进入数字化时代以来,数据的安全问题引发企业和社会决策思考。无论是数据和资产交易市场的形成,还是勒索病毒的演进,都在证明数据面临的风险越来越大。10月17日,在2021天府杯国际网络安全大赛暨国际网络安全高峰论坛-大数据安全治理论坛上,应邀出席的北京数安行科技创始人王文宇发表了《数据安全处理和流转的挑战和实践》,参与探讨数据安全治理。
王文宇(图中)应邀出席TFC2021
王文宇是一位有着近20年从业经验的安全老兵,更可以说是中国第一代数据安全专业从业人士。在他眼中,数据安全问题一直存在,只是大家理解不同,造成数据安全自身的定义存在差异化,但直到最近两年,在时代机遇下迸发出前所未有的火热,那就是数字时代的来临,以及政府层面的法规推动。
传统数据孤岛管控 与数字时代流通性相矛盾
王文宇于TFC2021发表演讲
演讲中王文宇表示,过去谈及数据安全更多的会看到两点,一个是存储,另一个是链路。这些都源于传统网络安全概念里基于点\域的防护理念。比如存储侧会采用一些像加密、灾备等方式来解决数据安全问题;链路侧采用像VPN、密码机、加密机等方式来解决数据安全问题。整体而言,过去的做法是以数据孤岛为核心、对数据本身进行严管控的解决思路。
而数字时代,数据已经成为生产要素,只有处于流动中的数据才能创造价值,它的流动性是第一价值诉求。把数据锁起来肯定不成,但是数据真的可以自由的流动吗?问题就在于数字时代数据就要自由流动,涉及数据运营提升效率、开放共享提升价值等必要性。所以在王文宇眼中,再用过去的安全思路应对数字时代下的数据安全问题,一定程度上就会有矛盾。所以,以不影响业务正常运行为前提,针对处于流转中的数据提供保护的思路应运而来。
直面数字时代数据安全处理与流转挑战
数字时代,数据从存储,到使用,到共享等等环节,风险链路无处不在,在这个过程中主要面临的问题是什么?王文宇表示,数字时代数据必然要流动起来,而由此带来的数据风险敞口的不断扩大,是目前数据处理安全防护最大痛点之一。
王文宇在演讲中进一步指出,当前环境下企业的主要数据风险敞口表现如下:
1、违规采集风险;
安全团队与业务团队很难达到高度协同,过量采集或违规采集会时有发生。
2、外部共享风险;
数据驱动业务运营,势必涉及数据共享交换,甚至需要跟合作伙伴、分支机构之间进行数据共享。什么样的数据可以共享外流,对操作人员及环境是否有安全监控,应遵循什么样的策略?
3、内部运行风险;
人是安全事件发生的最大因素之一,甚至是合法用户的无意操作也可能产生安全风险,伴随着业务的复杂性及运行环境的多变,来自内部的运行风险将承载更大的安全事件占比。
王文宇表示,数据在不断的流动,如何实现全网各环节流动数据的监测,降低风险敞口,并与业务系统、人员参与运营的操作之间达成平衡,其实是一个非常复杂的事儿,一定程度上有点像在蛋壳上跳舞。
与此同时,数据保护另外一个棘手的问题是为流动中的数据提供有效保护,而做好这一项工作,先要尽可能的发现数据,建立重要数据资产目录清单,才能不留防护死角。再为处于不同位置的数据提供技术保障,如服务器端、终端等处,甚至是零散的、不经常被业务系统访问的位置。
数据运营安全(DataSecOps),助力数字化转型
进入数字时代,企业在数字化转型过程中,业务驱动会产生大量数据,加上企业过去积累的历史数据重新流动,如何保证潜在的风险不会发生?这就要求数据保护工作过程中,需要做各种各样探索和关联,包括对服务器端、网络流量、基于协议的、基于API的、包括端点一侧的,通过完整的数据处理分析过程,形成一个完整的数据处理和使用过程的一个流图,才能发现潜在风险。
为了做好这件事,王文宇认为首先要建立一个良好的基础,即做好数据分类分级工作。数安行目前通过积累的上千个数据分类分级模型,实现了AI自动化梳理来解决数据分类分级。一方面,数据分类分级是合规刚需,另一方面,分类分级将辅助企业建立重要数据资产目录清单,同时有利于相对应的动态防护体系的建立。
通过自动化梳理数据还能解决一个更加棘手的问题,就是对暗数据的发现,从基础上才能不留数据防护死角。
建立完数据分类分级,接下来就要在数据流动的过程中实现自动化风险监测。通过数据运营安全平台(数安行零信任DataSecOps),为基于业务流转的数据的每个环节都嵌入数据安全监控点,解决风险敞口问题。基于数据运营安全DataSecOps理念,对于数据处理人员、处理环境、处理过程等等,实现全流程的持续风险监测评估和组合式的自适应风险管理。对于核心敏感数据,实行从服务端到终端的全流程数据安全沙箱防护,保证数据可用不可见,能用不能动。
最终形成的是,一个平台内,既可通过分类分级数据梳理合规刚需,又能实现企业的敏感数据保护。
王文宇于TFC2021发表演讲
对于数据安全的未来,王文宇认为,数据安全问题是一个综合性的科学问题,以前的数据安全更多的是防泄露,现在对于企业来讲更现实的是做好监管合规,同时在数据安全的基础上保证生产经营效率。一个平台同时能解决这两件事件,将是数据安全从业人员思考的方向,和数据安全产品的落地方向。
做好数据安全是无止境的,因为数据安全跟业务高度关联,而业务又受技术的冲击不断产生新的变化,王文宇在演讲最后表达了他的这一理解。这就要求数据安全要不断加强与业务之间的关联性,让处于不同业务之间的数据流动始终处于安全状态,这也是数安行团队不断努力的方向。
