以下文章来源于嘶吼专业版 ,作者平越

持续的疫情冲击,对于大部分企业,在经历了最初的迷茫期、阵痛期到之后的恢复期之后,现在更多看到的是发展机会。在远程办公的情况下,无边界网络对安全提出了更多的要求,活下来的企业几乎都进行了数字化转型。

在国家数字经济下,随着《数据安全法》和《个人信息保护法》的提出,更推动了安全厂商的业务转型,数据越来越多,也越来越值钱,需求机率更大,数据安全治理技术就越来越重要。

近日,由中国信息协会信息安全专委会数据安全技术工作部指导,组长单位北京天空卫士网络安全技术有限公司主编的《数据安全治理自动化技术框架(DSAG)白皮书》(下称“白皮书”)在2022数据安全技术大会上正式发布。旨在为企业提供全面的数据安全治理平台化产品,DSAG通过加入自动化数据分类分级流程和数据分类分级保护API模块,帮助企业降低数据安全治理的成本,提高企业数据安全防护能力。

对此,嘶吼特别采访了主编单位天空卫士,就数据安全治理自动化技术、DSAG特点、白皮书价值等话题内容,对天空卫士董事、合伙人、高级技术总监杨明非进行了深度访谈。

按照CDM的框架去考虑技术产品体系

“数据安全治理自动化体系(DSAG),参考了2012年美国国土安全局建立的持续诊断和缓解计划(CDM)技术框架,按照CDM的框架,由外向内,构建网络安全+数据安全的一体化产品体系” 



最里面的那一层就是数据保护管理,也就是最核心内容。核心体系包括数据发现分类、数据保护、数据丢失保护、数据泄露响应和信息安全权限管理等。

“在去构建数据安全体系的时候,尽量能把它们放在一个平台里面。最主要的几个要点是去映射 CDM里面的一些要求,包括数据防泄露(DLP)、数据分类分级、响应权限管理等。我们把这些能力都落地了真正能用的产品,非常具有中国特色。

参照2021年美国国防部(DoD)零信任架构框架图,从前面的身份授权、设备授权、网络授权、应用授权,到最后强调的是数据授权。本质上,实现数据安全,也是零信任体系的终极目标 。 

数据被识别之后才能打上标签,做成统一的一套体系,通过自动标签与手工标签,对文档进行标签标记,实现对文档的高速分类分级识别处理。同时通过文件格式/内容的分类分级识别,可以发现潜在的数据逃逸风险。标签体系贯彻整个数据的流转追溯,它的快速判断非常重要。

天空卫士数据安全治理自动化平台技术框架

数据资产保护需要分级分类,重点需要保护流动中的数据。企业里面超过85%甚至90%的流动数据都是非结构化的数据,这是数据安全治理的一个难点,也是天空卫士做数据安全治理自动化平台的原因。

基本上已经把数据流转的主要通道全部打通,我们的产品设计概念是,每个通道下的这些数据安全保护能力都是一致的。”杨明非说到。

数据安全治理需以数据分类分级、数据保护、监控及追溯、身份认证为中心,形成完整的数据应用处理保护链,并需考虑企业在数字化转型架构下各种风险管理场景,如数据流、数据库、大数据、文件、云环境、各种终端等。

DSAG的技术突破

Gartner在2018年下半年发布了数据安全治理框架(DSG),本身是一个流程体系,非常标准,已成为业界共识。但存在很大的一个弱点是实施落地比较困难,来自于三个原因:一是时间很长,二是涉及的部门人员很多,三是投入资金特别大。 


其中,ITM采用大数据分析、统计学异常分析、贝叶斯、深度学习(双向循环神经网络)等技术对用户行为特征进行深度建模,协助企业发现内部风险行为。

数据安全治理自动化DSAG的处理流程有以下几点:资源扫描、资源认领、资源发现、数据智能聚类、文件指纹、数据库指纹、智能学习、分类分级定义及保护、DLP检测、脱敏操作、持续的监控发现,全方位地覆盖数据安全治理周期的每一个环节。

国内做数据脱敏的厂家有上百家,但是他们基本上都只能覆盖数据库等结构化数据,要实现对非结构化的文件脱敏,只有DSAG技术可以实现。”杨明非强调。

简而言之,DSAG的技术突破亮点可以概括为“六化一管”,分别是数据分类分级自动化、数据安全处理自动化、行为分析智能化、数据脱敏全面化、API数据内容分析细粒化、DSAG编程管理可视化、一把手数据安全管理“一支笔”。

与传统的数据安全平台有很大区别的地方是,DSAG将业务和数据安全相结合,管理层可以随时下命令,一支笔直接批示,直接处理,哪些数据需要他亲自抓,哪些数据需要他亲自过问,甚至没有他的批准,哪些数据是不能被使用的,简单明了。