关于数据运营安全,你想知道的都在这里
作者:星期一, 一月 25, 20210

数据运营安全(DataSecOps),是由北京数安行科技有限公司在国内首先提出的一种全新的数据安全防护理念,基于这套理念,我们打造了数安行零信任数据运营安全平台这样一个产品,可以为客户提供高效的、对业务无影响的数据安全防护。

对于这个新冒出来的名词,很多小伙伴表示一脸茫然,也经常与数据安全运营等概念混淆。接下来,小编就来解答关于数据运营安全的种种疑问,带你了解数安行的创新防护巧思。

什么是数据运营安全?

数据运营安全(DataSecOps)是一种新的数据安全防护理念。数安行站在数据运营的角度,重新理解当前数据安全风险发生的根本原因,并提出了应对思路。其核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,最终落地以一个产品或平台的方式运行。本质即是对数据运营的全流程进行安全防护服务,所有的安全防护都围绕数据运营展开,既覆盖数据业务全流程,又与数据业务流程独立运行互不影响。其目标是在不影响数据业务流程正常运行的情况下,更有效地保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。

数据运营安全理念产生的背景

说完以上概念,那大家就会问了,到底什么是数据运营,当前面临的风险是怎么样的,为什么需要运用一套新的思路来解决看似老生常谈的数据安全问题?

首先,数据成为新的生产要素。

2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确地表示数据成为生产要素。这是中央发布的第一份关于要素市场化配置的文件,表明数据将会是未来社会数字化、信息化发展的重要基础。在大数据时代,谁能够让我们描述“看不见的世界”,谁就能够代表未来。针对数据的收集、分析、挖掘及共享能力,决定了企业的竞争力和创新力。也因此,大部分企业已经或者正在进行主动或被动的数字化转型。

其次,数据运营环境和风险发生变化。

在数字化转型过程中,企业面临最显著的变化就是业务主要由数据驱动,数据呈爆发式的增长,业务流程复杂,跨部门、跨角色的协作共享越来越多,大部分人都会参与到数据运营的过程中,包括数据的生产、存储、传递、接收、分析、共享等等环节。这意味着,数据不再存在于单一的使用环境中,除了数据库,还会存在于业务系统中、各类云应用中、大数据平台中以及每一台终端,甚至每一个参与过数据运营的人员手中。数据的格式、种类也极其丰富,数据存储、流转及使用已构成一个复杂的数据生态。

这种变化提升了企业的数据利用效率,但是敏感数据也面临更复杂的暴露风险和扩散滥用风险。企业管理者可能并不完全知道敏感数据资产都有哪些、都存在哪里,内部高速又繁杂的数据流转容易导致敏感数据的无序扩散和违规滥用,更不用说恶意的主动泄密及攻击窃取等危险行为。这些容易产生风险的环节大部分发生在组织内部,各种计算侧环境中,而不是以往我们紧盯着的系统或网络的边界处。

再者,传统的边界防护逐渐式微。正因为数据的运营环境和风险发生了转变,因此传统的防护手段开始显得力不从心。在IT时代,企业的信息化建设是以系统和网络为中心的,对应的安全防护也是以系统和网络边界的防护为重心,更多关注边界处的数据泄露和外部攻击。只要拦住了,就没事了。

但是对于我们上面提到的风险特点,风险是在内部积聚的,内部敏感数据的存储、扩散风险到了失控的状态时,边界的防护压力就会非常大,防护效果显著降低。而且这种敏感数据违规滥用的情况本身就不是发生在边界处,因此大部分产品对于这种风险既无检测感知能力,也没有响应保护能力。传统安全防护的产品逻辑已经决定了,其本身就不具备敏感数据资产的识别能力,也不具备数据运营全流程下敏感数据资产识别及跟踪能力,拿不到高质量的信息源,也就不能准确识别这些风险,更无法对这些风险进行快速响应处置,即使进行产品升级也于事无补。

因此,数据运营安全是应对新时代数据安全问题的一个更好的解题思路。

既然安全风险产生于数据运营的各个环节,那防护就不应该再盯着各个系统和网络,而是回到问题的本质,以数据为核心,围绕数据运营的全流程来展开防护。同时我们认为,安全应该是业务的推手而不是阻碍,不能让安全妨碍业务的开展,数据一定要流动起来才能产生价值,因此防护不是“一刀切”,不是“能拦就拦”,而是不影响业务流程的正常运行,去进行有效又无感的防护。

数安行的数据运营安全是怎么做到“有效防护”的?

数安行目前已经建立了零信任数据运营安全平台,将数据运营安全的思维产品化,以人工智能为核心驱动,通过数据运营安全切面的方式,在不改变网络架构、不改造业务的情况下,从数据本体防护角度出发,提升数据运营过程中数据自身的安全性,保证数据运营过程中数据的安全。

全类型多源敏感数据资产发现及全景展示

数据运营安全理念的真实落地,首先要具备的就是对敏感数据资产的全类型识别及准确分类能力。数安行零信任数据运营安全平台内置了几百种开箱即用的数据分类模型,支持上万种数据格式识别,支持各类型文档内容深度解析,可以快速梳理出企业的敏感资产分布。同时借助基于小样本机器学习的数据精细分类智能模型,可以对各个行业、各类法律合规对应的数据资产进行快速准确的分类分级。通过对业务系统、数据中心以及计算侧等多源敏感数据资产进行智能梳理,构建敏感数据资产全景视图,摸底组织内敏感数据暴露风险,并支持敏感信息的关联分析及快速检索。高质量、高效率的敏感数据分类,是数据运营安全的基础。

全流程敏感数据流动及扩散风险感知

理清了敏感数据,就需要掌握敏感数据的动向,以便及时捕捉、追溯并处置风险行为。数安行零信任数据运营安全平台建立了敏感数据与主体的映射关系,对敏感数据进行全流程自动标注跟踪,对用户使用敏感数据也进行标注跟踪,对异常应用敏感数据探测回传监控,使得敏感数据的状态变化及流转轨迹可以追溯,以便实时感知敏感数据的扩散及违规滥用风险。对于违规滥用行为及时响应处理,通过数据全链路跟踪分析对于一些恶意的数据变形泄露以及一些APT攻击窃取、勒索病毒加密破坏等都可以进行准确的识别以及及时的响应处置,促进数据有序流转及安全协作共享。对敏感数据进行全流程的标注跟踪,以及流转轨迹的智能聚合追溯,是数据运营安全的核心。

轻量化微隔离自适应精准防护

数据运营过程中各个环节、各种数据角色操作的数据特点和重要程度有很大差异,这也要求对于不同环境、数据角色及风险用户要采取不同的防护措施,这样才能防止因为防护过重或者不灵活导致的业务流程中断等风险。数安行零信任数据运营安全平台内置丰富的防护工具箱,包括零信任的安全沙箱、动态的存储隔离、流动数据的微隔离防护、敏感内容感知加密等等,借助分布式智能风险评估模型,可以很智能地实现基于用户角色和风险变化的自适应防护策略。能够根据个性化的用户情况实现自适应的精准防护,是数据运营安全的保障。

数安行零信任数据运营安全平台为什么不会影响业务的运行?

前面多次提到,数据运营安全理念坚持的是既要覆盖数据业务全流程,又与数据业务流程独立运行。不会阻碍业务施展的防护才是好防护,否则只会被关停弃用。这就不得不提数安行产品的安全切面逻辑。

在真实的数据运营环境中,涉及到数据、人、流程等要素,从业务的角度来看,有个人隐私信息、运维数据、商业机密等不同的数据,访问数据的是不同权限、不同身份角色的人员、接口和设备,环境中会进行数据收集、数据处理、数据分析、数据协作等多种操作流程。

对敏感数据资产从存储到流转、共享等各个环节进行映射,那安全防护会涉及到身份鉴别、环境感知、数据发现、行为检测、风险评估、标注跟踪、精准防护等等方面。数安行零信任数据运营安全平台这种基于安全切面的设计逻辑,可以完整、真实、实时地覆盖到业务的全流程,同时又与业务互不干扰、互不影响。

数安行是如何将数据运营安全与零信任进行有机整合的?

零信任的本质是“持续验证,永不信任”,对身份的验证和对环境以及用户的风险评估是零信任的基础,也是数据运营安全的基础之一,两者具备有机整合的底层逻辑基础。数安行对敏感数据内容及使用环境进行持续的检测分析,对于使用数据的主体用户也会进行身份角色验证和持续的风险评估,数安行零信任数据运营安全平台本身具有用户身份及授权设备的管理和双重验证能力。

有了对敏感数据和用户身份及风险的检测识别能力,我们就可以准确地识别内部的扩散风险和违规滥用风险。默认所有的人和环境都是不可信的,而且信任状态也是持续变化的,基于这种持续的、动态的风险评估,才能真正实现自适应的安全防护。

数安行在对重要业务的访问保护以及重要数据的隔离防护上都使用了零信任的安全架构,实现敏感数据的主客体准确识别及风险动态评估,以及对各种风险的及时响应处置。

数据运营安全与数据安全运营有什么区别?

因为名称相近,也因为后者更早出现,许多用户会认为数安行也是做数据安全运营的。

数据运营是对于数据从存储到流转及使用一系列复杂流程的总称,这其中除了人员,也涉及到多种多样的工具、接口、产品和系统的使用。为了防范数据安全风险,企业或多或少都部署了各种防护产品。随着系统与业务的扩大,防护产品也堆叠得越来越多。这过程中也产生了诸多的日志、预警等数据,安全运维人员需要关联不同产品的数据和日志来进行综合分析评估,以便做出更正确的响应决策。数据安全运营便是这样一套针对诸多安全产品的运维思路,通过科学的流程、人员、工具的配合,让运维人员更好地发现、掌握数据运营过程中的风险,做出更高效的安全处置。

数安行的未来愿景

数据一定是在流动中才能产生更多的价值,这不仅体现在我们所要保护的客户业务数据中,也体现在安全防护自身当中。因此数安行一直秉持着开放共享合作的心态,意在建立全场景数据运营安全生态。也基于此,产品平台在一开始的设计上就考虑了这种生态的建立,借助数安行零信任数据运营安全平台,可以对外输出敏感数据资产的识别及分类能力、敏感数据的全流程标注跟踪能力、扩散风险的态势感知报告、以及自适应工具箱的防护能力。

这样高价值的输出,既能和其他品类的安全产品和应用系统实现能力共享和扩展延伸,促进安全能力的有机快速流转;也能激活用户的存量系统和产品能力,重新赋能、发挥这些产品在数据运营中的防护效用。最终,建设真正实现数据运营安全的生态体系,为客户提供全场景的数据运营安全防护解决方案,让数据安全地创造价值。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章