下一代數據保護方案:DataSecOps數據運營安全
2020年4月9日,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》對外公布,數據作為一種新型生產要素寫入文件中,與土地、勞動力、資本、技術等傳統要素并列為要素之一。
2021年3月12日,《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》正式發布,綱要中強調“加快數字化發展 建設數字中國 ”,隨后我國進入數字化發展快車道,數字化轉型已經成為各個行業都在加速發展的重要進程。
雖受新冠肺炎疫情影響,我國數字化轉型增長有所放緩,但部分地區仍保持數字經濟核心產業9%、整體數字經濟40%比重的GDP占比高增長。據預測,到2022年,我國65%的GDP將由數字化推動,經濟將走上深度數字化之路。數字化轉型的核心除了發展新技術與新應用,對數據進行有效保護將作為發展的基礎支撐,其重要性不言而喻。本文提出了結合人工智能,通過數據運營安全(DataSecOps)的數據保護思路與實踐,將更加適合數字化轉型下的數據保護工作有效落實。
數據保護面臨挑戰
1)數據增長快 傳統邊界消失
數字化轉型下全球數字經濟正在高速發展,相關報告稱,2020年全球創造了59ZB的數據(1ZB=1萬億GB);2025年,全球新產生數據量將高達180ZB,數據將無處不在。如今,擁有PB(1PB=1024TB、1TB=1024GB)級數據存儲量的企業已經很常見,很多數據經常被復制、共享和存儲在多個資源庫中。隨著數據價值的增加,對數據的保護需求也在增加。
與此同時,數字化轉型促使企業基礎網絡架構和業務系統正在發生重要轉變,云計算、大數據、移動互聯網、物聯網、5G等技術廣泛應用到企業信息化建設和業務發展中,傳統基于邊界的網絡安全防護手段已經無法對目前愈發復雜的網絡環境提供全面保護,企業很難像過去一樣快速找到一條明確的網絡邊界,對于時時處于流通中的數據提供防護,企業數據面臨的安全挑戰也愈發嚴峻。
2)數據保護立法合規要求
《網絡安全法》的實施,以及等保2.0 時代的到來,明確了社會各個主體的網絡安全責任和義務。《數據安全法》、《個人信息保護法》也在今年陸續出臺,加之先前的《網絡安全審查辦法》以及最近推出的《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例(征求意見稿)》,以及各行業部門的規范、標準,進一步明確了企業在數據安全保護方面的責任和義務。
3)數據本體特征沖擊現有數據保護技術
現有的數據保護方式,主要存在以下問題:
①,主要解決數據在單個域內的安全,沒有對不同域之間的數據流動進行保護。而數據只有流動起來,才能得到價值最大化。尤其是在大數據時代,數據孤島被打破,企業業務線條復雜化,數據既可能在特定的業務服務流程中使用,也可能在不同的業務之間流動使用。在數據流動中保護個人信息,是個人信息保護的重點;
②,集中解決數據單個時期的安全問題,比如數據靜態存儲安全,或者監控數據檢索、查詢;保護了前端數據的存儲、使用安全,但對前后端整個運維過程缺乏監管;
③,重在保護結構化數據,在處理非結構化數據方面存在空缺。
為保障數據安全合規,企業不得不部署大量的安全產品,如數據庫審計、數據庫防火墻、堡壘機等等,但這種以傳統防護理念卻忽視了數據本體根本特征,即數據只有在流通過程中才能創造價值。傳統的安全理念或安全產品多解決的是邊界防護,解決的是數據靜態的安全問題,基于業務運營的數據安全問題則是動態的,需要解決的是數據流通過程中的安全問題。
根據前不久知名調研機構威瑞森發布的《2021年數據泄露調查報告》顯示,85%的數據泄露涉及人的因素,即來自系統內部的人為疏忽依然是最大泄露威脅。從中不難看出,僅僅部署硬件邊界防護產品不足以根本解決數據保護問題,基于業務運營中的數據全生命周期防護,將視為未來數據防護工作重點,而對應的安全產品或服務則需要從理念和安全架構上進行變革和革新。
下一代數據保護技術方案實現
《數據安全法》第二十七條明確表示:“開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。”縱觀國家及各行業的法律法規可以看到,數據處理活動共包含對數據的收集、傳輸、存儲、使用、共享、銷毀等,可見對數據基于業務流轉過程的全生命周期保護,是數據保護的關鍵。
數安行率先于行業內提出的數據運營安全(DataSecOps)的數據保護思路,強調數據全生命周期流轉運營過程中的內嵌安全屬性,將敏感數據在基于業務的流動各環節和狀態下的安全風險動態統一把控,將數據安全防護策略傳遞至參與數據運營的所有人員,以零信任技術為安全架構的DataSecOps,解決了人、環境的“持續驗證、永不信任”,保證了數據運營過程中對于個人隱私、商業數據、政務信息、敏感數據的合規使用以及自適應的防護。
基于人工智能技術的應用,數安行零信任DataSecOps可以對數據進行深度的識別,包括全類型、多源頭,以及結構化數據、非結構化數據,甚至是暗數據,讓企業海量數據不落死角清晰呈現,為業務運營與數據保護提供抓手支撐。對于個人隱私、商業數據、政務數據的本體特征、行業特征、合規特征等不同的角度,零信任DataSecOps將以數據為核心的主視角挖掘各種風險,通過系統內置的上千個數據分類模型及萬種文件類型識別能力,快速建立敏感數據知識圖譜,并支持文件內容、個人信息以及數據血親關系的多維度快速檢索,輔助企業對數據進行詳細梳理和分類研判,為安全合規與有效保護之間達成高度平衡。
要解決數據在流通過程中的安全風險,就要摸清企業面臨的數據安全風險都在哪里,零信任DataSecOps以數據為中心,向頻繁接受數據的業務和用戶靠近,數據運營過程中的數據進行自動的梳理,全流程跟蹤數據的形態變化和運行軌跡,持續評估數據在業務系統、計算終端、服務器接口等處的運行風險。基于風險評估結果,對不同的數據角色和風險接受程度進行自適應的細力度的防護策略。
下一代數據安全產品要在數據保護基礎上為企業提供符合業務需要的運營價值。基于不同的風險和業務場景,零信任DataSecOps采用自適應的防護措施,比如內嵌的數據沙盒、數據隔離、微加密等不同的技術手段,對敏感數據的資產進行自動識別,通過以資產為核心、以數據為中心進行系細粒度的訪問控制和防護體系的建設,實現基于業務的數據利用和數據安全的有效平衡。
基于以上數據深度識別建立起的數據分級分類和數據全流程追蹤防護能力,零信任DataSecOps為用戶建立的是數據安全風險態勢感知能力,最終,這種新理念的安全產品將服務于企業的數據使用和數據運營,且建立在企業對經營數據及客戶信息按照重要性和敏感性進行全面分類分級的基礎上,保障了企業的核心機密與用戶隱私數據保護的內生需求和安全合規要求。
應用數安行零信任DataSecOps無需企業對現有業務及網絡做出任何改造,無需花費大量的系統改造成本,更無需犧牲業務構筑安全。同時數安行零信任DataSecOps應用了大量自主專利技術,并通過了信創兼容性測試,其嚴格的安全標準滿足全行業實戰部署要求,目前該方案已服務于大量的政府、軍工、金融、運營商、互聯網、教育、高端制造等各行業客戶。
結語
數字化轉型作為經濟增長的新方向,亟需利用新技術建立新產品、新業務模式和新的合作關系,從而增加商品&服務價值和競爭優勢。幾乎所有行業都有數字化轉型的需求,數字化轉型越早、轉型越徹底的企業,將在現在和未來建立優勢領導者地位。數據保護隨著時代的發展,保護訴求也會發生新的變化,新技術的大量應用將令數據安全風險散落于各處。基于數據運營安全(DataSecOps)的數據保護方案,遵循數據保護的內生需求及合規要求,貼合數據運營又輔助數據安全運營,是當前階段適應數據保護具有高價值的有效方案。
