隨著信息化的不斷發(fā)展,外部橫向合規(guī)要求,垂直行業(yè)要求,以及內(nèi)部內(nèi)生安全需要,由數(shù)據(jù)泄露帶來的損害企業(yè)已越來越難承擔,一旦發(fā)生數(shù)據(jù)泄露將會給企業(yè)帶來經(jīng)濟、聲譽、司法、人員變動等多方面影響,目前多數(shù)用戶通過邊界防護手段進行整體防御,但隨著數(shù)據(jù)價值在運營過程中越來越重要,以網(wǎng)絡為中心的安全防護短板越發(fā)明顯,如何對數(shù)據(jù)進行整體安全防護,數(shù)據(jù)流動到哪,安全就輻射至哪的場景建設已迫在眉睫。
1.安全的發(fā)展
安全的發(fā)展主要經(jīng)過三段即信息安全、網(wǎng)絡安全、和數(shù)據(jù)安全。
安全發(fā)展軌跡
最早為信息安全,在信息化發(fā)展的初期,基礎物理環(huán)境不復雜,上層業(yè)務系統(tǒng)建設也非常簡單,整體信息處于白紙狀態(tài),所以安全范圍非常大,從管理辦法到防護技術(shù)都可以在該框架下填充。
隨著企業(yè)自身業(yè)務不斷發(fā)展,支撐業(yè)務的基礎環(huán)境也越來越復雜(私有云的形成),基于自身網(wǎng)絡邊界防護需求日益突出,當時主要以防火墻、網(wǎng)閘、入侵檢測、waf等防護為主要手段。隨著公有云的與私有云的密切結(jié)合,混合云的形態(tài)已在企業(yè)中廣泛使用,網(wǎng)絡空間安全的需求也隨之而來,以安全域劃分,結(jié)合支持混合形式的邊界防護組成的網(wǎng)絡安全防護技術(shù)也日益興起,該網(wǎng)絡形態(tài)是現(xiàn)今大家所聊的網(wǎng)絡安全,即網(wǎng)絡安全第二種形態(tài),網(wǎng)絡空間安全。
安全服務與業(yè)務,數(shù)據(jù)驅(qū)動帶來新的運營變化,是當前和后期的業(yè)務發(fā)展趨勢,目前業(yè)務以數(shù)據(jù)為中心,而安全則以網(wǎng)絡為中心(即處于第二安全發(fā)展第二階段),兩者目標不一致性帶來的問題已日益嚴峻,所以以數(shù)據(jù)為中心的安全建設更接近安全目標(安全的目標是更好服務業(yè)務,與業(yè)務更加融合)。
2.現(xiàn)今手段對數(shù)據(jù)防護缺失
目前在以邊界防護為主要手段下,如何保障數(shù)據(jù)的安全方面,存在多點缺失。
安全防護層面的缺失
1.與業(yè)務脫鉤,安全與業(yè)務無法有效融合
業(yè)務依托于數(shù)據(jù),讓數(shù)據(jù)成為資產(chǎn),產(chǎn)生價值已是各大企業(yè)正在做的事情,如近幾年,提出數(shù)據(jù)治理的概念,數(shù)據(jù)治理以數(shù)據(jù)為中心,通過對數(shù)據(jù)的綜合利用,提升企業(yè)數(shù)據(jù)價值收益。數(shù)據(jù)治理中對數(shù)據(jù)生命周期管理有相應的要求,而目前邊界防護不能滿足對數(shù)據(jù)、對數(shù)據(jù)的生命周期的管控。隨著治理的延伸,現(xiàn)今的防護手段短板也會越發(fā)明顯。
2.對數(shù)據(jù)層的安全監(jiān)測與管控
數(shù)據(jù)泄露事件不斷遞增,其根本還是因為邊界防護手段是以網(wǎng)絡為中心的建設方式和理念,它不能為數(shù)據(jù)層面提供更多防護需要,如何讓數(shù)據(jù)可視化?如何對數(shù)據(jù)進行管控?如何對數(shù)據(jù)進行監(jiān)測?這是目前邊界防護所無法涉及也無從涉及的。
3.數(shù)據(jù)安全應該如何建設
數(shù)據(jù)安全建設思想應為:融合業(yè)務、融合邊界。
融合業(yè)務、融合邊界
融合邊界:數(shù)據(jù)安全并不能解決網(wǎng)絡安全所有事情,它只能補齊網(wǎng)絡安全對數(shù)據(jù)層面的缺失,所以數(shù)據(jù)安全必須要融合邊界防護手段,與邊界防護深度結(jié)合起到1+1>2的效果,如:現(xiàn)有企業(yè)部署soc平臺,而該平臺是以網(wǎng)絡、主機層面為主,缺失數(shù)據(jù)層面。該soc平臺可與數(shù)據(jù)層的感知平臺有效結(jié)合,通過統(tǒng)一soc平臺集中展示,實現(xiàn)企業(yè)整體的態(tài)勢感知。
融合業(yè)務:與業(yè)務的融合是數(shù)據(jù)安全的真正價值所在,數(shù)據(jù)安全解決了業(yè)務與網(wǎng)絡安全的目標不對等性,使其安全與業(yè)務目標一致,為兩者融合提供了前提條件。數(shù)據(jù)安全必須以業(yè)務流向為基礎,在此基礎上對企業(yè)業(yè)務進行安全管控,使業(yè)務與安全兩者融合。
建設步驟
數(shù)據(jù)安全的建設大體步驟可分為安全識別、數(shù)據(jù)梳理、數(shù)據(jù)安全建設三個步驟。
建設步驟
安全識別:對現(xiàn)有從管理、技術(shù)、數(shù)據(jù)三個層面進行整體摸查,了解目前現(xiàn)狀、安全隱患,為后續(xù)的數(shù)據(jù)梳理打下堅實基礎。讓建設有依據(jù)。
數(shù)據(jù)梳理:對數(shù)據(jù)進行分類、敏感定級、數(shù)據(jù)使用中的角色及權(quán)限、數(shù)據(jù)使用場景等多個方面進行整體梳理,通過對數(shù)據(jù)梳理,可直觀了解企業(yè)目前存在哪些問題、已有哪些防護手段、后期應從哪幾個方向進行建設。讓建設有方向。
體系建設:體系建設應從管理體系和技術(shù)體系及運維體系三個層面著手,使其可達到管理可落地,技術(shù)可支撐、運維可收斂的效果。讓建設可落地。
讓數(shù)據(jù)發(fā)揮價值的同時,如何保障數(shù)據(jù)的安全應是安全廠商不斷思考的問題,數(shù)據(jù)即生命,早已不是天上云,保護企業(yè)的數(shù)據(jù),等于保護企業(yè)生命,想必企業(yè)會比安全廠商更加有體會。以此,數(shù)據(jù)安全領域?qū)蔀榘踩髽I(yè)下一步的角斗場。