随着这套方法论走入国门,业界不断涌现出相关研究与实践。数据安全治理到底有什么用?怎么做才能达到预期的理想效果?近日,安全419邀请到国内专业的数据安全治理解决方案供应商昂楷科技,分享他们与数据打交道十余年探索出的安全良方。
我们真的需要数据安全治理吗?
数据安全并不算一个最新鲜的话题,从数据库安全起步,该领域的发展已有十年之久,跟昂楷科技成立的时间相当。但数据安全治理是一个更新鲜的香饽饽,其提出的时间也正是国内数据安全市场进入爆发的时期。近年来,以此为标榜的厂商不在少数,为什么转眼之间,数据安全治理似乎就成了数据触达安全状态的“绝妙”路径?
昂楷科技研发总监刘亚军
昂楷科技研发总监刘亚军对此解释,整个的网络信息安全经历了从终端安全、网络安全进入到数据安全的几个阶段,曾经,我们只需保护好承载数据的系统,后来,伴随数据的使用流动,我们需要在不同的场景和业务中去考虑数据特定的安全需求,由此也诞生了品类繁多的数据安全产品。
现在,数据上升到资产、基础设施的层面,数据量级正在以几何速度暴涨,数据蕴含的价值并非以往任一时代能够比拟,如果我们仅仅使用雇佣保安、装防盗门等形式的安全管控,一方面,单一的、孤岛式的防护无法对抗持续激增的风险威胁,另一方面,以管控为目标的安全原则将会对数据的流通利用产生明显的阻碍。
而数据安全治理的思路,强调安全不再是一个纯技术和产品层面上的安全,实际上是组织规范、管理制度和产品工具的完美整合,以呈现整体的、有策略的安全体系。同时,安全防御长期以来强调的是为业务提供保障,在数据时代,数据就是业务的核心驱动力以及业务本身,因此我们需要跳出以往着眼于系统、网络的安全思维,重新以数据为中心来进行安全的建设,达到精细化和贴身式的防守。
昂楷科技如何实践数据安全治理?
数据安全治理是一套很宏大的框架,这就类似于我们生活的城市中会出现打砸抢烧,每家每户装上防弹玻璃、非必要就闭门不出并不能有效杜绝坏蛋的出现,社会的运转也将陷入僵局。站在公共安全治理的角度,我们会组建公检法体系,会有军队来提供保障,会出台法律政策,会建立公共设施和安检制度等等,既有组织策略,也有技术手段,还有协同联动。
数据安全治理也一样,但将其落地实施到一个具体的企业中,形成贯穿于整个组织架构的完整链条,绝非易事。刘亚军对我们讲到,数据安全治理本质上就是一套自上而下的多层框架,涵盖决策层到技术层,它要求企业建立安全政策和组织保障;评估企业自身面临的安全风险,对不同等级的风险设定不同的管理政策;针对安全风险控制,制定相应策略,内部进行资源匹配,这里面将涉及具体的技术工具;通过安全评估及具体指标衡量,以确保风险得到了有效管理,否则需要重新纠偏,以此形成一个完整的闭环。
从战略高度来指导数据安全治理,好处在于宏观的控制和推进,但美好的愿景之下,它的推进难度、执行效率极大地依赖于该项目在企业中的重要性和地位、企业组织架构是否足够成熟优越、企业成员的安全意识是否与此高度匹配等等。而现实情况是,我国大部分企业、单位的IT建设、组织建设在过去长期处于重发展而轻安全的状态,在此基础上直接落地数据安全治理多少有些“水土不服”、“不接地气”。
据刘亚军介绍,昂楷科技在帮助企业落地数据安全治理项目时,进行了很好的本土优化,采用自上而下加自下而上的双向结合循环路线,一方面,从策略上,从顶层起步进行宏观路线的规划,形成一套完整的从梳理、到管理、到控制的方法论;另一方面,从执行上,从大到小、从整体到局部,动态地、精细地逐步进行实施,比如先进行“卡口”实现对基本面的安全控制,再结合对数据资产的梳理情况进行数据安全策略的智能化设置。
整体方案的构成涵盖了资产梳理、风险评估、主动防御、监控审计、态势感知、数据溯源、数据处理、联动联防等全面的能力,这些数据安全能力单元搭配SOC平台、应用安全、终端安全、网络安全等其他安全能力单元,集中到拥有自学习能力的数据安全综合治理平台上,实现对复杂威胁的联动联防,可以覆盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁的全部流转周期。
在这其中,刘亚军多次强调了昂楷科技的智能化安全治理能力。即,数据资产的一大明显特征在于瞬息万变,数据是高度灵活、高频变动的,如果像盘点实物资产一样去梳理数据资产,并依据梳理结果对数据进行管理控制,很难达到“与时俱进”的效果。因此,昂楷科技会通过AI机器学习的方式持续地监测数据本身实时变动情况,包括其格式、状态、敏感性等等维度,实现持续的智能化数据盘点,通过不断地重塑企业数据资产,并依此指导后续的安全动作,达到更精准、更灵敏、可持续性发展的安全防控效果。
数据安全治理是为了正确地用好数据
当数据安全的策略、技术、措施都越来越智能和贴身,我们可以看到数据安全正逐渐与数据使用深度绑定在一起,趋向一种平衡的进化。刘亚军对此表示,整个行业已经越过了非黑即白的强管控时代,当数据的量级和价值极大地凸显,我们需要意识到,把数据关起来是一条“死”路,但是让数据不受控地放飞,只会“死”得更快。
这从日前颁布的《数据安全法》中也能得到印证,这部在网络安全行业发展过程中具有里程碑意义的法律,正是从统筹发展与安全的角度规定了数据必须在保证安全的前提下进行挖掘、利用和创造,安全从一个附属、外围的属性正成为了一个与数据业务伴生、嵌套、互相成就的角色,因此这十分考验数据安全的全局部署、技术创新和实施服务能力。
刘亚军认为,昂楷科技的安全战略向前发展,会更加侧重于工程化的落地能力,它不再是一个产品级别的安全方案,而是与数据利用结合在一起的业务性质的工程。近年来,在政府、公检法司、能源电力、运营商、金融、教育、云端数据库等多个领域,昂楷科技已帮助多家核心头部客户有效实施其数据安全治理方案,积累了不少工程标准化经验和服务经验,这也将成为他们未来助力各行业数字化转型的一大核心优势。