網(wǎng)絡(luò)碎片化、業(yè)務(wù)云化、信息數(shù)據(jù)指數(shù)級增長……這些正處于進行時的時代特點,證明了數(shù)字時代到來的速度比人們想象的更快。數(shù)據(jù)將以往很多非形式化的業(yè)務(wù)內(nèi)容變得更加具體,用一種可描述、可治理、可審查的形式進一步呈現(xiàn),“數(shù)據(jù)資產(chǎn)”也由此而生。一方面,數(shù)據(jù)資產(chǎn)的合理利用可以助力企業(yè)組織實現(xiàn)業(yè)務(wù)變革,創(chuàng)造更大商業(yè)價值;另一方面,數(shù)據(jù)資產(chǎn)的安全防護也是企業(yè)組織不得不面臨的現(xiàn)實問題。在數(shù)字經(jīng)濟時代,企業(yè)組織該如何構(gòu)建行之有效的數(shù)據(jù)安全防御體系?以上述背景為切入點,本期牛人訪談我們邀請到了紅途科技創(chuàng)始人、總經(jīng)理劉新凱,他圍繞著“全鏈路數(shù)據(jù)安全理念”,向我們展示了他對數(shù)字經(jīng)濟時代數(shù)據(jù)安全防御體系的一些看法與觀點。
劉新凱
深圳紅途科技有限公司創(chuàng)始人、總經(jīng)理
近20年安全從業(yè)經(jīng)歷,擁有豐富的信息安全體系規(guī)劃、設(shè)計、建設(shè)、運營及安全產(chǎn)品開發(fā)經(jīng)驗,在行業(yè)率先提出全鏈路數(shù)據(jù)安全理念。現(xiàn)任中國網(wǎng)絡(luò)空間新興技術(shù)安全論壇常務(wù)理事,中國信息安全標準委員會專家,曾擔任艾默生網(wǎng)絡(luò)能源亞太區(qū)信息安全總監(jiān),順豐集團信息安全與內(nèi)控部負責(zé)人,順豐集團紅岸解決方案部負責(zé)人。
做好數(shù)據(jù)安全的前提:了解數(shù)據(jù)資產(chǎn)
要想解決數(shù)據(jù)安全問題,實現(xiàn)切實有效的管控目標,企業(yè)首先要清楚自身的數(shù)據(jù)現(xiàn)狀,找到當前可能存在哪些問題。
首先,我們看到在PC時代,企業(yè)圍繞終端開展數(shù)據(jù)安全管控工作。在互聯(lián)網(wǎng)時代,企業(yè)圍繞網(wǎng)絡(luò)邊界展開數(shù)據(jù)安全管控工作。隨著數(shù)字經(jīng)濟的到來,數(shù)據(jù)作為生產(chǎn)要素其邊界越來越模糊,在數(shù)據(jù)開發(fā)、共享需求下,很多安全產(chǎn)品的功能或企業(yè)自身的管理思路依舊圍繞邊界開展,等同于冷兵器對抗黑火藥,注定是一場不對等的戰(zhàn)爭。
其次,正所謂“知人者智,自知者明”,很多企業(yè)安全部門對自身的運營狀態(tài)是不了解的,企業(yè)自身的基礎(chǔ)架構(gòu)如何、有哪些應(yīng)用、有什么樣的數(shù)據(jù)、哪些人在用,自身還處于“盲人摸象”的迷惑之中,更遑論治理。
最終,企業(yè)的數(shù)據(jù)構(gòu)成是非常復(fù)雜的,既包含隱私數(shù)據(jù),也包含多種類型的經(jīng)營數(shù)據(jù)。這些數(shù)據(jù)資產(chǎn)的梳理,離不開數(shù)據(jù)安全治理工作。劉新凱表示:“數(shù)據(jù)安全治理是什么?就是真正的了解企業(yè)的運營狀態(tài),這并非只是為了應(yīng)對某個可能出現(xiàn)的攻擊,而是基于治理的能力和結(jié)果,確保數(shù)據(jù)是否合規(guī)、是否有風(fēng)險,基于風(fēng)險應(yīng)該怎樣進行防護,出現(xiàn)問題后怎樣追溯和審計。數(shù)據(jù)安全治理是構(gòu)建數(shù)據(jù)安全防御體系的重要基礎(chǔ)工作”。
以治理為基礎(chǔ):構(gòu)建全鏈路數(shù)據(jù)安全防御體系
上述我們提到以往的數(shù)據(jù)安全產(chǎn)品主要是圍繞邊界或某個切面針對外部攻擊和威脅進行防護,現(xiàn)如今要以數(shù)據(jù)安全治理為基礎(chǔ)構(gòu)建數(shù)據(jù)安全防御體系,摸清數(shù)據(jù)的分布、使用以及流轉(zhuǎn)情況就是尤為重要的一個環(huán)節(jié)?;诖耍覀冃枰扇?ldquo;全鏈路數(shù)據(jù)安全”理念。
劉新凱表示:“數(shù)據(jù)安全治理只是其中的一部分,最終構(gòu)建的是全鏈路數(shù)據(jù)安全防御體系。全鏈路數(shù)據(jù)安全是指以數(shù)據(jù)為起點,圍繞數(shù)據(jù)屬性、分布、流轉(zhuǎn)和使用情況,構(gòu)建立體式組織安全畫像,實現(xiàn)完整的數(shù)據(jù)安全治理、運營(合規(guī)、風(fēng)險、審計)、防護和響應(yīng)體系。這種思路與傳統(tǒng)相比區(qū)別明顯,比如過去我們梳理數(shù)據(jù)資產(chǎn)時,只看數(shù)據(jù),但是“全鏈路”包含了數(shù)據(jù)、應(yīng)用、鏈路和數(shù)據(jù)庫等各個方面,覆蓋面更廣、顆粒度更細、關(guān)聯(lián)性更強,更容易落地和運營,效果也會更好”。
以全鏈路為抓手:實現(xiàn)人、系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)的多維關(guān)聯(lián)
全鏈路數(shù)據(jù)安全的核心目標,是以數(shù)據(jù)安全治理(Governance)為基礎(chǔ),從治理開始,然后延伸形成集數(shù)據(jù)安全運營(Operation)、數(shù)據(jù)安全防護(Protection)和安全風(fēng)險響應(yīng)(Response)為一體的綜合解決方案。
劉新凱表示:“在數(shù)據(jù)安全治理的過程中,我們把數(shù)據(jù)資產(chǎn)治理分為三類,其一是對數(shù)據(jù)資產(chǎn)本身的治理,其二是對鏈路資產(chǎn)的治理(舉例:某賬號登錄系統(tǒng)后,在不同應(yīng)用和服務(wù)之間進行相互調(diào)用,這個過程的整個訪問鏈路),其三是數(shù)據(jù)資產(chǎn)最終落地點的治理(即數(shù)據(jù)資產(chǎn)實際應(yīng)用于多少服務(wù)、組件;這些服務(wù)有多少API,API有哪些參數(shù);這些API是否傳遞了敏感數(shù)據(jù)……)。”
數(shù)據(jù)的標識和分級分類是數(shù)據(jù)安全治理最難的一部分,尤其針對銷售、庫存、財務(wù)和人資等經(jīng)營數(shù)據(jù),在標識和分類分級時是最難做的,因為這些數(shù)據(jù)不具備任何特征,無法通過現(xiàn)有工具進行自動化處理。對這些無特征數(shù)據(jù)進行標識,需要操作人員具有較高的專業(yè)水平,另外準確性也存在問題。因此不僅需要結(jié)合業(yè)務(wù)實現(xiàn)對經(jīng)營數(shù)據(jù)的精準標識和分類分級,還要根據(jù)數(shù)據(jù)的流轉(zhuǎn)、調(diào)用過程,將人、系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)進行聯(lián)系,最終形成包括用戶、應(yīng)用、數(shù)據(jù)庫和訪問數(shù)據(jù)在內(nèi)的四層關(guān)聯(lián)關(guān)系,達成實時動態(tài)監(jiān)控需求。
以全鏈路為依托:滿足企業(yè)數(shù)據(jù)安全合規(guī)要求
對于大型企業(yè)來說,其數(shù)字化轉(zhuǎn)型速度很快,存在大量、多類型的數(shù)據(jù)資產(chǎn),對于中小型企業(yè)來說,可能自身存在的數(shù)據(jù)量并不是很大,那是否可以認為,這樣的企業(yè)依舊按照過往的方式,基于人工經(jīng)驗和邊界防護產(chǎn)品就可以高枕無憂了呢?
并非如此。劉新凱表示:“數(shù)據(jù)安全建設(shè)的兩大目標,一個是安全層面,另一個則是合規(guī)層面,剛才我們談了安全層面,現(xiàn)在我們再談?wù)労弦?guī)層面。”
“在法律層面上來說,無論是國內(nèi)《個人信息保護法》,還是歐盟的GDPR其實都在強調(diào)個人數(shù)據(jù)的主權(quán),也就是要滿足任何用戶對數(shù)據(jù)在企業(yè)內(nèi)使用、共享、攜帶、刪除等方面的要求。簡單來說,即用戶的數(shù)據(jù)一旦進入企業(yè)的系統(tǒng),它是如何被使用的、被儲存的、被用于何處,用戶都要有權(quán)查詢。同時,當用戶不再想使用這套系統(tǒng)時,企業(yè)要有能力將該用戶的相關(guān)隱私數(shù)據(jù)進行徹底刪除。但事實上,很多企業(yè)是無法達到這一步的。”
“很多人可能認為這只是保障了用戶的隱私安全,其實不然,實現(xiàn)上述對數(shù)據(jù)的清晰管控也是對企業(yè)自身的一種保護。舉例來說,某用戶在服務(wù)商系統(tǒng)上注冊了一個賬戶,注冊完成五分鐘后就收到了騷擾電話,于是這個用戶就會懷疑是服務(wù)商泄漏了自己的電話號碼,此時,如果企業(yè)沒有形成全鏈路的防護能力,面對繁多的業(yè)務(wù)系統(tǒng),復(fù)雜的使用和流轉(zhuǎn)關(guān)系,其實是很難做到自證清白的。”
“除此之外,在另一個角度來說,如果真的是企業(yè)自身的漏洞導(dǎo)致數(shù)據(jù)泄漏,那么通過全鏈路的四層關(guān)聯(lián)審計能力,也能迅速、清晰的排查到問題點,最大程度減少損失。”
因此,在法律法規(guī)層面來說,要滿足合規(guī)要求,全鏈路數(shù)據(jù)安全防御體系也是大有裨益的。它解決了以往靠人工和經(jīng)驗帶來的成本高、效率低、容易疏漏等問題,通過一種更簡單、更標準化的自動化流程來實現(xiàn),在促進業(yè)務(wù)安全發(fā)展的同時,也滿足了法律法規(guī)上合規(guī)的需求。
關(guān)于數(shù)據(jù)安全行業(yè)的發(fā)展趨勢
劉新凱表示:“從全球范圍來看,數(shù)據(jù)安全的整體發(fā)展趨勢還是統(tǒng)一的,國外的一些具有代表性的安全廠商如One trust到Big ID以及一些新涌現(xiàn)的企業(yè),其對數(shù)據(jù)安全的思路都在由流程性合規(guī)朝著數(shù)據(jù)關(guān)聯(lián)性發(fā)展演變,即從只是單純的掃庫到將數(shù)據(jù)、系統(tǒng)以及業(yè)務(wù)進行關(guān)聯(lián),這一流程化到技術(shù)化的演變過程也恰好與我所提及的‘全鏈路’數(shù)據(jù)安全理念不謀而合。”
數(shù)據(jù)安全早就不是數(shù)據(jù)“一個人”的事兒了,企業(yè)或組織在對數(shù)據(jù)安全這件事進行落地時,只要抽絲剝繭的將數(shù)據(jù)的發(fā)現(xiàn)、流轉(zhuǎn)、使用、審計等一系列流程清晰的描繪出來,然后分析每個節(jié)點中的難點,逐個擊破,分而治之。最終,再將人、系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)串聯(lián)貫通成一個整體,那么數(shù)據(jù)安全建設(shè)的難題也就不攻自破了,這也正是“全鏈路”數(shù)據(jù)安全理念的主旨。
因此,數(shù)據(jù)安全建設(shè),我們應(yīng)該從問題中來,到目的中去。畢竟,有問題自然就會有答案。
安全牛評
數(shù)據(jù)安全的本質(zhì)是保證數(shù)據(jù)的可控,知道數(shù)據(jù)的在哪里,知道數(shù)據(jù)如何流轉(zhuǎn),保證數(shù)據(jù)可控。“全鏈路數(shù)據(jù)安全”正是基于這種需求而生,突破對于邊界化的數(shù)據(jù)防護理念,注重對流轉(zhuǎn)起來的數(shù)據(jù)的防護。相較于傳統(tǒng)的防護理念,這種更加透明,直觀的看到數(shù)據(jù)的整體的訪問、使用狀態(tài),特別適用于對非結(jié)構(gòu)化數(shù)據(jù)的防護。紅途創(chuàng)始人劉新凱作為甲方出身,更能發(fā)現(xiàn)甲方的需求,也讓紅途走出了自己的特色。