少无效策略形成的误报。
同时,通过统一的数据安全运营管理平台,还可以对各类安全产品上报的日志数据进行关联分析,解决以往审计日志分析及溯源的局限性,可将一个事件在云、网、端的所有操作进行完整还原,帮助用户进行准确定位风险源头。
此外,综合数据安全治理运营管理平台更多的还是体现在“运营”二字上,运营实际上就是服务。除了安全产品外,我们又提出了DSG数据安全治理体系,并专门成立了数据安全服务部门,可以根据用户的经营策略、治理要求、合规要求等,提供顶层设计、IT安全策略、数据梳理等各种服务。
我们建议用户部署一个综合数据安全运营管理平台,将审计、DLP等能力集中在平台之上,这样能获得最佳的防护效果。如果企业已经部署有单点防护的数据安全产品,也可以通过定制化的开发,让多种产品联动起来。
04
安全牛:
从目前的应用实践来看,平台类安全产品在企业中的实际应用并不算很成功,会受到标准缺失、第三方设备协同、运营能力不足等多种因素的制约和限制。数据安全综合管理平台在应用时,应该如何应对这些困难,实现更有效的落地?
朱贺军:
数据安全综合管理平台是未来数据安全防护的发展方向。根据Gartner预测,到2024年,30%的企业将应用数据安全运营管理平台,而在2019年这一比例还不到5%,未来5年数据安全运营管理平台在全球范围内的渗透率有望迅速提升。
为了让数据安全综合管理平台更好地落地,我们应该加快在行业标准方面的制定和保障。目前,行业各大架构和厂商也正在积极努力制定统一标准。2022年6月,中国信通院与中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)制定的《大数据-数据安全运营管理平台技术要求》标准已完成,亿赛通也深度参与了该标准的编制工作。
05
安全牛
随着各种数据安全综合管理平台类产品和解决方案的推出,企业用户应该如何选型合适的方案,有哪些关键的能力指标需要关注?
朱贺军:
我们建议企业用户在数据安全综合管理平台时,应该主要从两方面来考察:
一是看产品能力。目前数据安全产品能力整体来说可以分为结构化、非结构化和半结构化三类,需要覆盖云、网、端等场景。从可用性角度来看,平台化产品能力需要能够覆盖终端数据安全、网络数据安全、存储数据安全、数据库安全、大数据安全、云数据安全以及数据安全运营管理平台等方面,能够真正帮助客户实现数据安全策略管理、识别能力、防护能力、监测能力以及运营能力的有机整合。
二是看方案商的安全服务经验及成功案例。数据安全工作三分靠技术,七分靠管理。企业用户需要真正构建适合自己的数据安全治理模型,构建从决策层到技术层、从管理制度到工具支撑,自上而下贯穿整个组织架构的全流程数据安全闭环,才能有效实现最终的数据安全防护目标。
安全牛:
用户在综合数据安全治理运营管理平台建设与应用时会面临哪些挑战,如何帮助用户更好应对这些挑战?
朱贺军:
根据我们的经验总结,国内企业在开展数据安全建设时,面临的主要挑战就是:数据安全是一个体系化问题,而且还需要考虑数据安全与效率的平衡,数据安全做得过了就会影响效率。
从产品层面来说,数据安全运营管理平台通过将现有的各个独立的数据安全技术和功能整合在一个统一的平台之下,为用户提供跨数据类型、存储孤岛和生态系统集成数据的产品和服务,从而实现更简单、一致的端到端数据安全。相较于传统数据安全方案有很多优点,比如高水平的集成能力、简化的部署模型,统一的策略控制平面,以及对数据、存储、政策和适用法规的一致可见性。
目前,数据安全运营管理平台已经可以与传统的网络安全产品一样,既可以支持硬件一体机部署,同时也支持纯软件部署、各类云化部署交付,满足不同用户、不同场景的个性化需求。以后会有更多的云化部署以及SaaS化的交付方式,数据安全运营管理平台产品可能以能力而非产品的方式进行交付。
另外要再次强调,数据安全建设不能光靠产品,还要看企业对安全风险的容忍度,从用户的组织架构、公司制度等方面入手系统化解决问题。
安全牛:
随着“云大物移工”新场景的到来,目前数据安全治理运营管理平台部署是否能满足所有应用场景的需求?未来数据安全综合治理,或者说数据安全集中管控产品的发展方向是什么?
朱贺军:
随着云计算、大数据、物联网等新兴场景的兴起,数据也成为新时代的重要生产要素。新兴场景中数据在为企业业务数字化转型带来新的机遇,在新兴场景下企业应当从自身业务出发,不应局限于眼前,而要着眼于未来企业整体数据安全建设大局。从数据资产的盘点、数据管理制度流程、技术工具应用、数据安全持续运营这四个方面来做好数据安全治理,首先部署数据梳理、分类分级等工具,配合前期数据安全治理服务,然后依据前期梳理结果再部署相应的安全能力产品和平台,进而达到风险评估、监控预警、应急处置及持续运营。
数据安全治理在技术方面,可能会有四个发展趋势:
一、终端安全的轻量化部署,特别是数据安全的轻量化部署,让客户无感知会是未来安全厂商努力的一个方向。
二、数据安全能力的模块化或者原子化趋势,未来安全厂商可以通过模块化为用户提供某项能力,如API、加解密、DLP能力等,也可以封装各种能力形成数据安全运营管理平台,提供综合能力,就像“搭积木”一样,实现各种组合。
三、基于隐私计算的数据共享也会成为一个重要方向,现在不同企业、不同部门会有数据共享的应用需求,如何安全共享使用数据是一个问题,隐私计算在这方面会发挥更大价值。现在已经有上百家企业在做隐私计算了,但还没有形成规模,处于开始阶段,未来空间很大。
四、基于深度学习和AI技术的数据分类分级也会是一个重要方向,特别是像OCR文字识别、语音识别以及视频识别技术的使用,会使数据的分类分级效果更好。
在场景方面,随着数据安全相关法律法规和标准持续落地,5G、云计算、物联网等新技术应用打破原有网络边界,远程办公、物联网、车联网、业务上云等新兴场景出现,数据安全风险增加,APT攻击、漏洞攻击、勒索病毒等外部威胁持续升级,对数据安全的发展也产生了一定影响。在这些新兴场景下,数据安全运营管理平台也将会承载起重要数据的安全保障能力,例如在车联网场景下,目前智能汽车兴起,但是智能汽车收集存储的个人信息数据、地理位置信息数据都属于关键信息,一旦发生泄露就会影响国家安全。
安全牛评
随着数据安全建设的推进,在企业的数据安全建设中需要考虑诸多问题:首先,部署的数据安全产品数量增加,企业需要考虑如何管理这些数据安全设备;其次,数据安全已不再是独立设备,数据安全产品的种类增加,企业需要考虑这些设备的联动问题;最后,数据安全已从对静态数据的防护转向对数据全生命周期安全的防护,企业需要考虑流转中的数据安全。
我们看到,在企业网络安全整体防护能力构建中,已经普遍由单点向体系化发展,数据安全防护也不会例外。因此,数据安全管控平台很有可能成为未来企业数据安全防护中的发力点,也是帮助数据安全厂商从单点化产品打造向体系化方案转变的抓手。