4月底,在第三届数据安全治理峰高峰论坛的数据安全与大数据保护解决方案分论坛上,五家企业就自己的大数据安全解决方案或者大数据安全保护实践进行了分享。
奇安信
奇安信副总裁梁志勇认为,大数据安全是一个体系化的建设,需要结合多种类型的安全能力才能打造出完善的大数据安全解决方案。在这次的会议中,梁志勇着重就数据安全进行了分享。他提到,在大数据环境下,数据会进行更多的流转;但是,在数据流转的过程中,却难以确保数据的安全。因此,之前只需要确保终端处数据的安全的模式已经无法满足新的安全需求。
梁志勇认为,对于数据安全防护的模式可以参考CARTA模型,需要做到发现、防护、检测和响应四大能力:
1. 发现能力:对于敏感数据首先要进行了解和把握,而了解和把握最直观的方式就是对敏感数据进行可视化处理。对于静态的敏感数据,需要做到敏感数据的分部可视,明确自己的数据资产目录、敏感数据统计状况、以及敏感数据的分部状态;对于进行传输的敏感数据,需要做到流转可视,使应用数据流的流动状态以及数据库访问可视。基于这两点之上,对敏感数据的驻留与流转风险进行评估。
2. 保护能力:针对不同类型的敏感数据风险,需要通过不同的安全能力进行统一策略的协同防护,将终端DLP、网络DLP、邮件DLP和存储DLP协同,对敏感数据进行统一策略管理、监控、事件管理以及工单审批。
3. 检测能力:通过对日志的采集,对敏感数据面临的风险进行场景化分析,将风险的总览状态与用户风险画像进行结合,做到敏感数据风险基于场景的可视化,使得对于风险的检测更加有效快速。
4. 响应能力:在事中事后,通过对日志和状态的分析与溯源,还原数据访问链路,定位事件或者风险的源头,采取措施。基于对风险的分析,将各类DLP、大数据安全网关与应用数据网关不同的安全设备进行全网自适应协同。
根据这四大能力,奇安信有以下两大关键技术:内容识别引擎技术与UEBA智能分析引擎技术:
1. 内容识别引擎技术可以支持多种识别算法,包括智能学习、精确性高的文件指纹与数据指纹、关键字、正则表达式等多种算法,满足不同数据集特征的表示需求。内容识别引擎本身有预置的通用特征库,从而降低梳理门槛,帮助客户快速上线,进行保护。
2. UEBA智能分析引擎通过对用户行为的全方位数据采集,从机器学习的角度对用户意图进行识别,以及从业务规则角度进行的异常分析,发现用户是否存在业务违规情况以及企业是否存在信息泄露问题。
在某市政府电子政务中心中,奇安信通过在数据流的关键节点分别部署各类DLP产品,进行敏感数据发现和数据流审计的工作。同时,在数据安全管理中心对安全事件和审计日志进行风险分析,针对发生的泄露问题进行溯源追踪。
某知名车企
作为全球领先的汽车厂商,面临的是甲方视角的数据跨境访问、传输与保护中需要的合规问题。
在业务流转过程中,会收集到相关的个人信息、地理位置信息、组织的金融信息等重要信息。而根据中国网络安全法,第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。因此,在跨境传输的三个场景:在中国本土的非中国领土的访问(比如他国大使馆)、国外对国内数据库的访问和接入、以及将国内数据传输到国外,都需要按照中国网络安全法的要求。
因此,对于中国本土的信息传输,不能允许海外人员直接接入国内的数据库,获取信息。相应的解决方案是,在对中国的数据库之外部署了一整套数据库管理系统,包括数据库控制系统以及数据库审计系统,对数据库账户的访问进行控制、审计以及监控,从而确保仅在业务必要,并且满足法律法规的条件下才能进行跨境的数据库访问和传输。
思维世纪
思维世纪的技术委员会主任刘晓光分享了思维世纪的数据安全架构逻辑以及案例。思维世纪的数据安全架构分为五层:从数据安全保护方法论,推演出工程实现技术要求,之后提炼出技术整合能力与商业模式,并且制作出产品形态,最后对项目进行落地;而在整个落地的过程中,又会反向进行修正、调整等。
在这五层架构之上,思维世纪构建了一体化解决方案,通过数据资产识别与管理、数据脱敏、数据安全审计、数据加密与密钥管理、数字水印、内容识别、身份认证与访问控制、以及服务器与终端管控八个维度,对数据做到透明、实时、同步、高效、快速的可控安全。
在某电信运营商的落地环境中,思维世纪按照运营商全网的支撑系统与通信两大系统,以及业务平台,对全网数据分布以及态势总体指标进行呈现;再以专业线条为单元,根据数据资产数量、访问情况等,对专业线条的资产概况以及专业线条内系统分布进行展示。在这之上,分别以数据类型为对象,自动化构建不同类型数据生命周期图,动态全景呈现数据安全风险分析及保护、访问流转、管控手段等;以系统内部数据类型为对象,自动化构建数据动态流转图,展现内部数据信息分布调用关系总览,指导数据防泄漏监测和管控能力的部署。
刘晓光同时提到,在数据安全的落地过程中,需要有更上层的管理对数据安全进行负责;同时数据安全需要匹配自身的现状和业务规划,不一定购买大量产品,可以通过从摸底做起,整理整体安全思路。
慧盾
慧盾的解决方案通过围绕大数据平台,构建数据生命周期的整体安全防护。
慧盾安全大数据BU产品线总经理张强表示,根据大数据平台的架构,企业会在数据采集区、计算存储区、数据共享区、运维区以及基础设施部分分别面临不同的威胁。慧盾提供的节点安全防护系统、审计安全防护系统、脱敏安全防护系统、交换安全防护系统、运维安全防护系统以及安全可视化平台构建了整体的解决方案。
从大数据平台面临的威胁来看,主要能分为三个场景:泄密、篡改、损毁。
在泄密场景中,慧盾的安全防护目标是“进不来”、“拿不走”、“看不懂”、“可审查”、以及“跑不了”。对于运维区的非法终端的试图接入行为,慧盾通过运维安全防护系统进行阻断,防止数据泄露。黑客即使对计算区与存储区的数据进行攻击,慧盾的加密措施能确保黑客最多只能获取加密文件,而且基于内核级的安全管控技术,可有效防止黑客或恶意程序对数据的非法访问。而对于黑客,甚至服务提供商试图在共享区进行非法共享数据的行为,慧盾交换安全防护系统能进行识别并采取防护行为。
针对篡改场景,慧盾则提出了“进不来”、“改不了”、“可审查”、以及“跑不了”。通过慧盾运维安全防护系统对内部人员的篡改行为进行防护,同时慧盾审计安全防护对大数据平台数据库中发生的行为进行监控审计。对于防止黑客的攻击篡改数据行为则提供大数据节点篡改防护能力。
在损毁场景中,慧盾的目标则是“进不来”、“破不坏”、“可审查”、“跑不了”。对于内部人员尝试损毁的数据通过防护系统进行防御,并且通过审计安全防护系统进行审查。对于外部的攻击行为,进行大数据节点损毁防护;尤其针对如今流行的勒索病毒,慧盾提供了勒索病毒智能识别与防护能力,确保客户不会因为勒索病毒的攻击造成数据损毁,乃至业务中断。
在慧盾的解决方案中,我们可以发现,慧盾对来自于企业内部的数据威胁相当重视,我们在进行大数据安全保护的时候,不应该只对外部的威胁进行防御,还需要对内部,甚至是服务提供商的行为进行防御。
明朝万达
明朝万达分享的是面向数据生命周期的零信任大数据安全自动防护体系。
明朝万达高级副总裁兼首席技术官喻波认为,传统的静态单向防护的安全域模型已经不再适用于如今的大数据交互场景,数据记录记录阶段已经过去,数据服务阶段已然到来。因此,企业需要建立动态闭环防护,而方式之一就是建立零信任模型。
由于用户伪造和冒用身份已经成为数据泄露的新突破口,企业需要从用户身份角度入手,对数据的接入、使用、传输进行管控。零信任的核心理念是基于最小特权原则、利用微隔离技术,以身份为中心重构安全边界,不默认信任内外部的任何用户/设备/请求,在授权前对任何试图接入系统的用户/设备/请求进行验证,即“非信任不授权”,实现更细粒度的访问控制。
喻波表示,零信任大数据安全主动防护框架的理论基础有三方面:
1. 从数据生命周期全过程的视角出发,以数据资产安全使用为愿景。
2. 针对与数据使用相关的网络、终端、主机、用户、应用等资产要素,以身份为中心,持续重构、细化安全边界。
3. 零信任大数据安全主动防护框架,依托零信任数据安全治理体系的6个阶段实现与落地。
在这个基础上,通过组织构建、数据摸底、策略制定、数据管控、行为稽核、持续改善这6个阶段进行落地。
在某省公安厅的落地案例中,明朝万达以微隔离为基础,将移动警务网划分为用户、应用、设备等多个安全子域。由凭证管理中心负责凭证管理与鉴权管理,为网内所有用户提供统一的安全凭证。之后,访问控制平台对用户、应用和API、设备进行鉴权,完成设备安全状态检测。最后,通过用户行为分析,动态跟踪移动警务网安全状态,完成实时监测安全风险能力。在数据安全监测与分析方面,把安全管控对象划分为细粒度的安全域,对每个安全域制定基础的安全指标,对安全进行量化管理;同时,根据数据使用场景,组合多域安全指标,形成判定规则,对操作行为进行动态判定与跟踪。
安全牛评
随着大数据的使用越来越普遍,数据的安全则显得更加重要。从这五家企业的分享中,我们可以发现,数据安全需要考虑到的因素很多:从威胁来看,需要对泄密、篡改和损毁进行防御;从威胁来源来看,不仅仅是来自外部的威胁,还需要注意内部的威胁;从架构来看,不仅仅是数据库,也需要从网路、从终端进行保护;对于数据的传输,还需要意识到不同国家的法律法规,满足跨境数据传输的要求。最后,数据安全的防护,不仅仅是技术层面的,也需要从管理层出发,成为企业全体的任务。
注:中国数据安全治理峰高峰论坛由中关村网络安全与信息化产业联盟、北京网络信息安全技术创新产业联盟、中国保密协会产业分会共同主办,北京安华金和科技有限公司承办。其中,数据安全与大数据保护解决方案分论坛由安华金和与安全牛共同组织承办。
相关阅读
