在数据流通的整个过程中,数据的安全治理是基础,在海量高价值数据资产面临各种内外威胁面前,数据安全更需要体系化的建设思路。《数据安全法》明确提出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
作为从国外引入的理念,数据安全治理在国内市场的推广、应用过程中衍生出了不同的理解思考和实施路径,安全419推出《数据安全治理解决方案》系列访谈选题,聚焦企业用户真实需求和挑战,通过挖掘分享行业中有价值的解决方案及服务,力求帮助企业用户在数据安全建设工作中提供有益参考。本期,我们邀请到北京云集至科技有限公司(以下简称“云集至”)副总经理宣淦淼,分享他们在该领域的思考和实践。
云集至成立于2017年,定位为提供全面的结构化数据安全产品、非结构化数据安全产品、服务和解决方案的服务商。坚持以“全数据安全为核,安全数据分析为辅”的发展思路,为全数据安全和安全数据分析量身打造丰富产线,覆盖数据安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据的安全防护和安全合规。
数据运行环境巨变 传统安全体系逐渐式微
经过前几年的概念宣贯与普及,数据安全治理的市场需求正大举迈入落地阶段,宣淦淼表示,这种趋势反映出数据特征与价值、安全业务目标、对数据安全能力要求的明显变化,是眼下供需双方共同关注的焦点。
数据已成为继土地、劳动力、资本、技术之后的第五大生产要素,在不断地采集、流动、使用与共享等过程中被挖掘并释放出巨大价值,当延续采用传统的网络安全防护模式,用户将疲于应对数据时刻变化的位置、形态、网络环境、安全等级、访问权限等等。实际上,通过防、堵、查、杀的方式已经解决不了复杂运行状态下的数据安全风险。
着眼于数据全生命周期的业务场景中,可以更具体地把握到用户对数据管理与保护的痛点:
首先,数据来源与采集变多,不仅是量级的指数级增长,更在于其种类、格式、形态的极大丰富,而传统的数据安全产品仅能覆盖30%-50%的数据资产,海量非结构化数据的产生以及数据库种类的不断增加对企业的数据管辖范围和供应商的数据管理能力提出现实压力。
其次,数据分类分级作为数据利用以及数据安全工作开展的前奏及基础,在落地中仍在采取传统网络安全视角的合规性咨询评估方式形成静态的数据清单,好比通过“登记”来发放数据身份证,却无法在数据流转以及安全防护过程中与资产、业务形成有效关联,以帮助进行决策或管控。
此外,如果把数据安全建设比作装修工程,需要统一的设计及指挥,整体布局全屋的水电改造,形成一致的调度。然而,用户长期建设而成的网络安全体系形成了碎片化的格局,策略与能力各自为阵,好比采用了无法配合衔接的水管和电路,不仅维护麻烦,还存在诸多的漏水点。
最后,当数据泄露等安全事件发生后,依靠现有的安全部署,往往只能抓取局部的片段和单点的记录,无法分析溯源出数据的全链条流转过程和事件的全貌,也就无法精确掌握并消除组织中的数据风险薄弱点。
基于以上挑战,数据安全治理以组织、制度、技术三维为一体,以数据的全生命周期为架构,同步规划、同步实施、同步投产,形成识别、防护、检测、响应的闭环和技术体系的有机互动,并通过统一管理平台实现联动,改变孤岛式安全体系,实现数据的内生安全。
平台+引擎+服务 打造与时俱进的数据安全治理体系
根据观察,不同企业用户在落地数据安全治理的过程中采取的方式不尽相同,宣淦淼表示,云集至基于多年的技术沉淀与行业实践,提出了针对企业全数据资产,以平台为大脑、引擎为基础、服务为驱动的数据安全治理体系。
所谓平台,是指数据安全顶层的统一指挥中心,云集至目前已建成多种维度的数据安全平台,可帮助用户实现安全设备集中管理、风险感知、用户实体行为分析UEBA、数据交换运行安全、安全事件全链条分析等覆盖数据全生命周期的场景需求。
全数据安全集中管控平台——进行数据安全集中化、标准化、规范化、常态化管理,全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向,通过接口对接数据安全技术设备,集中化对数据安全管控策略统一管理,实现数据分布、流转、访问过程中的态势呈现和风险识别。
数据风险感知与分析平台——从数据安全日志或在线流量中抽取关键信息,并以用户操作行为汇总建模,同时对严重偏离模型的行为进行告警或阈值控制,帮助管理员发现数据泄密、数据违规访问、误操作的威胁。
数据流转管控平台——支持数据申请审批工作流、数据加密保护、敏感数据脱敏、访问权限控制、数据水印以及流转审计的数据防泄漏,采用文件权限控制、脱敏、水印溯源保护,有效保障终端、服务器系统的敏感数据只能被合法用户合规使用,可应用于数据对外共享发送的多种场景中。
数据安全智能溯源平台——收集用户全链条数据行为日志,将收集的日志信息进行关联,对于攻击事件、恶意操作事件、误操作事件等进行精准取证,实现数据安全事件全链条分析,帮助用户找出事件源头。
平台想要完善发挥“大脑”的统筹指挥调度功能,还需要能力引擎作为“手脚”去执行施展具体的功能任务。云集至自研了十余种数据安全能力单品,包括数据资产梳理,数据防泄漏,数据库脱敏、加密、防火墙、运维、审计等功能,可面向全数据资产提供全面综合的安全保护与管理。
与此同时,依靠丰富的安全单品能力可以按需制定场景化的解决方案,针对性解决不同阶段或不同领域的数据安全建设需求,在上层平台的指挥下,可以提供以下三层防护:
·结构化数据安全防护:全面的数据库安全产品线,解决数据库安全面临的事前、事中、事后问题。
·非结构化数据安全防护:终端、网络、存储数据防泄漏,解决文档存储与传输过程中的安全问题。
·数据运行环境安全防护:打造可信数据运行环境,通过可信度量技术,从底层建立坚固“地基”,实现防勒索、防攻击、防0day、防破坏、防删除、防恶意代码、防漏洞攻击,提升主机运行环境主动免疫能力。
此外,在技术体系的建设之余,云集至也将针对高端场景用户提供数据安全治理建设服务,通过专业的安全专家紧密结合用户业务场景以及法律法规,从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,使组织内的各个层级之间对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
同时,云集至的安全服务还覆盖到数据资产梳理、数据安全评估、数据分类分级、数据安全法律合规评估、数据跨境安全评估等更具体、更落地的场景需求中,让数据安全建设更加体系化,数据安全管理更加合理规范。
在实际的落地中,宣淦淼告诉我们,因企业用户的规模体量、安全水位、行业标准、阶段性目标、可投入成本等因素的不同,平台、引擎、服务三者往往是交叉实施,有的放矢。而长远来看,在持续性的数据安全治理框架的指导下,需要三者相互赋能,最终建成成熟度较高的数据安全体系。更重要的是,基于业务与组织的持续发展,数据资产将长期处于实时更新状态,数据安全治理体系围绕全数据资产,需要从横向与纵向持续进行扩容,以匹配不断增长的业务目标。“数据安全建设没有一劳永逸,因此组织能力、技术能力和服务能力也需要不断进化”,宣淦淼说道。
聚焦重点行业 持续做好安全与业务的平衡
作为网络安全行业景气度最高的细分领域之一,IDC的相关调研数据显示,数据安全占整体网络安全市场比例将不断提升,预计2025年占比近14%,市场规模预测2025年将达到190亿元,年化增速超过34%。面对这广阔且不断增长的市场空间,宣淦淼也向我们透露了云集至的布局策略,聚焦重点行业及标杆客户,如政府部委、运营商、能源、金融等,因其拥有最为集中和海量的高价值数据资产,数据运行与交互场景足够复杂典型,对数据安全的保障要求较高,且已经出台较为完善的行业标准和考核监管制度。在技术要求最严苛的行业中实施方案,能够有效验证方案及服务的硬实力,持续打磨产品,并洞察最前沿的方向趋势。
而从另一方面来看,重点行业作为兵家必争之地,供给侧的竞合自然是愈演愈烈,宣淦淼表示,云集至的竞争优势依托于深厚的技术背景和创新的治理体系,其核心团队成员均深耕于大数据安全、数据安全、 数据库、操作系统等领域十年以上,深谙数据运行的底层架构和数据业务逻辑,拥有先进的数据动态梳理、协议解析、加密及大数据分析等技术,基于运行环境、数据使用层安全,将技术融合提供维度丰富的安全平台,以“一个平台、三层防护”的全数据安全治理理念打造数据运行环境的可信底座,良好平衡安全与业务,全面满足数据安全合规与内生的需求。
毫无疑问,数据驱动业务发展已是数字化转型趋势下的显著特点,在探索和落实数据安全建设的道路上,有规划地逐步建设数据安全能力,让数据开发利用与安全防护的一体两翼平衡发展,将是可持续的数据安全治理之道。