随着信息化的不断发展,外部横向合规要求,垂直行业要求,以及内部内生安全需要,由数据泄露带来的损害企业已越来越难承担,一旦发生数据泄露将会给企业带来经济、声誉、司法、人员变动等多方面影响,目前多数用户通过边界防护手段进行整体防御,但随着数据价值在运营过程中越来越重要,以网络为中心的安全防护短板越发明显,如何对数据进行整体安全防护,数据流动到哪,安全就辐射至哪的场景建设已迫在眉睫。
1.安全的发展
安全的发展主要经过三段即信息安全、网络安全、和数据安全。
安全发展轨迹
最早为信息安全,在信息化发展的初期,基础物理环境不复杂,上层业务系统建设也非常简单,整体信息处于白纸状态,所以安全范围非常大,从管理办法到防护技术都可以在该框架下填充。
随着企业自身业务不断发展,支撑业务的基础环境也越来越复杂(私有云的形成),基于自身网络边界防护需求日益突出,当时主要以防火墙、网闸、入侵检测、waf等防护为主要手段。随着公有云的与私有云的密切结合,混合云的形态已在企业中广泛使用,网络空间安全的需求也随之而来,以安全域划分,结合支持混合形式的边界防护组成的网络安全防护技术也日益兴起,该网络形态是现今大家所聊的网络安全,即网络安全第二种形态,网络空间安全。
安全服务与业务,数据驱动带来新的运营变化,是当前和后期的业务发展趋势,目前业务以数据为中心,而安全则以网络为中心(即处于第二安全发展第二阶段),两者目标不一致性带来的问题已日益严峻,所以以数据为中心的安全建设更接近安全目标(安全的目标是更好服务业务,与业务更加融合)。
2.现今手段对数据防护缺失
目前在以边界防护为主要手段下,如何保障数据的安全方面,存在多点缺失。
安全防护层面的缺失
1.与业务脱钩,安全与业务无法有效融合
业务依托于数据,让数据成为资产,产生价值已是各大企业正在做的事情,如近几年,提出数据治理的概念,数据治理以数据为中心,通过对数据的综合利用,提升企业数据价值收益。数据治理中对数据生命周期管理有相应的要求,而目前边界防护不能满足对数据、对数据的生命周期的管控。随着治理的延伸,现今的防护手段短板也会越发明显。
2.对数据层的安全监测与管控
数据泄露事件不断递增,其根本还是因为边界防护手段是以网络为中心的建设方式和理念,它不能为数据层面提供更多防护需要,如何让数据可视化?如何对数据进行管控?如何对数据进行监测?这是目前边界防护所无法涉及也无从涉及的。
3.数据安全应该如何建设
数据安全建设思想应为:融合业务、融合边界。
融合业务、融合边界
融合边界:数据安全并不能解决网络安全所有事情,它只能补齐网络安全对数据层面的缺失,所以数据安全必须要融合边界防护手段,与边界防护深度结合起到1+1>2的效果,如:现有企业部署soc平台,而该平台是以网络、主机层面为主,缺失数据层面。该soc平台可与数据层的感知平台有效结合,通过统一soc平台集中展示,实现企业整体的态势感知。
融合业务:与业务的融合是数据安全的真正价值所在,数据安全解决了业务与网络安全的目标不对等性,使其安全与业务目标一致,为两者融合提供了前提条件。数据安全必须以业务流向为基础,在此基础上对企业业务进行安全管控,使业务与安全两者融合。
建设步骤
数据安全的建设大体步骤可分为安全识别、数据梳理、数据安全建设三个步骤。
建设步骤
安全识别:对现有从管理、技术、数据三个层面进行整体摸查,了解目前现状、安全隐患,为后续的数据梳理打下坚实基础。让建设有依据。
数据梳理:对数据进行分类、敏感定级、数据使用中的角色及权限、数据使用场景等多个方面进行整体梳理,通过对数据梳理,可直观了解企业目前存在哪些问题、已有哪些防护手段、后期应从哪几个方向进行建设。让建设有方向。
体系建设:体系建设应从管理体系和技术体系及运维体系三个层面着手,使其可达到管理可落地,技术可支撑、运维可收敛的效果。让建设可落地。
让数据发挥价值的同时,如何保障数据的安全应是安全厂商不断思考的问题,数据即生命,早已不是天上云,保护企业的数据,等于保护企业生命,想必企业会比安全厂商更加有体会。以此,数据安全领域将会成为安全企业下一步的角斗场。
