信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

在數(shù)字經(jīng)濟(jì)發(fā)展的大背景下，數(shù)據(jù)已成為企業(yè)的重要資產(chǎn)。一旦發(fā)生泄露，不僅會(huì)影響企業(yè)的正常經(jīng)營，導(dǎo)致經(jīng)濟(jì)損失，還可能損害企業(yè)聲譽(yù)和用戶信任。然而，網(wǎng)絡(luò)攻擊、內(nèi)部威脅和數(shù)據(jù)泄露事件頻發(fā)，敏感數(shù)據(jù)面臨著前所未有的安全挑戰(zhàn)。如何實(shí)現(xiàn)敏感數(shù)據(jù)的全生命周期監(jiān)控和管理，構(gòu)建全面有效的安全防護(hù)體系，成為擺在眾多機(jī)構(gòu)和企業(yè)面前的一道難題。

本期《牛人訪談》邀請到北京明朝萬達(dá)科技股份有限公司助理總裁兼研發(fā)中心總經(jīng)理安鵬，圍繞我國敏感數(shù)據(jù)管理現(xiàn)狀、面臨的挑戰(zhàn)，企業(yè)進(jìn)行敏感數(shù)據(jù)應(yīng)關(guān)注的重點(diǎn)，以及敏感數(shù)據(jù)安全管理未來的發(fā)展趨勢等進(jìn)行了深入的討論，期望給企業(yè)在進(jìn)行敏感數(shù)據(jù)全生命周期管理提供參考和啟示。

安鵬北京明朝萬達(dá)科技股份有限公司助理總裁兼研發(fā)中心總經(jīng)理

安鵬主要負(fù)責(zé)明朝萬達(dá)數(shù)據(jù)安全相關(guān)產(chǎn)品的研發(fā)管理工作。

他具備10余年信息安全行業(yè)研發(fā)經(jīng)驗(yàn)，對于云安全、大數(shù)據(jù)安全及公安安全有較多的經(jīng)驗(yàn)，具備豐富的團(tuán)隊(duì)管理經(jīng)驗(yàn)。他先后承擔(dān)并完成科研項(xiàng)目、成果轉(zhuǎn)化項(xiàng)目及企業(yè)級(jí)項(xiàng)目50余項(xiàng)，包括科技部重點(diǎn)研發(fā)計(jì)劃、其擁有10項(xiàng)安全相關(guān)的發(fā)明授權(quán)專利。

01

安全牛

隨著網(wǎng)絡(luò)攻擊、內(nèi)部威脅和數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)，特別是敏感數(shù)據(jù)，面臨著前所未有的安全挑戰(zhàn)。您認(rèn)為當(dāng)前我國敏感數(shù)據(jù)管理處于什么水平？主要面臨怎樣的挑戰(zhàn)？

安鵬

在當(dāng)前數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已成為組織的核心資產(chǎn)。我國數(shù)據(jù)管理，包括敏感數(shù)據(jù)管理正處于不斷發(fā)展和完善的過程中。國家已經(jīng)出臺(tái)了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等一系列數(shù)據(jù)安全和隱私保護(hù)的法律法規(guī)。同時(shí)，相關(guān)部門也陸續(xù)頒布了一系列標(biāo)準(zhǔn)和規(guī)范，指導(dǎo)企業(yè)進(jìn)行敏感數(shù)據(jù)管理。特別是工信部在制定工業(yè)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)，提供了相關(guān)的指導(dǎo)和方案。

在技術(shù)方面，數(shù)據(jù)安全技術(shù)近年來得到了一定的發(fā)展。AI技術(shù)在數(shù)據(jù)識(shí)別能力提升方面效果顯著，同時(shí)在敏感數(shù)據(jù)保護(hù)方面發(fā)揮著重要作用。AI技術(shù)可以幫助分析和監(jiān)測人和系統(tǒng)，提升敏感數(shù)據(jù)保護(hù)的技術(shù)能力。

從用戶側(cè)來看，用戶不但具備了敏感數(shù)據(jù)保護(hù)的意識(shí)，而且有些企業(yè)已經(jīng)在行動(dòng)。很多企業(yè)和機(jī)構(gòu)都積累了豐富的數(shù)據(jù)，希望能得到很好的保護(hù)和利用。尤其是大型互聯(lián)網(wǎng)公司，由于擁有大量數(shù)據(jù)并在數(shù)據(jù)使用過程中獲得了優(yōu)勢，他們從企業(yè)自律的角度出發(fā)，具有很強(qiáng)的內(nèi)部數(shù)據(jù)管理能力。像阿里、騰訊和美團(tuán)等，內(nèi)部都有數(shù)據(jù)合規(guī)和數(shù)據(jù)安全治理的相關(guān)部門。從我們在很多項(xiàng)目中也可以看到，很多部委都在規(guī)劃敏感數(shù)據(jù)全生命周期管理的建設(shè)。

不過，相比大型企業(yè)，中小企業(yè)在數(shù)據(jù)安全方面的投入和意識(shí)可能不足，他們沒有太多的人力、物力投入到數(shù)據(jù)安全上。中小企業(yè)的敏感數(shù)據(jù)數(shù)據(jù)安全管理主要是為了滿足合規(guī)性要求，能否真正防得住數(shù)據(jù)泄露并不好說。

同時(shí)我們期望，監(jiān)管部門一方面能夠進(jìn)一步加強(qiáng)監(jiān)管，對那些數(shù)據(jù)管理不善或頻繁出現(xiàn)數(shù)據(jù)泄露問題的企業(yè)采取嚴(yán)格的處罰措施；另一方面，對于那些做得好的企業(yè)，也應(yīng)該給予一定的鼓勵(lì)和宣傳。

02

安全牛

您認(rèn)為當(dāng)前企業(yè)在管理敏感數(shù)據(jù)主要面臨哪些挑戰(zhàn)？

安鵬

數(shù)據(jù)本身的特點(diǎn)使得數(shù)據(jù)管理的難度很大。數(shù)據(jù)具有存量大、分布廣、流動(dòng)強(qiáng)等特點(diǎn)。數(shù)據(jù)在流動(dòng)過程中，每個(gè)環(huán)節(jié)都可能留存數(shù)據(jù)，造成泄露風(fēng)險(xiǎn)。特別是數(shù)據(jù)的跨境流動(dòng)，還要考慮不同國家地區(qū)對數(shù)據(jù)安全法律法規(guī)的差異性。

當(dāng)前敏感數(shù)據(jù)的管理主要面臨的挑戰(zhàn)有：

第一，敏感數(shù)據(jù)管理面臨來自多方面的安全威脅：一是APT攻擊，國際形勢發(fā)展，特別是國家級(jí)的對抗，使得政府部門和國有企業(yè)面臨被滲透和攻擊的風(fēng)險(xiǎn)，而且針對的都是高價(jià)值信息；二是內(nèi)部泄密，混進(jìn)企業(yè)的間諜可能泄露敏感數(shù)據(jù)；三是誤操作，工程師或外包軟件開發(fā)商在生產(chǎn)過程中沒有遵循合規(guī)要求，引發(fā)數(shù)據(jù)泄露。

第二，當(dāng)前的安全解決方案普遍會(huì)對業(yè)務(wù)造成影響。一方面，加密技術(shù)雖能提供基礎(chǔ)防護(hù)，但會(huì)影響業(yè)務(wù)效率。比如，數(shù)據(jù)庫加密后，密文檢索的效率可能降低。另一方面，在不影響業(yè)務(wù)的前提下通過動(dòng)態(tài)代理和面向切面編程實(shí)現(xiàn)訪問權(quán)限管控，涉及到并發(fā)性能和兼容性問題。

第三，在數(shù)據(jù)資產(chǎn)梳理過程中，數(shù)據(jù)識(shí)別準(zhǔn)確率和效率均不高。數(shù)據(jù)資產(chǎn)的梳理是敏感信息安全管理的基礎(chǔ)。有統(tǒng)計(jì)顯示，數(shù)據(jù)識(shí)別準(zhǔn)確率只有70~80%，剩下的就需要人工校準(zhǔn)。我們用AI技術(shù)將準(zhǔn)確率提升到了90%，但還面臨樣本依賴的問題。

第四，新技術(shù)帶來新的安全挑戰(zhàn)。比如說當(dāng)前炙手可熱的AI技術(shù)。AI應(yīng)用的基礎(chǔ)是數(shù)據(jù)的積累和流轉(zhuǎn)，這其中可能會(huì)把敏感內(nèi)容納入數(shù)據(jù)中。而黑客也在利用AI技術(shù)進(jìn)行數(shù)據(jù)資產(chǎn)探測、漏洞掃描和攻擊工具制作，提升了攻擊者的能力，對信息系統(tǒng)和數(shù)據(jù)竊取造成威脅。此外，企業(yè)數(shù)據(jù)中臺(tái)等新型架構(gòu)的應(yīng)用也在帶來新的安全挑戰(zhàn)。

第五，數(shù)據(jù)安全人才的缺乏也是一大挑戰(zhàn)。數(shù)據(jù)安全不僅僅安全問題，還與業(yè)務(wù)密切相關(guān)，需要既懂業(yè)務(wù)又懂?dāng)?shù)據(jù)安全的復(fù)合型人才，才能在不影響業(yè)務(wù)的前提下做好數(shù)據(jù)安全管理。例如，智能網(wǎng)聯(lián)汽車領(lǐng)域就存在數(shù)據(jù)傳輸?shù)陌踩?、模型運(yùn)行的安全等問題，這需要對AI和智能網(wǎng)聯(lián)汽車業(yè)務(wù)有深入了解的網(wǎng)絡(luò)安全人才。

03

安全牛

那么，企業(yè)在制定敏感數(shù)據(jù)安全策略時(shí)，應(yīng)重點(diǎn)關(guān)注哪些環(huán)節(jié)？如何從數(shù)據(jù)全生命周期的視角，構(gòu)建全面、有效的安全防護(hù)體系?

安鵬

敏感信息的全生命周期監(jiān)控管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到數(shù)據(jù)的采集、存儲(chǔ)、傳輸、使用、交換和銷毀等各個(gè)環(huán)節(jié)，需要企業(yè)從制度、流程、技術(shù)、人員等多方面入手，持續(xù)建設(shè)和完善。

企業(yè)在制定敏感數(shù)據(jù)安全策略時(shí)，首先需要領(lǐng)導(dǎo)層足夠重視。否則，業(yè)務(wù)部門可能出于自身利益的考量就可能會(huì)抗拒。做好敏感數(shù)據(jù)管理的關(guān)鍵，是管理層要明確管理要求和制度。

除了領(lǐng)導(dǎo)層重視，我們也積累了其他一些敏感數(shù)據(jù)管理的方法和經(jīng)驗(yàn)：

一是摸清數(shù)據(jù)家底，對敏感數(shù)據(jù)的全面梳理和分類分級(jí)。明確哪些數(shù)據(jù)需要保護(hù)、哪些不需要，按照級(jí)別分清，這樣能更有針對性地進(jìn)行防護(hù)和資源投入，提高效率。

二是對環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)不是孤立存在的，還在辦公、生產(chǎn)網(wǎng)、與外部交互的互聯(lián)網(wǎng)等環(huán)境中使用。要梳理不同環(huán)境中的安全漏洞，因?yàn)椴煌?jí)別的網(wǎng)絡(luò)安全要求不同。

三是采用成熟的數(shù)據(jù)安全產(chǎn)品和工具，如數(shù)據(jù)安全管理平臺(tái)。利用平臺(tái)能看到數(shù)據(jù)資產(chǎn)靜態(tài)位置和動(dòng)態(tài)流轉(zhuǎn)情況；能對數(shù)據(jù)訪問接口、應(yīng)用進(jìn)行權(quán)限管控；在出現(xiàn)數(shù)據(jù)泄露事件的時(shí)候，可以根據(jù)應(yīng)急響應(yīng)預(yù)案，進(jìn)行數(shù)據(jù)溯源，找到泄露源頭，同時(shí)通過流程化的工單系統(tǒng)支撐，輔助安全管理員進(jìn)行相應(yīng)防護(hù)。

04

安全牛

您認(rèn)為好的數(shù)據(jù)安全管理平臺(tái)應(yīng)該是怎樣的？

安鵬

為了實(shí)現(xiàn)全生命周期的管理目標(biāo)，企業(yè)不能依賴單一的技術(shù)和產(chǎn)品，而是要采用具備多維數(shù)據(jù)安全能力的數(shù)據(jù)安全管理平臺(tái)。我們在服務(wù)客戶的實(shí)踐中發(fā)現(xiàn)，平臺(tái)應(yīng)該具備五大能力：

1.敏感數(shù)據(jù)發(fā)現(xiàn)能力。在數(shù)據(jù)采集階段，必須對數(shù)據(jù)進(jìn)行分類分析和定級(jí)，以便在后續(xù)的傳輸、存儲(chǔ)和使用過程中實(shí)施相應(yīng)的管控措施，如加密、訪問控制和審批阻斷等。

2.解決方案適配能力。例如，在金融行業(yè)，解決方案最初主要針對辦公網(wǎng)環(huán)境下的敏感數(shù)據(jù)管控，以數(shù)據(jù)防泄漏為主。但隨著對數(shù)據(jù)生命周期前期產(chǎn)生的數(shù)據(jù)的關(guān)注，解決方案也在擴(kuò)展，以覆蓋從生產(chǎn)網(wǎng)到辦公網(wǎng)的數(shù)據(jù)流轉(zhuǎn)。

3.數(shù)據(jù)跨網(wǎng)傳輸?shù)墓芸啬芰?。在?shù)據(jù)從生產(chǎn)網(wǎng)到辦公網(wǎng)流轉(zhuǎn)過程中，需要有能力進(jìn)行管控。這通常涉及到在生產(chǎn)網(wǎng)中設(shè)置安全云盤，以確保數(shù)據(jù)在傳輸過程中的安全。

4.跨系統(tǒng)的集成能力。用戶會(huì)更傾向于在一個(gè)平臺(tái)上管理所有的數(shù)據(jù)安全產(chǎn)品，而不是維護(hù)多個(gè)分散的工具。因此，需要集成度更高的平臺(tái)。

5.AI能力的引入。當(dāng)前AI技術(shù)在數(shù)據(jù)安全領(lǐng)域的應(yīng)用和賦能是一大熱點(diǎn)，在效率和風(fēng)險(xiǎn)識(shí)別方面的潛力巨大。

明朝萬達(dá)Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)就是這樣一個(gè)平臺(tái)。平臺(tái)為敏感數(shù)據(jù)提供全生命周期的安全管理和審計(jì)，安全防護(hù)貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中，實(shí)現(xiàn)事前預(yù)測防護(hù)、事中安全管控、事后行為審計(jì)的目標(biāo)。

值得一提的是，不影響業(yè)務(wù)的正常運(yùn)行是敏感數(shù)據(jù)安全管理的一個(gè)關(guān)鍵。所以，好的敏感數(shù)據(jù)安全管理平臺(tái)必須與業(yè)務(wù)緊密結(jié)合，平衡數(shù)據(jù)安全與業(yè)務(wù)的關(guān)系。Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)作為一款切入到用戶日常辦公使用的數(shù)據(jù)安全產(chǎn)品，在確保安全合規(guī)的同時(shí)，好用易用。

05

安全牛

從明朝萬達(dá)服務(wù)客戶的實(shí)踐來看，做好敏感數(shù)據(jù)的全生命周期監(jiān)控和管理關(guān)鍵在哪些方面？請結(jié)合具體案例說明。

安鵬

隨著數(shù)字化轉(zhuǎn)型的深入和數(shù)據(jù)安全意識(shí)的提升，越來越多組織開始重視敏感信息的全生命周期監(jiān)控管理。一些大型企業(yè)和政府機(jī)構(gòu)已經(jīng)建立了專門的數(shù)據(jù)安全團(tuán)隊(duì)和管理體系，對敏感數(shù)據(jù)進(jìn)行全方位防護(hù)。

以某商業(yè)銀行為例。近年來，該銀行在數(shù)據(jù)安全領(lǐng)域取得了顯著成果，獲得了金融行業(yè)數(shù)據(jù)安全領(lǐng)域權(quán)威獎(jiǎng)項(xiàng)，明朝萬達(dá)為其提供了系統(tǒng)支撐。

這家商業(yè)銀行的數(shù)據(jù)安全管理平臺(tái)在僅短短三個(gè)月發(fā)現(xiàn)了數(shù)百起數(shù)據(jù)泄露事件。接下來，他們又提出通過用戶行為發(fā)現(xiàn)隱蔽數(shù)據(jù)泄露事件的需求。例如，打印文件未按審批要求登記。為了滿足這一需求，我們與這家商業(yè)銀行緊密合作，共同將相關(guān)功能優(yōu)化并落實(shí)到位。

這一方面說明，在敏感數(shù)據(jù)全生命周期管控過程中，不能單靠一個(gè)產(chǎn)品或設(shè)備解決所有問題，需要統(tǒng)一管理平臺(tái)進(jìn)行全面檢測和管控；另一方面，用戶需要選擇合適的平臺(tái)供應(yīng)商，與供應(yīng)商密切合作，結(jié)合自身的業(yè)務(wù)特點(diǎn)和需求，不斷深化解決方案和應(yīng)用。

06

安全牛

您認(rèn)為接下來敏感數(shù)據(jù)的全生命周期監(jiān)控和管理發(fā)展還有哪些關(guān)鍵趨勢？用戶、市場將發(fā)生怎么的變化？

安鵬

我認(rèn)為接下來應(yīng)該關(guān)注以下三個(gè)趨勢：

一是信創(chuàng)趨勢。隨著信創(chuàng)的發(fā)展，很多用戶的業(yè)務(wù)系統(tǒng)正在從Windows平臺(tái)轉(zhuǎn)向基于Linux系統(tǒng)架構(gòu)的信創(chuàng)平臺(tái)，接口和控制模塊發(fā)生巨大變化。這就要求相關(guān)數(shù)據(jù)安全廠商對信創(chuàng)系統(tǒng)和設(shè)備有非常好的了解和產(chǎn)品適配。

二是關(guān)注持續(xù)運(yùn)營。敏感數(shù)據(jù)的全生命周期管理是一個(gè)持續(xù)不斷的過程，需要將其納入運(yùn)營范疇進(jìn)行常態(tài)化管理。企業(yè)將持續(xù)加大在數(shù)據(jù)分類分級(jí)、脫敏、DLP等領(lǐng)域的投入，將數(shù)據(jù)安全融入到業(yè)務(wù)流程各個(gè)環(huán)節(jié)。供應(yīng)商則要從業(yè)務(wù)視角出發(fā)，幫助用戶真正將數(shù)據(jù)安全管理系統(tǒng)用起來。

三是關(guān)注數(shù)據(jù)安全咨詢。數(shù)據(jù)安全咨詢不僅要進(jìn)行數(shù)據(jù)資產(chǎn)梳理、分類分級(jí)和數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，還要幫助用戶提煉、挖掘數(shù)據(jù)安全需求。在后續(xù)的運(yùn)營過程中用戶會(huì)產(chǎn)生新的需求，再反饋給廠商進(jìn)行完善，如此形成一個(gè)動(dòng)態(tài)閉環(huán)。

四是關(guān)注數(shù)據(jù)合規(guī)。隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)的出臺(tái)和落地，敏感數(shù)據(jù)保護(hù)將成為企業(yè)合規(guī)的重要內(nèi)容，廠商的解決方案要幫助用戶滿足這些合規(guī)需求。事實(shí)上，明朝萬達(dá)的數(shù)據(jù)安全管理平臺(tái)已經(jīng)設(shè)有專門的合規(guī)板塊，可以輸出合規(guī)性檢測結(jié)果，為合規(guī)人員提供素材。

07

安全牛

面對這些趨勢，明朝萬達(dá)將如何應(yīng)對？

安鵬

針對企事業(yè)單位數(shù)據(jù)所面臨的潛在威脅，明朝萬達(dá)按照“防內(nèi)為主、內(nèi)外兼防”的思路，于2012年推出Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)，并根據(jù)技術(shù)和需求的變化持續(xù)優(yōu)化。

針對這些趨勢和自身的業(yè)務(wù)優(yōu)勢，明朝萬達(dá)將重點(diǎn)做好以下幾點(diǎn)：

一、提升敏感數(shù)據(jù)的發(fā)現(xiàn)能力：支持更多數(shù)據(jù)格式和形態(tài)，對多媒體數(shù)據(jù)進(jìn)行內(nèi)容檢測；提升敏感數(shù)據(jù)掃描的性能；不斷優(yōu)化數(shù)據(jù)解析、內(nèi)容提取和分類分級(jí)能力。

二、強(qiáng)化加密技術(shù)與業(yè)務(wù)的結(jié)合：提供數(shù)據(jù)安全SDK，嵌入用戶業(yè)務(wù)系統(tǒng)；增加數(shù)據(jù)脫敏能力，推出針對非結(jié)構(gòu)化數(shù)據(jù)脫敏的產(chǎn)品。

三、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測能力：積累異常行為識(shí)別的業(yè)務(wù)場景，形成辦公環(huán)境和生產(chǎn)環(huán)境下的敏感信息管控異常監(jiān)測模型，實(shí)現(xiàn)場景化落地；通過AI模型對生產(chǎn)環(huán)境中的數(shù)據(jù)異常行為進(jìn)行監(jiān)測。

四、進(jìn)一步進(jìn)行客戶拓展：重視在軍工和保密單位領(lǐng)域的客戶拓展。對于這些客戶數(shù)據(jù)安全管控是強(qiáng)需求，特別是對敏感數(shù)據(jù)流轉(zhuǎn)，需要應(yīng)用新技術(shù)和產(chǎn)品進(jìn)行有效的保障需求，如數(shù)據(jù)交換、溯源和權(quán)限管控等產(chǎn)品。

編者話：

面對日益復(fù)雜的網(wǎng)絡(luò)安全形勢和不斷涌現(xiàn)的新興技術(shù)，敏感數(shù)據(jù)的全生命周期監(jiān)控和管理任重而道遠(yuǎn)。相信在各方的共同努力下，我國敏感數(shù)據(jù)安全防護(hù)體系建設(shè)一定會(huì)不斷邁上新臺(tái)階，為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展保駕護(hù)航。