天空卫士杨明非:大数据时代下的数据安全治理与保护

Posted 安在

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了天空卫士杨明非:大数据时代下的数据安全治理与保护相关的知识,希望对你有一定的参考价值。



2020年6月16日起,安在讲堂公益直播第三季,即网安强中强——2020网络安全产品及创新技能直播大赛全新开启,以新技术、新产品、新解决方案的分享传播为侧重,意图呈现当下中国网络安全的新生力量,“乙方”亮相,一展风采。

   

2020年7月21日,安在特邀请天空卫士合伙人、高级技术总监杨明非做客直播间,以“大数据时代下的数据安全治理与保护”为主题,和网络安全从业者分享天空卫士对于“数据安全治理与保护”的相关理解思考与实践方案。


天空卫士杨明非:大数据时代下的数据安全治理与保护

(注:本期文章所有内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。)


天空卫士杨明非:大数据时代下的数据安全治理与保护


截至统计时:

收看直播人数:443

讨论数量:19

签到人数:89


天空卫士杨明非:大数据时代下的数据安全治理与保护
天空卫士杨明非:大数据时代下的数据安全治理与保护



天空卫士杨明非:大数据时代下的数据安全治理与保护


今天想和大家分享一下,在大数据时代下我们如何进行数据安全的治理与保护。数据安全体系是非常庞大的课题,我们也不一定能覆盖到方方面面,从理解和建设,在每个领域或者每个不同的角度上面,也会有一些不同的看法,希望大家能做更多的讨论。


数据与数据资产安全


今天市面上很多做安全的公司,大概有80%以上的公司都说我们的产品是保护数据安全的。那我们今天谈到的数据安全,特殊在哪?我们要分清真正的数据安全和数据资产安全。


天空卫士杨明非:大数据时代下的数据安全治理与保护


这是很多在我们去做安全的时候的误区,因为本身对于数据来说,它只是作为信息的载体,对于我们的IT行业来说,通常是指以二进制的方式承载,把这些存进硬盘的都统称为数据,但实际上数据本身还包括比如说在图纸上面以其他方式存在的问题,对于我们的企业而言,今天需要保护的是所有数据吗?结论是No,我们不需要去保护所有的数据,我们需要保护的是数据资产。


那什么是数据资产?所谓的数据资产和我们企业的有形资产,从理念和概念上面来说是一样的。它是由企业所拥有的,最重要的一点是,是能给企业带来经济利益的资源。这里我们特指的是数据资源,典型的形式包括客户的数据库、订单的数据、设计的图纸、源代码,这里面可以能分出来是企业的知识产权、企业的经营管理数据,还有企业所掌握的客户。这些信息,都属于叫企业的数据资产。


资产是相对业务而言的,应用越多,经济价值越大,因此是业务驱动的。企业数据已成为业务关键资产部分,即能够带来业务价值和业务竞争力。数字化业务的价值体现数据表现的资产上,因此安全视点相应转为以具有业务价值的数据和被法规约束的数据为中心、而不是以网络技术为中心。


物理资产在企业的本地还会有一份数据,而这部分流出的数据它只是被拷贝走,这也是数据资产和物理资产的非常大的差异,数字资产的损失意味着企业价值的损失或流失,因此面向数据资产的保护意味着面向企业业务的保护。



天空卫士杨明非:大数据时代下的数据安全治理与保护


今天要去谈真正的数据安全最核心的点,我们应该是讨论的是数据资产的安全,而不是广泛意义上的数据安全。为什么我们今天会谈到这个概念?因为我们现在会进入数据资产安全的时代,因为大数据数字化转型。


20多年前当我开始进入这一行的时候,大家在谈论安全的时候还在单机版的防护上面,那个时候更多从信息系统的安全角度来说,更关注的是开发代码业务逻辑,安全系统的管理维护是否有漏洞,安全的关注点更多是在信息系统方面,信息系统在最初的时候,也都是作为企业业务发展的辅助支撑手段。


信息系统飞速发展网络兴起以后,大部分的安全开始围绕着边界防护,安全防护持续地深入,开始进入信息安全和数据安全的体系,对数据要进行更多的保护。但是对于很多的企业来说,并不知道有哪些东西是需要做保护的,由于业务的规模量或者说数据的整体量并不是很大,所以那个时候主要是以数据安全为主。但是随着在近两年进入数字化转型的时代之后,我们能看到越来越多的企业开始关注到数据资产的安全,这里面就包含了个人隐私、商业秘密和知识产权。


我们谈到数据资产安全的时候,要从数据的安全概念和维度去看。数据安全CIA三原则是所有安全的基础,机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)是安全的三个原则、要素、方向。我们过去谈到安全的时候,很多时候过多去关注于完整性和可用性,认为这样就保护了数据的机密性,但实际上这是错误的概念,是对于可用性的一种限制。


我们今天去看数据安全的时候,一定是要从数据的内容,也就是我们前面提到的数据资产保护的角度,因为当我们对所有的数据都进行保护的时候,就等于没有保护了,像是军事应用里面无差异的保护。所以说我们需要分清楚哪些是数据资产,进行区别保护。


当然在我们的企业里面,不光是关注安全基础的CIA,还会包含着很多的维度,比如说企业业务的驱动,当前企业里面最重要的业务是什么?它的发展方向是什么?业务的领域里面,受什么样法律法规的影响,比如说到海外扩张的时候有没有GDPR的影响,金融里面的相关的行业的法律法规的影响,另外还有像中国的网络安全法或者是其他的一些法律法规的要求和行业规定,这些都会决定企业对于数据资产安全的保护策略。


这样下来,我们才能知道如何去做数据治理,治理的框架是什么?怎么样去安排,都有哪些人员组织包括IT的架构,怎么样去参与到整个数据资产的保护。今天我们做IT企业来说,可能更多关注的是在于技术体系上的影响,比如我们的技术环境、我们的业务都分布到什么地方去了,今天是在有边界的企业的IT架构里面,还是在无边界的企业IT架构里面,整个采用什么样的方法论或基于什么样的模型,去建立整个企业数据安全的框架。


所以,在讨论到数据安全和数据资产安全的时候,我们要看很多的概念和维度,顺着维度下去,才能知道如何去保护的数据。这里有个重点,技术永远是作为安全人和制度体系的支撑,而不是作为引导。


天空卫士杨明非:大数据时代下的数据安全治理与保护


我们去看整个业务框架的时候,为什么数据资产的体系会变得如此重要?在过去,很少有企业会单独去提到数据安全的体系,今天越来越多的企业由于数字化转型去考虑数据资产安全。数字化转型今天已经作为企业现代化的标志,金融、互联网,或者是在一些传统的行业,包括航空物流、医疗、能源,这些企业都在做数字化转型。但是整个数字化转型它带来的最大的变化从数据资产的角度去看的话,数字化转型的动作让很多我们过去被忽略的、没有收集的数据都变成了数据资产。


过去没有做数据化转型的时候,对于商业的零售企业来说,收到的一串数字就是数字,但是如果把数据再继续往下去分析,能收集到更多更细的信息,就可以从客户的偏好,喜欢的程度或者人群、年龄,从各个方面可以去收集到更多的数据来做进一步的加工收集和整理,这样把过去的冷冰冰的数字变成了我们的数据资产。


这种趋势或变化一方面带来了数字化的好处,另外也带来了安全上的很大的挑战。主要的挑战有几点:


第一是云计算、大数据的应用导致企业IT失去了可视化。数字化转型中云计算被大量使用以实现弹性的IT架构,IaaS, SaaS等模型大量使用后IT可视化大大降低。很多的企业都不知道在里面究竟有些什么样的数据。


第二是互联网及移动互联网的发展与广泛应用导致的企业安全边界消失,传统的基于防火墙、IPS构建的企业安全边界失效。更多的企业员工、外包、第三方来自于互联网并无法得到有效保护。企业安全的边界变化消失的时候,数据安全隐患也分到各个地方去了。


第三是数据资产安全考虑不足。多数企业更关注业务支撑系统的建设,没有意识到数据资产已经分布到无边界网络里。传统的IT 系统安全建设主要考虑是以网络和威胁为主,缺乏原生的数据安全手段对数字化转型带来的海量数据资产进行保护。


所以2020年Gartner的规划里面,也是把对数据安全的风险管理的部分,作为非常大的重要的题目,这也是业界的趋势发展所给我们带来的必要的变化。


传统安全模型中的“旧”安全有三个主要的特征:一是传统的信息安全前提是存在一个“边界”,可能是网关,可能是软件,发生作用的范围,一定是在某个边界;二是对于过去的安全来说,它以防范攻击为主要目标,多层纵深防御体系;三是还会忽略“人”的主导因素,这种都是属于“旧”安全的非常大的特征。


基于已知威胁的传统安全模型难以适应新型攻击技术的节奏,被动防御与响应的模式导致企业IT、安全投入居高不下,但是威胁并未随之大幅降低。我们传统的安全防护的理论,都是针对外部的进攻人员,但实际上今天我们看到大量的安全事件或大量的核心数据资产相关的事件,都是来自于内部人员。人是安全的主体和安全策略的中心,也是最薄弱的环节。


今天,我们再去看新的安全模型,是以“人”与“数据/行为”为中心提出来的,围绕着数据资产为核心,从行为的科学化到数据的可视化,到最后形成数据安全的这种规划。我们也不是去完全抛弃了过去的安全防护体系,只是说我们不去过度去关注数据资产安全的角度。我们关注于持续性的行为解析,因为所有的安全事件都是由人来驱动。


天空卫士杨明非:大数据时代下的数据安全治理与保护


为什么我们要做成持续性的?因为在过去的安全体系里面很多都是一次性的。策略性安全通过就通过了,如同修了很高的城墙,打了洞,门一开,只要人一进来就可以为所欲为了。我们以数据资产为核心,对它作持续行为的监控,人只要是进来了,我们也会持续的监控人的行为及变化,发现行为的一些异常,这样就形成一整套的安全体系,才能符合我们今天对于数据资产业务的要求,在安全和业务的使用中间找到平衡点。


我们前面谈到过,很少有组织清楚了解其敏感和/或关键数据位于何处、如何传输以及如何在整个运营过程中对其进行访问和使用;也很少有安全和风险管理负责人熟悉可用于帮助企业应对数据安全挑战的所有控制和支持工具。很多组织缺乏对数据安全控制的理解,以及使用有限的可用工具子集解决所有数据安全挑战的普通尝试,都会导致控制和缓解风险方面的严重差距。如果由数据安全治理全面驱动、有效的规划就可以清楚地确定哪些控制适合实现策略目标。


天空卫士杨明非:大数据时代下的数据安全治理与保护


我们要通过治理去发现敏感数据在什么样的位置,哪些是敏感数据,哪些是不敏感数据,被谁使用,再进行保护,这是整个数据安全治理的体系的起因,是必由之路,


我们也愿意遵从现有的数据安全治理的框架和体系。最重要的一点是我们需要从企业业务的战略,从企业治理到合规再到IT的战略,非常重要一点是要有风险的容忍度,从这些方面去平衡我们的业务的风险和需求。


然后我们再在整个的数据集里面去进行数据的优先分级,按照数据资产的级别去把它做划分。划分完了之后,我们可以开始定义整个数据安全的策略,策略可以通过对数据在哪里、如何被使用、被哪些人使用、如何被传输、如何被分析这些方面去定义。到最后才是去选用相应的数据安全的产品,什么地方要用标签,什么地方要用数据库审计或数据库防火墙的保护。因为没有产品能完美匹配CIA的三个方面,不同的技术总有不同的关注点。我们通过不同的产品的组合,从上至下,从企业的整个的业务框架到IT构架,实现整个数据资产安全性的体系编排统一的策略。


天空卫士DSG


我们天空卫士希望去构建一整套围绕数据为中心、以人为中心的数据安全的体系。那在这里面,我们我们把数据分成了有害数据和资产数据。


有害数据来自于互联网。互联网上可能会存在各种各样的稀奇古怪的一些攻击,病毒,这些东西可统一叫做有害数据。我们要把它挡在外面,真正需要保护的,还是我们刚才提到的重点,企业的资产数据。这些资产数据要通过哪些方式方法和手段来对它进行保护?我们构建了一整套叫做ITP内部威胁防护的体系。在ITP体系里面,我们争取能覆盖到企业无边界的网络上面的IT架构,通常包含了企业的办公空间、企业的数据中心或者叫做云的环境,企业SaaS服务、企业移动终端的体系。


我们有大量的终端,特别在远程办公的情况下面,都跑到互联网上去,怎么样去对它进行数据安全的保护?我们要提供全面覆盖的技术支撑能力。通过这么一套体系,从前端的理论评估,一直到后端技术支撑的体系落地,我们去提供整体的框架和技术支撑。


支撑是通过人员的介入、对业务的分析、对于合规法律法规的分析。之后,我们开始对数据做优先级、分级分类,我们提供了一系列的技术工具,简化我们在分级分类中的很多动作。比如从数据中敏感度的判断,对数据进行自动化的分类、提取特征,到后期去实现数据的安全策略,可能还会有人的参与。


天空卫士的合作伙伴生态下的数据安全治理的联盟,会提供从数据审计、身份认证、加解密到数据防泄漏这一整套围绕数据资产保护的技术平台体系。最后,我们通过行为分析的模式把整个体系进行串接,实现以人为中心的数据安全体系。


天空卫士杨明非:大数据时代下的数据安全治理与保护


谈到数据处理的时候,我们从另外角度去看,这中间还有非常重要的数据生命周期的管理。因为数据生命周期的管理里更多会涉及到整个数据加工处理的流程和体系。


为什么叫持续性的数据安全治理,因为你只有跟随了整个数据生命周期的保护框架,他才能有可能实现持续性的数据治理的概念。我们不能说完成一次咨询,做了一次数据梳理之后,后面再也没有做任何的更新了,这是我们看到很多用户出现这种问题,花大价钱请了一次咨询,一两年之后因为企业的业务有变化,前面所有做的咨询工作都作废了,一定要按照数据生命周期的角度去考虑。今天,数据本身所表现出来的形式也会发生很大的变化,所以我们要根据数据的生命周期去做一些持续的工作。


天空卫士杨明非:大数据时代下的数据安全治理与保护


最后我们看一下产品的组成。从数据安全治理的角度来说,绝不是天空卫士一家就能完成整个技术支撑的体系,其中还会有很多不同的产品和技术加在一起,最重要的是前端的治理过程,这样在后面才会有技术支撑的体系去支撑我们技术的落地。


最后,我给大家分享一下,我们做了很多用户总结出来一些最佳实践经验。


一是了解与评估目前数据安全建设所处于阶段,通过数据安全三原则与数据集生命周期保护模型识别短板与目标。通常来说有几点共识:安全建设投入容易过于关注可用性与完整性,而普遍忽视数据机密性;加强可视化,了解敏感数据的存储、使用和传输情况。


二是数据分级分类任务容易建立“过大”的目标而导致难以达到理想成效。可优先通过识别核心业务、关键数据资产与暴露面,采用技术工具+咨询流程分解实现;数据集规模、形态与企业业务发展息息相关,应建立阶段性目标与动态适应的数据分级分类体系;不是所有数据都需要保护,应该识别关键数据资产并平衡业务战略目标。


三是数据安全体系不是单一产品就能构建的,也不是单一的一个点就能覆盖的,需要从整体考虑。



数据安全体系和和传统的IT的安全体系不一样的是,它和业务紧密的这种结合,和数字化转型所带的变化是一样的。数据安全的体系和业务的安全或者对业务的支撑应该是相辅相成的关系,而不是单方向的命令式的关系。技术达不到的管理补,管理达不到的用技术来去补它。特别是企业里由IT负责数据安全的话,一定是需要和整个企业里的高层、和业务部门业务体系有非常大的关系,如风控、业务、营销、生产研发等等。跟其他的部门都会有很多的关系,所以一定要考虑好,特别是需要高层的领导有足够的认识再往下去做,这样能取得比较好的效果。我们一些单一的把数据安全当成是IT的项目去做的,基本上做到后面都作废了,因为它实际上不能应用。


谢谢大家。


问答环节


Q1:请问在实践中,在数据生命周期安全治理和保护中,数据存储和数据使用过程中,哪些技术方法既可以保证数据的安全,还可以保证不降低数据的存储和计算效率?

A:有很多种方式方法,关键还有一点,是要看对于数据的容忍度。

有几个典型的,比如说DCAP里面大部分的模式,我们去对数据库的访问去做审计、做保护,第二个可以通过数据脱敏的技术,比如说从生产到测试的过程中,把数据做静态或者是动态脱敏。今天对大部分大数据处理来说,脱敏技术是非常关键的技术,保护我们的数据,不去出现一些丢失后产生的安全问题。还有同态加密,很多的这种模式,有可能会导致整个计算的效率的降低。还有一些方式,我们通过虚拟桌面,让这些数据,只能看到,但不能拿走,要根据IT的环境来去做。


Q2:绝大多数业务数据都保存在数据库里,这种数据如何实现自动识别、分类、分级呢?

A:很多数据库安全的厂商里面也有一些方案。因为大部分的自动化分级分类,我们都是针对非结构化文件,特别以文档类型的存储为主,因为文档类型的处理是最复杂的。对于数据库里面也是类似的,这种方式通过对数据库的扫描发现,我们来去判断哪些位置存在有敏感的信息。

分级分类,同样的也是需要制造一些规则,通过规则去发现整个数据库的存放。但数据库里面,很多时候可能还会有很多比较复杂的处理,要具体的情况去做具体的分析了,但数据库里面最复杂的还是说对于数据库的数据去做一些标签。很多时候我们会看到的,更多的也是这种传统的结构化,大部分比较好整理,因为人工就能够整理清楚了,更难的都是在今天我们大数据平台里边的数据。


Q3:大数据平台中存在很多开源的安全组件和各组件之间大量的接口调用,针对组件和接口的安全,您是怎么看的?应该怎么解决?

A:这部分与我们的研发的方向有所不同。一般属于代码安全或应用安全及其他的领域。如果说我们从数据安全的角度上去看的话,这些所谓的接口更多的是需要一种可视化的处理,需要非常清楚的了解哪些数据从这些接口流动出去了,或者如何被调用,因为对于大部分的安全很容易就会掉到代码安全或者说这些坑里面去。

但如果说我们从数据安全的角度去看的话,我们需要知道哪些内容,首先要可视化,第二个我们要对它进行控制,更进一步的,我们要对他做行为的分析,因为我们实际上是发现了数据调用的异常性,知道它的内容是什么,很容易去知道中间发生了一些什么样的问题。我们并不关心接口本身,比如说开源代码里面它存在多少漏洞,不在数据内容安全的范畴里面。


Q4:对电信公司来说,数据安全管理的组织结构如何建立?

A:问题比较大。对于我们公司而言,专门是有团队去处理的运营商相关的所有业务,有好多组织结构相对来说比较特殊。但是我们能看到,在整个运营商的体系里面,现在对于数据的安全的重视度是越来越高,比如说大数据的应用的规范,还有在数据安全的能力建设上面,内部也有很多文档,我觉得可以多参考一下那些。


 评委互动、打分、抽奖展示

天空卫士杨明非:大数据时代下的数据安全治理与保护

天空卫士杨明非:大数据时代下的数据安全治理与保护

天空卫士杨明非:大数据时代下的数据安全治理与保护

天空卫士杨明非:大数据时代下的数据安全治理与保护





天空卫士杨明非:大数据时代下的数据安全治理与保护


推荐阅读





天空卫士杨明非:大数据时代下的数据安全治理与保护
天空卫士杨明非:大数据时代下的数据安全治理与保护

齐心抗疫 与你同在 天空卫士杨明非:大数据时代下的数据安全治理与保护




点【在看】的人最好看



以上是关于天空卫士杨明非:大数据时代下的数据安全治理与保护的主要内容,如果未能解决你的问题,请参考以下文章

盘古开源:从大数据时代信息安全,洞察数字经济发展趋势

大数据时代下的信息安全

大数据|提升数据安全治理能力

谈谈大数据时代下的数据仓库

人民日报:大数据时代如何保证数据安全?

动态 | 《大数据风控与权益保护研究报告》之数据治理中的法律法规建设