在数据流通的整个过程中,数据的安全治理是基础,在海量高价值数据资产面临各种内外威胁面前,数据安全更需要体系化的建设思路。《数据安全法》明确提出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
作为从国外引入的理念,数据安全治理在国内市场的推广、应用过程中衍生出了不同的理解思考和实施路径,安全419推出《数据安全治理解决方案》系列访谈选题,聚焦企业用户真实需求和挑战,通过挖掘分享行业中有价值的解决方案及服务,力求帮助企业用户在数据安全建设工作中提供有益参考。本期,我们走进杭州极盾数字科技有限公司(以下简称 极盾科技),观察他们在该领域的思考和实践。
极盾科技成立于2020年12月,是一家以“人”为中心,深入业务场景构建数据使用全流程安全防护的新兴数据安全公司。依托自主研发的智能安全分析决策平台,助力客户一站式适配多种安全风险场景,打破安全数据边界,构建实时自适应计算能力,最终在广泛的业务场景上实现数据使用安全、合规、自由。
安全模式向“以数据为中心”转变 数据安全治理需求释放
数据成为经济发展的新动能,拥抱数字化变革是企事业单位的必然选择,数据安全的重要性愈发突出,数据安全治理需求愈加明显。极盾科技解决方案负责人龚磊表示,数据安全治理成为企业及组织高质量发展的基本保障,从本质来看,是安全模式升级转变的必然结果。
数字业务飞速发展,数据的流转环境和状况正在颠覆以往,不仅突破了原有安全域内流动的约束,且与数据相关的系统、应用、人员角色等更为复杂且快速变化,这些情形将导致传统基于静态边界的网络安全保护机制不断瓦解,甚至失效。
发展业务所必需的数据高效开发及利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临复杂多样的数据安全威胁与风险。因此,以数据为中心的数据安全治理体系得以备受关注,将根据具体的业务风险场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题。
龚磊进一步解释,长时间建立起来的、以网络为中心的安全体系面向终端、主机、网络、应用等数据载体提供安全防护能力,是保证数据安全的前提和基石;以数据为中心的安全体系的演进,以数据为抓手实施安全保护,将更有效增强对数据本身的防护能力,二者围绕数据处理活动场景形成有机融合,从整体上形成由内而外、自上而下的体系化安全能力。
数据安全治理落地实施挑战艰巨
数据安全治理不仅是一套集成了各类数据安全工具的产品解决方案,而是需要贯穿整个组织架构,覆盖企业的全体人员,形成全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全的一整套框架体系。
企业在规划和开展数据安全治理工作时,需要依据其核心理念从数据安全战略、管理机制和技术手段多方面进行建设并运营。龚磊介绍,在目前的实践过程中,企业方依然存在不小的挑战:
首先表现在政策高要求与数据安全能力之间的脱节。2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件,成为数据安全治理的重要合规驱动力,但是实施细则、应用指引尚不完善,落地工作缺乏一个整体而明晰的视角。当前大部分企业聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节。
进一步讲,不同于网络安全建设,数据安全与业务是强相关的,需要对行业业务逻辑充分理解,与数据的开发利用、经营业务有千丝万缕的互动,牵扯范围更广,因此数据安全治理需要多元主体共同参与,产品及方案的落地建设需要业务线、数据管理部门等角色的支持与投入。也正因为如此,行业经验形成标准化复制难度较大,落地推动工作需要更多适配本地环境因素的摸索。
下沉到实施的具体过程中,则对应着场景选择、实施周期、效果评估等具体现实的考量。业务长期优先于安全,技术设施架构与业务形态已经固化的情况下,面临着对组织现有流程机制的革新、对老旧IT架构与业务系统的改造等等横向维度上的把握取舍,以及纵向维度上基于数据全生命周期各环节的优先级考虑,甚至整体安全体系建设年限的规划等等。
极盾经验:把握切入点 克服重难点
总体而言,数据安全治理是一个持续迭代改进的过程,没有一键切换的标准模式,在监管政策的强力推进和诸多触目惊心的数据泄露事件的不断教育之下,业界持续探索适配不同行业、不同规模的用户的有效落地方案。龚磊依据极盾科技的实践经验,为我们介绍了相关路径与方法。
一方面,从顶层设计上帮助用户规划数据安全治理的框架和体系,协助建立起管理、技术、运营相结合的多方治理模式,包括数据安全组织建设、制度建设、企业现状调研、数据资产梳理、安全风险评估、安全体系设计等等,是基于极盾科技数据安全治理咨询团队丰富的项目实战经验沉淀转化。
另一方面,数据安全治理的技术体系作为实施流程的落地重点工作,将围绕整个数据生命周期开展。面对如此庞大复杂的工程,龚磊强调需重点围绕“两点一线”,分阶段逐步开展数据安全治理工作,“两点一线”中第一点是把握数据安全治理切入点,第二点是把握数据安全治理重点和难点,“一线”则是构建以“数据使用”业务场景为主线的动态安全体系。
数据资产梳理与数据资产的风险识别是建立统一完善的数据生命周期安全保护框架的基础工作,因此极盾科技瞄准数据分类分级作为数据安全治理的最佳切入点,其建立的数据分类分级平台通过自动化发现数据资产、梳理数据资产,智能分类分级,高效识别敏感数据,形成企业数据分类分级全景图。
数据资产自动发现模块通过自动扫描发现数据资产,同时对数据资产进行梳理和打标,最终形成一套数据资产清单;基于清单,数据智能分析引擎通过数据内容分析(NLP /语料库)、策略规则(正则表达式/关键字)及机器学习的模型等,对数据资产进行智能分析,形成一套数据分类分级的策略规则及模型模板;同时平台内置敏感数据智能识别算法库,覆盖常见高敏个人信息和业务信息,开箱即用,帮助企业自动化高效识别敏感数据,梳理敏感数据资产;最终生成支持分类分级结果多样化输出方式的数据分类分级全景图。
由于数据使用环节流动性极大、涉及应用系统场景复杂、人员权限控制不完善,数据安全建设的痛点难点往往集中在数据使用和共享安全。结合多年的实践经验,极盾科技提出了数据使用安全方法论:以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和用户及实体行为分析为抓手,面向内部应用数据使用全流程构建数据使用的主动安全防控体系。
更形象地解释,数据使用安全需要解决“谁在用”“用什么”“怎么用”这三个核心问题。
谁在用:以人为核心
即全面了解数据访问主体,网络安全的视角关注到的仅仅是访问账号,但是如今数据的复杂流转场景决定了,账户背后的“人”在数据使用访问过程中的各类属性信息,才能构建出动态人员画像,实时发现可疑行为。不仅对应着员工的账号、设备、权限、岗位等静态属性,更需要实时关注访问的环境是否可信,以及访问时间、频率、操作习惯等动态行为指标。
用什么:以数据分类分级为基础
即全面了解被访问的数据,前述的数据分类分级工作从数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据全流程动态保护。
怎么用:围绕业务场景
数据的流转路径反映的是业务的运营流程,本质上是人员的行为在执行种种操作,围绕内部人员(包括正常员工,无意的违规者以及内鬼、报复人员等主观恶意的攻击者)在账号、权限、访问行为、数据操作等不同维度行为特征的挖掘,结合登陆、查询、上传、下载、配置、管理、权限操作等多种行为场景,识别异常的数据使用访问风险,实现精准定位判断。
这一切功能的实现依赖一套完善的数据使用安全管控平台的支撑,极盾科技自研无感IT风险管控平台,架构数据采集、数据梳理、安全分析&防护、安全运营四个层面,通过分析企业内部人员操作行为,扫描业务操作涉及的核心数据资产,构建围绕业务和人员的零信任数据安全体系。
伴随数据的开发利用与业务的转型升级,以及监管的驱动推进,可以预见,更多的企业组织将着手建立数据安全治理体系。在文中反复提及的业务场景多样、技术实施庞杂的现状下,龚磊建议采用数据安全能力成熟度模型DSMM作为数据安全治理的有力抓手,结合相关行业要求及规范,指导并衡量企业从组织建设、制度流程、技术工具、人员能力多方面满足目标能力成熟度等级所对应的安全要求,从而有预期地渐进提高自身数据安全水平。DSMM的最高级别对应着持续优化的能力,与数字时代不断更迭的风险和技术相适应,没有一劳永逸与标准答案,最终,我们是希望平衡数据保护与数据流通,实现数据价值最大化,让数据安全可以成为业务的竞争力而不是被动合规的成本。