5月19日晚,安在新媒体联合新一代数据安全技术倡导者--天空卫士,共同推出了数据安全系列直播第二期,本次的直播主题是企业数字化转型与数据安全治理。数字化转型是当前热点,但却未趋向于大面积落地。这意味着数据安全治理要支撑“发展变化”中的数字化转型,需要企业不仅仅在内部、技术等方面着力,同时在业务整体上线后,解决数字空间中各方所存在的权益问题。专家们就数据安全底层逻辑、企业数据安全治理最佳实践、数据安全治理等话题展开了热烈讨论,同时从数据生命周期、新时代背景趋势、安全产品落地、流动数据管理等各个角度,专家们进行了详细的解读。
(从左至右、从上至下分别为天空卫士合伙人高级技术总监杨明非、数世咨询创始人兼总经理李少鹏、易车安全总监李玲、安言咨询总经理董永乐)
说到数据安全,第一个联想到的就是数据全生命周期的概念,包括数据采集、传输、存储安全、处理、销毁。然而,李少鹏对此发出质疑,当下我们通过网络传输的这些电子数据,真的适用于全生命周期这个概念吗?
对比于传统生产资料,数据作为生产要素,会在各种环节产生交互,其具备的是非线性生命周期;对比于案卷档案,电子数据非白纸黑字,其具备流动性和变化性;对比于传统销毁,数据在当下的互联网环境中,尤其是在云环境下,数据难以被完全销毁,同时从需求角度而言,也没人愿意去销毁,因此所谓的数据生命周期里就少了极其重要的“销毁”环节;最后,数据在传输、处理、交换环节时的区别是什么?从实际出发,数据安全的手段、工具、技术并不只针对某个特定环节,因此难以分清具体区别。
既然生命周期不适用于数据,那什么才适合?从数据要素的本质来看,降本提效、价值创新、决策未来是其主要的价值,三者合在一起就是所谓的数字世界,因此只有用“生命力”概括数据才是最合适的,而数据安全的生命力在于流动,李少鹏对此提出,针对“该如何保护流动数据”,数世咨询提出了相应的方法论,其分为三个阶段:数据贮存安全、数据访问安全、数据开放安全。
目前数据开放安全离我们的距离较远,李少鹏认为接下去的几年里,各安全厂商的重点会在数据访问安全上,比如跨网文件交换、数据防泄漏、数据库安全、数据脱敏等,其本质是解决数据在有限范围内的安全。
通过对数据安全企业这么多年的了解,数世咨询发现了新颖的解决方案和思路。其中的思路是“只要理清人和数据的关系”,即人和数据的关系不变,无论数据流通到哪里都会产生相应的策略,其包含两个基础点,一是必须要把访问关系梳理清楚,二是白模型。
数字化转型是现代企业最重要的驱动力,因为数据能驱动整个企业的业务发展,而在这样的趋势下,有两大新的变化需要我们有所认知,其一是业务科技化,即越来越多的业务人员必需掌握多种数据分析方法,或需要学会使用相应的数据分析工具;其二是IT前移,就是技术人员必需理解业务,学会更好地为业务服务。
接触数据的人多了,数据资产的问题也随之而来。所谓数据资产,是指企业及组织拥有或控制,能给企业及组织带来未来经济利益的数据资源,数据资产有两种重要形式,一种是此类数据能驱动业务,此类数据丢失会给企业带来损失,还有一种被法律法规所约束,比如个人信息。
杨明非表示,从数据资产的角度来看,载体上,数据资产正逐步脱离网络的范畴,因此这诸多数字资产在数字化转型的进程下,会面临越来越多的数据安全威胁,比如以APT为代表的盗取数据威胁,比如员工带来的内部威胁,再比如人工智能所带来的安全威胁,三星员工因为用了ChatGPT而导致机密泄漏。
新形势下,数据安全的特点也发生了变化。杨明非介绍说,首先是传统的隔离手段不再能很好的保护数据资产;其次,分类分级的支持成为了数据安全的基础,同时从安全的角度来看,分类分级极大地减少了各种成本;第三点,敏感数据分布在各处,数据安全的覆盖面从能力上应当覆盖企业IT全貌;第四点,数据安全不可忽略人的因素。因此,数据安全的策略涉及人、应用、数据分类分级,需要在整个数据安全体系中进行统一。
对于Gartner所提出的数据安全治理框架,杨明非和李少鹏的观念一致,都认为此框架虽然在方向和路线上正确,但在实际落地时过重,无论是投入的资金、物资,还是时间成本、管理成本都是极大的,因此杨明非提出,在仿照这样的流程运行时需要利用正确的工具,因为工具会大量减轻成本的投入。
杨明非说,这些工具需要尽可能自动化,以形成数据安全的策略,此外风险评估、暴露面分析等都需要通过UEBA平台实现统一编排。天空卫士通过自动化平台,对数据进行分类、标签、建模,形成数据识别特征,最终形成数据识别模板,建立统一的数据安全治理框架,实现以数据为中心的安全防护体系。此为正向的保护模式。
在实践过程中还有一个反向模式,杨明非介绍,天空卫士相关产品内置了多种模板,比如需要个人信息相关的模板,天空卫士产品在部署后会统一进行下发,之后能进入可视化或保护流程,同时能优先满足最紧急的需求。
在数据安全治理方面,产品可对不同的系统数据做分类分级,又可对敏感的数据资产内容做持续地处理和分析,比如源代码、图纸、流程、工艺等,范围能扩大到核心数据和重要数据。
最后,产品体系会从数据、应用系统、IT架构上进行全面覆盖,完成整个数据安全治理的流程。
杨明非强调,想要做好数据安全治理,首先就要做数据的分类分级,从数据安全治理的方向来说,企业先要将最重要的数据进行分类分级,对不同的级别进行差别化保护。分类分级最主要的目标是对流动中的数据进行保护。
数据流动,通常会以非结构化数据的方式体现,所以在此模式下,天空卫士DLP会对非结构化的数据进行处理,并对数据的流动进行识别。
杨明非说,数据安全治理的过程中,最痛苦的点来自于人员,首先人员需要懂法律法规,其次要懂业务,要对企业自身业务数据的关注点非常清晰,同时还要懂技术,包括安全技术、数据技术、数据识别的技术、存储管理、网络抓包等所有技术。这样的人员需求对业界来说是极大的挑战。
而天空卫士作为一家技术型的产品公司,根据其上所说的诸多模式、难点、流程、体系,创建了全新的自动化平台,称为数据安全治理自动化平台(DSAG),此平台最大的好处是一体化的管理机制和体制。
从流程化的角度来看,资产发现阶段可以让用户知道哪些地方有数据资源,这些资源里有多少是数据资产。还可以让用户知晓数据资产中,天空卫士给的模板够不够,不够的话还可以通过什么方式做更多分类分级对象的定义。
一旦定义了分类分级对象,用户就具备了识别敏感数据的能力。具备此能力后,可把数据安全相关的分类分级对象下发到各个不同的通路上,比如ASWG对应WEB通道,ASEG对应邮件通道,DSG对应网络旁路通道,Endpoints对应终端通道,UCWI对应应用通道。
这样多通道、统一的平台化管理,意味着数据的分类分级信息只要更新一次,就可以下发到全网。让用户知道敏感数据在任何地方都是敏感的,可以在整个网络里发现它,无论是通过内部即时通讯进行传输,通过邮箱进行传输,还是通过API传输给第三方,或通过终端拷贝到USB,都能做到全面的覆盖,最终形成全面的可视化。
1000家企业就会有1000家不同的数据安全治理方法,所以从最佳实践的角度来说,一定要选择一个适合自身发展阶段的模式。比如企业具备相应人员能力,在数据安全治理、分类分级等方面有较强的优势,那就可以选择正向的模式。而如果企业对数据安全还比较陌生,尚不明确其和传统安全有什么区别,那就可以采用反向模式。先通过产品去了解自身数据流动的情况,通过可视化,通过对事件的处理、展现,来了解数据安全真正需要关注的重点在哪儿。
其次,数据安全是一个结构性的问题,需要体系化的解决方案。人员、制度和技术三者相辅相成,缺一不可。数据安全与传统的安全体系不同,需要有深刻的合规、业务等知识支撑。因此,对人员、组织结构等方面都有较高的要求,不可能一步到位,需要一个循序渐进的过程。
网络安全从技术核心、场景核心的角度经历了三个状态的变化,首先是端点攻防时代,发现病毒和漏洞足够多就算是做好了安全。接着是信息安全时代,安全的目的是为了保护好信息资产,如数据中心、主机、应用系统等。而当下是业务安全时代,个人隐私、商业机密、政务,安全更多会关注业务所带来的各种数据流和数据库。
就像李少鹏说的那样,以网络安全为基础的保障手段,以数据安全为核心的价值观和目的,此二者的结合就是当下所提倡的数字安全,不管是数字化转型还是数字战略、数字政府、数字世界、数字经济等都是以此概念为基础的。
“数据安全即业务安全,所以数据安全更多需要协调,需要企业高管或政府领导人对整个数据流通有足够的认知和逻辑上的梳理。”
在此背景下,李玲也指出,随着数字化转型的快速发展,过去“进不来、拿不走、解不开、用不了”的防控方式已无法满足业务的需求,指导方针从本质上发生了变化,需要安全做到“看得清、摸得透、跟得上、防得住”,而其中最为重要的是能够识别安全中最核心的问题。
而李玲作为甲方代表,她认为在数字化转型中所遇到最大的挑战是“流动数据的风险管控”,其次,对比到传统安全领域可在主基层、网络层进行统一的部署和防控,业务也会需求在数据安全方面能具备一键检测、一键修复的解决方案,“开箱即用”四字对业务来说可谓雪中送炭。
李少鹏对此表示认同,他同样觉得流动数据的保护、定义、确权和责任很难划分,但对于一键式的数据安全解决方案,李少鹏持保守态度。
杨明非听过两位专家的疑问后是这么解答的,他表示,数字化转型之后,数据共享是常态,不共享是例外,除了个人隐私、原始数据不能共享,其他数据都需要通过共享来产生效益和价值,以此推动业务的发展,所以这才牵扯到“该如何管理流动的数据”。
流动数据需要动态管理,其第一步就是要按照分类分级对数据进行识别,分清流动数据里哪些是敏感数据,哪些是非敏感数据,在此基础上,再去看数据在哪些通道上流动,终端、邮件、手机、应用、区域网第三方等,最后实现可视化和统一的安全策略编排。
至于“一键式”解决方案,从技术的角度来看,更适合于静态的处理。而当下的动态管理讲究以身份为边界,即以人为边界,通过每个人在整个数据安全体系里的风险分值,来决定其对于分类分级的访问权限,相当于把颗粒度划分到了每一个人、每一个数据、每一个数据的分类分级上,而这样的模式更适合动态管理。
杨明非认为,和基础安全不同,数据安全中每个系统之间有着特别大的关联性,拿数据的分类分级举例,应用在各个通道中的处理都需要分类分级。因此从安全的角度来说,数据安全的模式本身非常零碎,颗粒化很细,如果整个体系没有建立成可编排的、统一的模型,那要实现一键化就是在天方夜谭。而天空卫士的目标和方向就是要把所有的通道统一管理
当下,数据安全对于公司的管理层而言已成了心头大患,外部合规要求增强和数据泄露事件的暴增,都带来了极大的负面影响和压力。而这样的背景有利也有弊,一方面其可触动到管理层,让企业治理由上至下都能关注到数据安全,另一方面,高额处罚也加大了安全部门的工作职责,企业整体办公效率也会因此受到波及。
李玲对此感触颇深,她表示,不单单是刑事处罚,连行政处罚的力度也远超过去,拿通报批评举例,网安法的修订稿里已将通报批评写到了网安法的正文,因此对企业而言,数据安全一事将成为各企业重中之重。
其次,从业务角度来看,若数据采集、数据共享方面踩到了合规的红线,就很有可能会被要求改变产品的模式或整体的商业规划,整个产品将面临极大的调整。因此,数据安全需要法务、技术、行政等方面的知识,相关产品只有评估完了才敢上线。
对于分类分级,李玲表示,自己所在公司也会从正向、反向两个角度去管理,为此她还推荐了天空卫士的数据防泄漏产品,她表示此产品可在各个共享的通道中管控非结构化数据。
说到非结构化数据,李少鹏就“客户如何结合天空卫士非结构化数据管理能力,来管理数据库中结构化的数据”发出提问。
杨明非回答,从概念而言,数据一旦离开了数据库就会变成非结构化数据,不管是HTML,还是API,都是以非结构化方式体现出来的,所以统一叫做非结构化数据。其次,对数据库而言,数据库审计、数据库防火墙等安全产品都能处理结构化数据,另一方面,在数据中台的数据访问、数据权限等并不是天空卫士的主要方向,天空卫士更多会关注离开数据库并进入应用的数据,也就是非结构化数据。
在数据安全法中明确提到了数据安全治理:企业需要建立健全数据安全治理的体系,要对数据进行分类分级的保护。当这些内容被写进法律的时候,其更像是在建议,而不是要求,即建议企业可以通过哪些方针来保护数据。因此,数据安全治理不是技术,也不是产品,它实际上是一个流程,是一个处理方式,是一个框架。
在此基础上,杨明非表示,不是所有企业都需要做数据安全治理,通常只有高科技企业和“拥有个人信息、重要数据”较多的企业需要做数据安全治理。
关于阶段性,杨明非认为,数据安全治理不存在阶段性的概念,需要企业逐步推进,可视化、统一编排等都是持续不断且需要迭代反馈的一个过程。
另一方面,杨明非表示,数据规模会影响到数据的分级,从法律法规的角度来看,数据出境的审查条例中就有说明,比如超过1万条的敏感数据,超过10万条的个人隐私数据等,都需要申报安全评估。也就是说当数据累积到一定量时,它就会产生规模效应。
最后杨明非指出,数据安全一定会越来越重要,新技术、新方法也会层出不穷,比如隐私计算、区块链、大数据模型等,将来还会发展出利用数据来保护数据的趋势。
所以,“不忘初心”对于安全人员、对于企业、对于安全厂商来说是永远的指引,牢记自己为何会迈出数据安全治理的步伐尤为重要,我们共同所建设的数字世界离不开每个人的奋斗和努力,所以无论你是数字化进程中领跑者还是效仿者,只要你认真参与了,我们就能一起推动这伟大的进程并坚守接下去的每一步。