在數字經濟時代,數據作為生產要素發揮越來越重要的作用,數據安全也得到了前所未有的重視。而隨著數據安全能力已經進入了相對體系化建設的階段,更加智能化、協同化的新一代數據安全管理平臺得到了各類企業組織的廣泛關注。
本期牛人訪談邀請到美創科技CTO周杰,就如何構建新一代數據安全管理平臺相關話題展開深入討論。周杰認為,新一代數據安全管理平臺能夠契合云時代和數據資產的復雜性,顛覆傳統認知中統一日志收集中心的單一特性,在資產管理、身份治理、平臺的彈性擴展性、適應性進化以及數字化表述等方面具有更全面的應用價值。新一代數據安全管理平臺能夠幫助用戶完成體系化數據安全建設,并真正實現“韌性數據安全”。
美創科技副總裁、首席技術官。從事數據安全領域研究開發十多年,曾經在思科等公司任職,長期跟蹤和關注數據安全理論、技術、實踐,對于增強身份治理、資產治理、風險治理、動態策略等有深入的研究,同時對于零信任、攻擊鏈、持續自適應風險信任評估等理論體系比較熟悉,在云管端的數據安全產品開發方面有著多年的實踐,積累了大量經驗。目前他是云安全聯盟(CSA)零信任專家、認證講師,從事 SDP、數據安全等研究,保持和 NIST、Gartner 等機構的緊密聯系,緊跟數據安全理論技術的最新動態。此外,他還代表公司參與了數據庫防火墻、數據脫敏、數據共享、數據備份等產品的標準制定及修訂。
目前,盡管企業組織已經大量部署了加密、脫敏、數據庫防火墻、數據庫審計等產品,但是數據泄露和網絡攻擊事件仍然頻發。企業應該如何做好數據資產保護工作?
隨著數字化時代到來,數據已成為企業的重要資產。同時數據只有流動才能釋放價值,數據的流動性屬性以及訴求,帶來了數據安全的復雜性。原來的數據加密、脫敏、數據庫防火墻、數據庫審計等產品,都是解決某個單一場景的數據安全問題。當面對數據的復雜性時,就很難做到有效防護。
我們認為,企業開展數據資產防護工作時,可以從以下幾個方面重點展開:
首先,在理念方面,從靜態到動態防御。數據天然具備流動性,在流動過程中帶來原安全防護能力無法有效解決的復雜性。所以需要通過動態防護的自適應性,根據不斷變化的安全環境和威脅形勢調整防御策略。通過不斷學習和優化,企業可以提高數據安全防御的效率和準確性,以及降低誤報率。
其次,在防護能力方面,要以資產為中心,結合各種安全防護能力構建多層安全防御機制,確保在各種極端場景下的安全防護與快速恢復。
最后,在管理方面,要建立相關數據安全管理制度。數據安全防護與實際業務結合,通過相關業務流程與機制,增強數據安全有效防護。
Gartner 先后提出了數據安全態勢管理(DSPM)和數據安全平臺(DSP)的技術路線,從國內行業的數據安全建設的技術路徑看,存在哪些異同?
數據安全管理平臺(DSP)最初主要功能是數據活動管理和數據庫活動管理。隨后增加了數據庫審計等功能,并擴展到脫敏、安全分析等能力。近年來,DSP平臺的功能進一步擴展,包括加密、令牌、數據分類等功能。
不同的安全廠商在DSP領域可能有相似的技術路線,但在具體實現細節上可能存在差異。例如,在數據分類分級功能中,廠商們關注準確率和降低成本。最近,使用大語言模型進行數據分類和分級成為熱門話題,這種方法可以根據內容推測字段的用途、類別和級別。此外,廠商們還在不同行業積累了模板和實施成本方面的經驗。
數據安全態勢管理(DSPM)是較新的概念,在2022年提出。在DSPM中,可見性是核心前提條件,包括“系統可見性”、“數據可見性”和”身份可見性”。系統可見性涵蓋全面監控和可視化系統,特別是針對復雜的云上系統;數據可見性包括數據存放位置、擁有的數據、數據類型和時間。除了一些相對簡單的靜態數據,還涵蓋數據分發、匯聚和二次加工等處理過程中的中間數據。這些都是需要被保護的數據資產,但往往被忽視;身份可見性涉及識別組織內的身份,大型企業或組織通常有數百甚至數千個身份,需要準確識別這些身份。
單點式數據安全產品只能解決部分已經看到的數據安全問題,缺乏全局視角和全域的數據可見性,這是組織長期存在數據安全風險的原因之一。為了充分暴露風險并采取相應措施,需要以可見性為核心進行工作。通過實施數據安全策略、進行數據風險評估、分類分級、防泄漏和訪問控制等措施,在可見性的基礎上進行安全運營。將所有與安全相關的因素以可視化方式展現,包括各種隱私資產。只有展現所有這些內容,才能評估其風險攻擊面。
傳統平臺型數據安全產品在數字化時代面臨哪些局限性?新一代數據安全管理平臺新增的價值點在哪里?
各種數據安全平臺的發展都具有一些共性的特點,其中最重要的是設備對接。這些平臺能夠將脫敏、防火墻、審計和分類分級等能力整合到一個統一的平臺上,用戶可以查看底層設備、進行策略下發和日志分析等操作,這被業界認為是一個較好的平臺。然而,現在的數據環境變得越來越復雜,面臨云上、云下、多云、跨云以及線上線下結合等挑戰。
我們認為,與傳統的數據安全平臺相比,新一代數據安全管理平臺的最大優勢在于,能夠充分實踐并落地“韌性數據安全”這一理念和架構,并具備以下特點:
?數字化:安全數字化,以數字化能力賦能平臺,降低管理復雜性。
?彈性:以資產為中心,結合各種安全端點能力構建多層安全防御機制,確保在各種極端場景下的安全防護與快速恢復。
?云化:平臺、能力全面融合,復雜性收斂到云管理中心,端點能力保持靈活,快速適配各種安全場景。
?自適應性:圍繞數據、身份全生命周期變化,提供安全策略的自適應進化能力,實現智能化安全防護。
?可觀測性:圍繞資產、身份、行為、風險等維度,結合數字化能力,進行可視化呈現,快速感知各類安全風險并及時響應。
企業組織應該如何實現新一代數據安全管理平臺體系化的建設?
我們認為,企業在實現新一代數據安全管理平臺體系化的過程中,需要重點考慮以下幾個因素:
首先,在思路上保持一致,圍繞組織提出的韌性數據安全防護體系,以資產為中心,以身份為邊界,以風險為界面,作為新一代平臺的核心產品建設理念進行建設。
其次,安全防護能力原子化,從數據安全三大域:存儲域、訪問域、流動域場景化出發,構建多層級防御體系。
最后,通過平臺具備的連接能力,將人、技術、產品有效連接。結合用戶業務層級,連接業務、連接安全能力,進行體系建設。
云計算已經成為企業的主要數據存儲和處理方式,新一代數據安全管理平臺建設在云化過程中所面臨的挑戰是什么?如何滿足和適應云環境的安全需求?
在云計算環境中,數據面臨的安全問題比傳統本地環境更加復雜。云計算規模更大,尤其是公有云服務容易受到全球黑客的攻擊。即使是政務云和私有云相比傳統機房,它們的攻擊面和接觸面也更廣。此外,云計算還面臨著海量的數據、各種類型的數據庫和大量的身份信息。不同客戶的環境和需求也使得整體情況更加復雜和分散。
新一代數據安全管理平臺,可以從以下幾個方面滿足云環境安全:
多云、海量資產全面納管:突破傳統靜態管理模式,平臺的云端技術架構天然具備應對多元混合生長和海量數據增長之后的安全資產管理問題。
數據安全保障能力全面融合:通過一個平臺,全面融合數據安全管理、數據安全能力、數據安全可視化,實現數據安全可持續運營。
安全防護標準全面統一:統一分類分級防護、統一身份管理、統一安全策略配置入口和分發、統一事件處置,確保多云環境遵循相同的數據安全標準。
彈性、靈活的防護機制:集群、云端架構、集中納管、存算分離等機制,可應對海量數據增長和流動加速帶來的散亂未知的安全風險監測和防護。
海量資產自適應防護:安全策略AI、端云閉環、動態防護等能力,可快速應對海量數據增長和流動使用場景爆炸之后的閉環安全防護。
浙公網安備 33010502006954號 
