网络碎片化、业务云化、信息数据指数级增长……这些正处于进行时的时代特点,证明了数字时代到来的速度比人们想象的更快。数据将以往很多非形式化的业务内容变得更加具体,用一种可描述、可治理、可审查的形式进一步呈现,“数据资产”也由此而生。一方面,数据资产的合理利用可以助力企业组织实现业务变革,创造更大商业价值;另一方面,数据资产的安全防护也是企业组织不得不面临的现实问题。在数字经济时代,企业组织该如何构建行之有效的数据安全防御体系?以上述背景为切入点,本期牛人访谈我们邀请到了红途科技创始人、总经理刘新凯,他围绕着“全链路数据安全理念”,向我们展示了他对数字经济时代数据安全防御体系的一些看法与观点。
刘新凯
深圳红途科技有限公司创始人、总经理
近20年安全从业经历,拥有丰富的信息安全体系规划、设计、建设、运营及安全产品开发经验,在行业率先提出全链路数据安全理念。现任中国网络空间新兴技术安全论坛常务理事,中国信息安全标准委员会专家,曾担任艾默生网络能源亚太区信息安全总监,顺丰集团信息安全与内控部负责人,顺丰集团红岸解决方案部负责人。
做好数据安全的前提:了解数据资产
要想解决数据安全问题,实现切实有效的管控目标,企业首先要清楚自身的数据现状,找到当前可能存在哪些问题。
首先,我们看到在PC时代,企业围绕终端开展数据安全管控工作。在互联网时代,企业围绕网络边界展开数据安全管控工作。随着数字经济的到来,数据作为生产要素其边界越来越模糊,在数据开发、共享需求下,很多安全产品的功能或企业自身的管理思路依旧围绕边界开展,等同于冷兵器对抗黑火药,注定是一场不对等的战争。
其次,正所谓“知人者智,自知者明”,很多企业安全部门对自身的运营状态是不了解的,企业自身的基础架构如何、有哪些应用、有什么样的数据、哪些人在用,自身还处于“盲人摸象”的迷惑之中,更遑论治理。
最终,企业的数据构成是非常复杂的,既包含隐私数据,也包含多种类型的经营数据。这些数据资产的梳理,离不开数据安全治理工作。刘新凯表示:“数据安全治理是什么?就是真正的了解企业的运营状态,这并非只是为了应对某个可能出现的攻击,而是基于治理的能力和结果,确保数据是否合规、是否有风险,基于风险应该怎样进行防护,出现问题后怎样追溯和审计。数据安全治理是构建数据安全防御体系的重要基础工作”。
以治理为基础:构建全链路数据安全防御体系
上述我们提到以往的数据安全产品主要是围绕边界或某个切面针对外部攻击和威胁进行防护,现如今要以数据安全治理为基础构建数据安全防御体系,摸清数据的分布、使用以及流转情况就是尤为重要的一个环节。基于此,我们需要采取“全链路数据安全”理念。
刘新凯表示:“数据安全治理只是其中的一部分,最终构建的是全链路数据安全防御体系。全链路数据安全是指以数据为起点,围绕数据属性、分布、流转和使用情况,构建立体式组织安全画像,实现完整的数据安全治理、运营(合规、风险、审计)、防护和响应体系。这种思路与传统相比区别明显,比如过去我们梳理数据资产时,只看数据,但是“全链路”包含了数据、应用、链路和数据库等各个方面,覆盖面更广、颗粒度更细、关联性更强,更容易落地和运营,效果也会更好”。
以全链路为抓手:实现人、系统、数据和业务的多维关联
全链路数据安全的核心目标,是以数据安全治理(Governance)为基础,从治理开始,然后延伸形成集数据安全运营(Operation)、数据安全防护(Protection)和安全风险响应(Response)为一体的综合解决方案。
刘新凯表示:“在数据安全治理的过程中,我们把数据资产治理分为三类,其一是对数据资产本身的治理,其二是对链路资产的治理(举例:某账号登录系统后,在不同应用和服务之间进行相互调用,这个过程的整个访问链路),其三是数据资产最终落地点的治理(即数据资产实际应用于多少服务、组件;这些服务有多少API,API有哪些参数;这些API是否传递了敏感数据……)。”
数据的标识和分级分类是数据安全治理最难的一部分,尤其针对销售、库存、财务和人资等经营数据,在标识和分类分级时是最难做的,因为这些数据不具备任何特征,无法通过现有工具进行自动化处理。对这些无特征数据进行标识,需要操作人员具有较高的专业水平,另外准确性也存在问题。因此不仅需要结合业务实现对经营数据的精准标识和分类分级,还要根据数据的流转、调用过程,将人、系统、数据和业务进行联系,最终形成包括用户、应用、数据库和访问数据在内的四层关联关系,达成实时动态监控需求。
以全链路为依托:满足企业数据安全合规要求
对于大型企业来说,其数字化转型速度很快,存在大量、多类型的数据资产,对于中小型企业来说,可能自身存在的数据量并不是很大,那是否可以认为,这样的企业依旧按照过往的方式,基于人工经验和边界防护产品就可以高枕无忧了呢?
并非如此。刘新凯表示:“数据安全建设的两大目标,一个是安全层面,另一个则是合规层面,刚才我们谈了安全层面,现在我们再谈谈合规层面。”
“在法律层面上来说,无论是国内《个人信息保护法》,还是欧盟的GDPR其实都在强调个人数据的主权,也就是要满足任何用户对数据在企业内使用、共享、携带、删除等方面的要求。简单来说,即用户的数据一旦进入企业的系统,它是如何被使用的、被储存的、被用于何处,用户都要有权查询。同时,当用户不再想使用这套系统时,企业要有能力将该用户的相关隐私数据进行彻底删除。但事实上,很多企业是无法达到这一步的。”
“很多人可能认为这只是保障了用户的隐私安全,其实不然,实现上述对数据的清晰管控也是对企业自身的一种保护。举例来说,某用户在服务商系统上注册了一个账户,注册完成五分钟后就收到了骚扰电话,于是这个用户就会怀疑是服务商泄漏了自己的电话号码,此时,如果企业没有形成全链路的防护能力,面对繁多的业务系统,复杂的使用和流转关系,其实是很难做到自证清白的。”
“除此之外,在另一个角度来说,如果真的是企业自身的漏洞导致数据泄漏,那么通过全链路的四层关联审计能力,也能迅速、清晰的排查到问题点,最大程度减少损失。”
因此,在法律法规层面来说,要满足合规要求,全链路数据安全防御体系也是大有裨益的。它解决了以往靠人工和经验带来的成本高、效率低、容易疏漏等问题,通过一种更简单、更标准化的自动化流程来实现,在促进业务安全发展的同时,也满足了法律法规上合规的需求。
关于数据安全行业的发展趋势
刘新凯表示:“从全球范围来看,数据安全的整体发展趋势还是统一的,国外的一些具有代表性的安全厂商如One trust到Big ID以及一些新涌现的企业,其对数据安全的思路都在由流程性合规朝着数据关联性发展演变,即从只是单纯的扫库到将数据、系统以及业务进行关联,这一流程化到技术化的演变过程也恰好与我所提及的‘全链路’数据安全理念不谋而合。”
数据安全早就不是数据“一个人”的事儿了,企业或组织在对数据安全这件事进行落地时,只要抽丝剥茧的将数据的发现、流转、使用、审计等一系列流程清晰的描绘出来,然后分析每个节点中的难点,逐个击破,分而治之。最终,再将人、系统、数据和业务串联贯通成一个整体,那么数据安全建设的难题也就不攻自破了,这也正是“全链路”数据安全理念的主旨。
因此,数据安全建设,我们应该从问题中来,到目的中去。毕竟,有问题自然就会有答案。
安全牛评
数据安全的本质是保证数据的可控,知道数据的在哪里,知道数据如何流转,保证数据可控。“全链路数据安全”正是基于这种需求而生,突破对于边界化的数据防护理念,注重对流转起来的数据的防护。相较于传统的防护理念,这种更加透明,直观的看到数据的整体的访问、使用状态,特别适用于对非结构化数据的防护。红途创始人刘新凯作为甲方出身,更能发现甲方的需求,也让红途走出了自己的特色。
