當前位置:首頁 > 科技百咖 >

華途少帥謝永勝眼中的數據安全治理

公布时间:2019-08-08 17:22:33 來源:中國軟件網 作者:張小蔥
[摘要]專注于數據安全並不容易。這種壓力或許並不來源于技術上的突破或者産品的更叠,而是來源于生存的壓力。
專注于數據安全並不容易。這種壓力或許並不來源于技術上的突破或者産品的更叠,而是來源于生存的壓力。相對于傳統網絡層防護産品,數據安全的市場並不是很大,而且加密就已經占據了很大一部门。不管怎麽樣,頂得住生存的壓力,忍得住數據安全的“寂寞”,這樣的公司就可以稱之爲優秀。隨著《網絡安全法》、《數據安全治理辦法征求意見稿》的相繼發布,在數據安全這條路上跋涉了十二年的華途,眼看著風口越來越近。


(華途董事長謝永勝)

第二屆數據安全峰會上,華途董事長謝永勝提出了他眼中數據安全治理中的最關鍵的幾個環節,包罗數據風險識別、數據資産發現、數據內容的機器學習與自動識別、敏感數據的訪問與權限利用、數據流轉的審計與分發管控以及行業的定制化開發這六點。

定制化開發比較容易理解,做企業級業務都會有這一步,談一談對其他五點的看法。

1、大數據時代數據自己發生了幾個非常明顯的變化:

第一,由小變大。大量的應用場景、大量的客戶以及合作夥伴都被連接起來,這個數據量的增長遠超人們的想象。甚至以前我們想都沒想到過的數據好比鼠標點擊頻率等,都可能成爲輔助決策的關鍵。

第二,由靜變動。數據的計算、流轉、分發與交易是大數據時代最明顯的一個特征,有人說靜止的數據是負債,不僅不能産生價值還要耗費大量人力物力去保護它;流轉的數據才是資産,能給企業帶來源源不斷的收益。

第三,由簡單變複雜。互聯網的發展尤其是電商網絡、社交網絡、IoT、工業互聯網的崛起,大量的音頻、圖像以及視頻等非結構化數據湧入到了企業的視野中來。

數據量的增大、場景的增多,使得數據的存儲方式、計算方式以及交易方式發生了巨大的變化。數據可能存儲在当地的服務器,可能存儲在差异的公有雲,會涉及到各種各樣的社交、電商、物流應用以及各種數據庫,企業可能根本就不知道我有哪些數據、我的數據都在哪裏。搞清楚有哪些數據以及數據在哪裏,是做數據安全的前提。所以,謝永勝把數據資産發現放在了一個很重要的位置上,我非常贊同。

更進一步,爲了提升數據識別的自動化水平,謝永勝也提出了利用機器學習技術做內容識別。信息化建設的觸及階段,企業的核心數據大部门都是各類文檔,但是現在大量的非結構化數據湧入進來,給數據的分級分類工作帶來了很大的挑戰。從國內市場上來看,基于機器學習,把內容安全技術應用于DLP中,是各人通常的做法,其目的就在于可以實現敏感數據的分級保護、權限利用、安全審計等等多項工作。

2、數據的變化帶動了數據安全風險的變化,這個風險可以來自企業外部也可以來自企業內部;可以是技術上的,也可以是治理上的。

在過去ICT基礎設施還比較落後的時候,數據的價值很難體現在企業的日常運營過程中。所以過去我們保護數據的方法就是利用加密機把重要文檔加密存放起來,或者利用DLP配置一些規則,來阻止重要文檔的泄露。那個時候,企業其實很少考慮到風險識別的問題。

但後來伴隨著軟硬件技術的發展,我們引入了IaaS、引入了各類雲存儲、Hadoop或者Spark大數據集群、各類開源數據庫等等,就是希望能利用這些工具,充实挖掘數據的價值。如前文所說,大數據時代最重要的一個變化是數據的流動,數據不僅僅會從一個部門流動到另外一個部門,還會從一家企業流動到另外一家企業,甚至還會涉及到數據跨境。這其中的風險將會比過去多得多。並且,這些新技術的引入肯定帶來新的漏洞和新的攻擊方法。所以,謝永勝將風險識別放在了第一位,足以說明風險識別的重要水平。


(2019 第二届数据安全峰会)


舉幾個比較火的例子。

第一,勒索病毒。勒索病毒可以簡單理解成爲一種可以快速自我複制的加密軟件,但它絕對可以算的上是加密的“克星”。因爲企業一旦感染,加密是沒有用的,勒索軟件可以對文檔進行二次加密。企業如果沒有做好相應的異地容災,那基本上只能祈禱對方在收到贖金之後能信守承諾了。在永恒之藍事件中,開放445端口就是一種風險,沒及時安裝微軟推送的補丁,也是一種風險。

第二,APT攻擊。當黑客利用魚叉郵件或者其他社會工程學的方法,乐成入侵到企業內網並且利用了大量的特權賬號,那基本意味著企業內部的數據全部袒露在了黑客的眼前。今年,特權賬號的治理也上了Gartner的十大安全項目。

第三,來自企業內部和供應鏈企業的風險。實際上這一點是最容易被忽視的。員工利用既定權限非法訪問數據所帶來的風險,絲毫不亞于黑客攻擊。企業必須要知道正在訪問敏感數據的人是誰,你對數據都做了什麽。

3、前兩個例子是屬于外部的攻擊。當然不論是什麽類型的攻擊,都要利用到技術自己的漏洞。嚴格而言,漏洞的治理和網絡層、應用層的攻防並不屬于數據安全的範疇,但它卻給數據安全帶來了嚴重的威脅。

第三個例子主要說的是企業的內部風險。風險有很多種,好比員工通常都是在企業內網訪問數據,突然他的IP出現在了一個未知區域,或者該員工希望將數據下載到当地。出現這種情況,就有可能是該員工的賬戶被黑客入侵,也有可能是外部人員收買了該員工。

應付這種情況通常的做法是引入動態的訪問利用來取代過去的靜態口令,用比較時髦的說法就是零信任身份安全。其原理是系統通過行爲識別技術來監測訪問行爲,一旦監測到異常訪問,即通過多因子認證等方式來驗證訪問者的身份,並且需要對該用戶的訪問行爲進行審計。2017年RSAC創新沙盒冠軍得主UnifyID就是身份安全的典型代表企業。

當然,來自供應鏈的風險同樣難以防範。除了針對供應商的權限治理以及訪問利用外,還會涉及到數據流轉過程中的脫敏、審計以及分發管控等等。

所以謝永勝就強調了解決數據安全問題,應該是網絡安全和數據安全共同融合,底層要解決外部的攻擊風險,做好網絡層與應用層的檢測與相應,另一方面要通過准入、訪問權限利用以及數據庫加密、數據庫脫敏,包罗向數據庫、防火牆、數據庫審計、流量治理和網絡傳輸的安全,解決數據自己的安全。

最終,謝永勝是希望能夠做到數據安全的態勢感知,實現數據資産發現、風險識別、威脅防護以及追蹤溯源的閉環。

4、最後說一句。數據治理不僅僅是技術層面和治理層面的事情,還需要政策和法規方面的支持。美國的的cloud法案給了美國人在數據方面的“長臂管轄權”,GDPR規定了所有在歐盟開展生意的企業都要遵守這個規定。

目前,中國還沒有類似的法案。如謝永勝所說,作爲數據安全的服務者和從業者來講,我們希望國家要加快推動數據安全相關法律和標准的推出,讓企業有體系化的思路、思維解決數據安全問題。

 

【返回首頁】