从常态化疫情防控看数据运营安全的落地实践

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2021-03-03
时至今日,新冠肺炎疫情还在全球大流行,中国作为第一个走出疫情阴影的国家,经济已经稳步复苏。得益于我国政府的常态化疫情防控策略,支撑社会经济发展的各个要素一直安全有序地持续运转着。

就如同在数字时代,数据价值的释放也需要作为生产要素的“数据”打破孤岛,在复杂的系统和业务间保持安全有序地流动。透过常态化疫情防控的种种举措,其实有诸多值得我们学习和思考的数据产业健康发展路径。安全419通过观察行业内关于当下数据治理及安全防护的不同实践,一种名为「数据运营安全DataSecOps」的新兴安全理念与常态化疫情防控可谓是相得益彰。

疫情防控

常态化疫情防控VS.数据运营安全

常态化疫情防控坚持以「预防」为主,大江南北的每一片区域、流动在全国各地的每一个人,都是防疫工作中不可缺少的一环。国家通过隔离境外输入、核酸检测、戴口罩、“1米线”、场所限流、区域消杀等一系列措施,来保障个体的健康和环境的安全;并采用进出场所登记健康码、测体温等手段来跟踪、记录流动人口和不同区域的风险等级及其变化情况。同时,科学地划定防控区域范围至最小单元,对不同风险等级的区域采取不同措施,对划定的防控区域之外的区域,保持正常生活生产的条件,保证工作和生活不受影响。

现在,我们把这些频繁流动的人口看作高速流转的数据,把人们进进出出的写字楼、电影院、住宅小区等场所看作接触数据的不同系统、接口及用户角色,抽象的数据运营生态就变得鲜活具体起来。数据运营安全,是由数据安全公司数安行提出的一种创新防护理念,官方阐述其核心为“通过在数据运营中内嵌数据安全属性,在不影响数据业务流程正常运行的情况下保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。”

数据运营安全

可以看出,数据运营安全同样坚持以「治未病」的思路,对流动中的数据及其风险性进行持续的识别、监测、跟踪,以解决数据运营过程中的数据安全问题。

说完「道」的层面,接下来我们将详细类比剖析常态化疫情防控与数据运营安全的种种招「术」。
 
全国人口流动登记VS.全类型多源数据资产发现

为防止疫情反弹,国家采取早发现、早报告、早隔离、早治疗的主动“杀毒”方式。要想第一时间发现疫情并阻断传播,需要掌握每个公民的行动轨迹,以及与之有过密切接触的人员情况。举个例子,小张使用手机领取「健康码」,通过申报自己的健康状况和历史行程获得初始的安全风险评估—绿码,因此他可以在低风险区域自由活动。此后,他每天坐地铁、进写字楼、逛商场、回小区等出入任何地方,都需要出示健康码并配合测量体温和扫码登记场所。测温以及日常的核酸检测筛查,可以记录每个人最新的健康状况;场所登记并结合GPS定位、大数据分析等手段,可以串联起全国的人口流动情况及其关联性跟踪。

同样的,面对海量的数据流动、复杂的业务流程,为有效防止潜在的数据扩散滥用风险,我们首先需要知道数据有哪些、哪些属于敏感数据、它们都分布在哪、它们是怎么流转的、使用过程中的风险在怎么变化……因此,数据运营安全落地的第一步便是针对数据的识别和分类。借助多种数据格式识别库及数据分类模型,结合数据内容深度解析及人工智能分类技术,对组织内的全类型、多源头数据资产进行探测分析,以帮助用户梳理清查政务数据、个人隐私数据以及商业秘密数据等等数据资产类型、数量以及分布位置,自动创建数据资产的全景视图。

疫情风险动态监测VS.敏感数据流动风险感知

每一个健康码实时状态的背后,其实是对不同风险区域、不同风险人员、不同人员在不同地区的流动变化情况,以及不同风险人员之间是否有过密切接触的持续性记录。这样就能及时感知风险变化,及时发现传染源,及时进行控制,果断采取措施切断传播途径,尽最大可能降低传播风险。比如,手持绿码的小张在某一天乘坐了G5XX次列车。第二天,该列车同车厢的乘客小王在社区组织的核酸检测筛查中被检测出呈阳性进而确诊。于是,小王所住小区的单元楼被升级为中风险区域,而小张等同行人员作为确诊者的密接接触者也被立即隔离并进行核酸检测。

同样的,建立数据资产全景视图是为了实时感知数据的安全风险。通过对业务及网络无改造地映射用户数据业务全流程,标注、跟踪各种类型、来源的数据使用及变化过程,就好比给数据都打上健康码一样的身份标签,一旦有敏感数据出现违规滥用情况,其定位、转态、使用链路、血亲关系都将被监控到。比如,一条包含着用户姓名及身份证号的个人隐私数据在A系统被捕捉到出现了被越权读取的现象,A系统从其他系统获取该数据的行为,以及访问A系统的其他用户或接口都将一并关联分析并溯源,进而采取相应的防护措施。

数据运营安全

细粒度隔离防疫VS.自适应精准防护

对于个人而言,我们参与、配合防疫工作,需要保持勤洗手、常通风、不聚集的良好生活习惯,保持一定的社交距离,并科学佩戴口罩。就好比在社会环境中拥有了最细粒度的隔离,让每一个公民在可控的流动中保持自身安全与健康。对于场所而言,不同风险等级的区域,实行不同的通行政策。比如,禁止人员、车辆进出高风险区域的,中风险区域的人员需要持7日内的核酸阴性证明通行,低风险区域的人员持绿码即可自由活动。所以常态化防疫的本质不是靠阻断,而是根据不同的情况采取不同的措施,通过精细化的隔离、动态调整的管控来保障人民安全和经济发展。

同样的,数据运营安全针对敏感数据的防护,也是按需适配,根据风险级别、使用环境、流转环节以及用户角色等差异,提供最精准、最适宜的防护手段。利用零信任的安全沙箱、动态的存储隔离、流动数据的微隔离防护等等种类丰富的工具箱,借助分布式智能风险评估模型,来实现基于数据角色及用户风险的自适应精准防护。

数据运营安全

经历了去年年初的武汉保卫战,我们都深刻体会过封城的代价,那是疫情已经大面积蔓延之后所不得不采取的选择。当疫防由最初的应急状态转变为常态化防控的阶段,我们所做的这一切,都是为了防止再次重蹈覆辙,保人民生命安全,保经济稳步发展。

因此,数据产业的健康发展路径,需要坚持“发展与安全并重”,既要避免非黑即白的一刀切,牺牲数据流动所创造的巨大价值来保证安全;更需要在没有发生数据安全事件时就做好常态的、全流程的数据流动治理,避免走到不得不“封城”的那一天。数据运营安全带来的思路和实践,通过互不干扰的数据跟踪及风险防护体系与业务流程,为数字时代的数据安全防护提供了一个很好的范本。