在数字经济时代,数据作为生产要素发挥越来越重要的作用,数据安全也得到了前所未有的重视。而随着数据安全能力已经进入了相对体系化建设的阶段,更加智能化、协同化的新一代数据安全管理平台得到了各类企业组织的广泛关注。
本期牛人访谈邀请到美创科技CTO周杰,就如何构建新一代数据安全管理平台相关话题展开深入讨论。周杰认为,新一代数据安全管理平台能够契合云时代和数据资产的复杂性,颠覆传统认知中统一日志收集中心的单一特性,在资产管理、身份治理、平台的弹性扩展性、适应性进化以及数字化表述等方面具有更全面的应用价值。新一代数据安全管理平台能够帮助用户完成体系化数据安全建设,并真正实现“韧性数据安全”。
周杰,美创科技副总裁、首席技术官。从事数据安全领域研究开发十多年,曾经在思科等公司任职,长期跟踪和关注数据安全理论、技术、实践,对于增强身份治理、资产治理、风险治理、动态策略等有深入的研究,同时对于零信任、攻击链、持续自适应风险信任评估等理论体系比较熟悉,在云管端的数据安全产品开发方面有着多年的实践,积累了大量经验。目前他是云安全联盟(CSA)零信任专家、认证讲师,从事 SDP、数据安全等研究,保持和 NIST、Gartner 等机构的紧密联系,紧跟数据安全理论技术的最新动态。此外,他还代表公司参与了数据库防火墙、数据脱敏、数据共享、数据备份等产品的标准制定及修订。
01
安全牛:目前,尽管企业组织已经大量部署了加密、脱敏、数据库防火墙、数据库审计等产品,但是数据泄露和网络攻击事件仍然频发。企业应该如何做好数据资产保护工作?
周杰:随着数字化时代到来,数据已成为企业的重要资产。同时数据只有流动才能释放价值,数据的流动性属性以及诉求,带来了数据安全的复杂性。原来的数据加密、脱敏、数据库防火墙、数据库审计等产品,都是解决某个单一场景的数据安全问题。当面对数据的复杂性时,就很难做到有效防护。
我们认为,企业开展数据资产防护工作时,可以从以下几个方面重点展开:
首先,在理念方面,从静态到动态防御。数据天然具备流动性,在流动过程中带来原安全防护能力无法有效解决的复杂性。所以需要通过动态防护的自适应性,根据不断变化的安全环境和威胁形势调整防御策略。通过不断学习和优化,企业可以提高数据安全防御的效率和准确性,以及降低误报率。
其次,在防护能力方面,要以资产为中心,结合各种安全防护能力构建多层安全防御机制,确保在各种极端场景下的安全防护与快速恢复。
最后,在管理方面,要建立相关数据安全管理制度。数据安全防护与实际业务结合,通过相关业务流程与机制,增强数据安全有效防护。
02
安全牛:Gartner 先后提出了数据安全态势管理(DSPM)和数据安全平台(DSP)的技术路线,从国内行业的数据安全建设的技术路径看,存在哪些异同?
周杰:数据安全管理平台(DSP)最初主要功能是数据活动管理和数据库活动管理。随后增加了数据库审计等功能,并扩展到脱敏、安全分析等能力。近年来,DSP平台的功能进一步扩展,包括加密、令牌、数据分类等功能。
不同的安全厂商在DSP领域可能有相似的技术路线,但在具体实现细节上可能存在差异。例如,在数据分类分级功能中,厂商们关注准确率和降低成本。最近,使用大语言模型进行数据分类和分级成为热门话题,这种方法可以根据内容推测字段的用途、类别和级别。此外,厂商们还在不同行业积累了模板和实施成本方面的经验。
数据安全态势管理(DSPM)是较新的概念,在2022年提出。在DSPM中,可见性是核心前提条件,包括“系统可见性”、“数据可见性”和”身份可见性”。系统可见性涵盖全面监控和可视化系统,特别是针对复杂的云上系统;数据可见性包括数据存放位置、拥有的数据、数据类型和时间。除了一些相对简单的静态数据,还涵盖数据分发、汇聚和二次加工等处理过程中的中间数据。这些都是需要被保护的数据资产,但往往被忽视;身份可见性涉及识别组织内的身份,大型企业或组织通常有数百甚至数千个身份,需要准确识别这些身份。
单点式数据安全产品只能解决部分已经看到的数据安全问题,缺乏全局视角和全域的数据可见性,这是组织长期存在数据安全风险的原因之一。为了充分暴露风险并采取相应措施,需要以可见性为核心进行工作。通过实施数据安全策略、进行数据风险评估、分类分级、防泄漏和访问控制等措施,在可见性的基础上进行安全运营。将所有与安全相关的因素以可视化方式展现,包括各种隐私资产。只有展现所有这些内容,才能评估其风险攻击面。
03
安全牛:传统平台型数据安全产品在数字化时代面临哪些局限性?新一代数据安全管理平台新增的价值点在哪里?
周杰:各种数据安全平台的发展都具有一些共性的特点,其中最重要的是设备对接。这些平台能够将脱敏、防火墙、审计和分类分级等能力整合到一个统一的平台上,用户可以查看底层设备、进行策略下发和日志分析等操作,这被业界认为是一个较好的平台。然而,现在的数据环境变得越来越复杂,面临云上、云下、多云、跨云以及线上线下结合等挑战。
我们认为,与传统的数据安全平台相比,新一代数据安全管理平台的最大优势在于,能够充分实践并落地“韧性数据安全”这一理念和架构,并具备以下特点:
ㆍ数字化:安全数字化,以数字化能力赋能平台,降低管理复杂性。
ㆍ弹性:以资产为中心,结合各种安全端点能力构建多层安全防御机制,确保在各种极端场景下的安全防护与快速恢复。
ㆍ云化:平台、能力全面融合,复杂性收敛到云管理中心,端点能力保持灵活,快速适配各种安全场景。
ㆍ自适应性:围绕数据、身份全生命周期变化,提供安全策略的自适应进化能力,实现智能化安全防护。
ㆍ可观测性:围绕资产、身份、行为、风险等维度,结合数字化能力,进行可视化呈现,快速感知各类安全风险并及时响应。
04
安全牛:企业组织应该如何实现新一代数据安全管理平台体系化的建设?
周杰:我们认为,企业在实现新一代数据安全管理平台体系化的过程中,需要重点考虑以下几个因素:
首先,在思路上保持一致,围绕组织提出的韧性数据安全防护体系,以资产为中心,以身份为边界,以风险为界面,作为新一代平台的核心产品建设理念进行建设。
其次,安全防护能力原子化,从数据安全三大域:存储域、访问域、流动域场景化出发,构建多层级防御体系。
最后,通过平台具备的连接能力,将人、技术、产品有效连接。结合用户业务层级,连接业务、连接安全能力,进行体系建设。
05
安全牛:云计算已经成为企业的主要数据存储和处理方式,新一代数据安全管理平台建设在云化过程中所面临的挑战是什么?如何满足和适应云环境的安全需求?
周杰:在云计算环境中,数据面临的安全问题比传统本地环境更加复杂。云计算规模更大,尤其是公有云服务容易受到全球黑客的攻击。即使是政务云和私有云相比传统机房,它们的攻击面和接触面也更广。此外,云计算还面临着海量的数据、各种类型的数据库和大量的身份信息。不同客户的环境和需求也使得整体情况更加复杂和分散。
新一代数据安全管理平台,可以从以下几个方面满足云环境安全:
多云、海量资产全面纳管:突破传统静态管理模式,平台的云端技术架构天然具备应对多元混合生长和海量数据增长之后的安全资产管理问题。
数据安全保障能力全面融合:通过一个平台,全面融合数据安全管理、数据安全能力、数据安全可视化,实现数据安全可持续运营。
安全防护标准全面统一:统一分类分级防护、统一身份管理、统一安全策略配置入口和分发、统一事件处置,确保多云环境遵循相同的数据安全标准。
弹性、灵活的防护机制:集群、云端架构、集中纳管、存算分离等机制,可应对海量数据增长和流动加速带来的散乱未知的安全风险监测和防护。
海量资产自适应防护:安全策略AI、端云闭环、动态防护等能力,可快速应对海量数据增长和流动使用场景爆炸之后的闭环安全防护。
