杨明非,北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监。华东理工大学EMBA,在内容安全、数据安全及应用安全和应用交付等领域有超过15年的从业经验。担任中国信息协会信息安全专业委员会数据安全组长单位技术负责人、中关村可信计算产业联盟专家委员会专家委员、中国网络空间安全协会数据安全工作组成员、中国网络安全产业联盟技术专家库专家及专家委员、健康医疗信创与大数据分会专家成员。杨明非参与过金融、制造业、高科技、物流等领域的多家大型企业的数据安全体系建设;深度参与人民银行等多个金融数据安全的行业规范制定和全国30多家银行的双活数据中心建设及网上银行安全体系建设。
当前,以数字科技为代表的新一轮科技革命和产业变革方兴未艾,云计算、物联网、区块链、大数据等新兴技术日益兴盛,数据作为新的生产要素和生产资料,其地位和重要性日益凸显。然而,数据在扮演着重要角色的同时,也面临着重大的泄露风险与危机。
因此,依据数据安全法律法规,制定数据安全管理制度,建立数据安全管理体系,已成为数字经济建设的必经之路。这需要企业以数据为中心,构建全方位的数据安全治理体系。在确保数据完整性、机密性、可用性的基础上,要保证数据在采集、传输、存储、使用、共享、销毁过程中的合规合法,促进数据的增值和流转,助力企业实现数据全生命周期的安全治理及防护。
天空卫士基于Gartner DSG框架,以合规要求为前提,在国内率先提出以“人”为中心的数据安全治理体系,通过平衡业务需求与风险,从资源发现到数据分类分级,再到数据安全策略的配置和执行,全方位地覆盖数据安全治理周期的所有环节,从技术到产品、从策略到管理,提供完整的产品与服务支撑。
近日,北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监杨明非,围绕数据安全的现状与挑战、数据安全治理架构体系、用户在数据安全治理方面的产品选型和能力评估等方面,与记者展开深入沟通和交流,相关问题和回答展示如下,以飨读者。
本刊记者:请您谈谈,近几年数据安全行业的发展变化。
杨明非:从理论体系来讲,数据安全治理与防护都是保护数据的安全。一般来讲,数据安全主要专注于以数据为中心的保护方式和手段。
《中华人民共和国网络安全法》颁布之前,数据安全行业可以说处在“黑暗期”。所谓的“黑暗期”,是指企业对数据安全的防护都是基于业务而自发进行,主要围绕知识产权的保护,比如对源代码、设计图纸等方面的保护。对金融业而言,虽然有些受行业条例限制,但并没有相关的法律法规进行硬性规定和约束。总的来说,数据安全事故发生后,企业不会受到法律法规等相关处罚。因此,在这段时间企业数据安全的保护大部分是在低优先级的情况下进行。
《中华人民共和国网络安全法》颁布之后,数据安全成为网络安全领域绕不开的话题,也重点规范了数据安全防护工作。作为我国网络安全领域第一部基础性法律,《中华人民共和国网络安全法》对我国网络安全保障工作作出了系统规定,也对数据安全提出了新规定和新要求,特别是涉及数据安全的个人信息保护、跨境数据传输评估、网络安全等级保护等方面。此时,数据安全行业处在高速增长期,开启了信息安全企业与网络运行者、网络监管者等多方群体密切协作的崭新局面。
随着互联网行业专项整治行动的开展,受“滴滴事件”等相关事件的发酵和影响,数据安全行业越发受到社会广泛关注,也不断进入大众的视线,引起了国家的关注和重视。2021年,随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的相继出台,更将数据安全领域的关注度和重视度推到新的高度。事实上,这两部法律从提案、公开征求意见到正式发布实施,周期很短,数据安全领域的重要程度越来越凸显。另外,在数字经济及数字化转型的背景下,伴随大数据时代的来临,自动驾驶、人工智能、人脸识别的不断升级,数据已经成为重要的生产要素,数据创新、数据驱动业务发展的模式逐步成为主流,而此时的数据安全的特点与传统的又有很大不同,未来将有广阔的发展空间。
本刊记者:数字化转型给企业带来了哪些变化,同时,在安全方面又面临哪些挑战?
杨明非 :目前,数字化转型已经逐步成为企业现代化的标志。从数据资产的角度来讲,数字化转型带来的最大变化是让企业过去被忽略的、没有利用的数据都变成了数据资产。通过对数据进行采集、细化,分别从客户的偏好、喜欢的程度或者人群、年龄等多方面进行整理、分析和研究,从而推动企业在业务、产品设计等方面的进步。
同时,这也让数据安全面临着重大挑战。一是云计算、大数据的应用导致企业 IT 失去可视化。在数字化转型中,云计算被大量使用于实现弹性的IT架构,基础设施即服务(Infrastructure as a Service,IaaS)、软件即服务(Software-as a-Service,SaaS)等模型大使用后,使 IT 架构可视化程度大大降低。很多企业都不知道在什么位置存放什么样的数据。二是互联网及移动互联网的发展与广泛应用导致的企业安全边界消失。数据分布在云、数据中心、终端、移动设备等各个位置,传统的基于防火墙、入侵防御系统(Intrusion Prevention System,IPS)构建的企业安全边界失效,更多企业员工、外包、第三方的数据来自互联网,很难进行有效的数据保护。当企业安全的边界消失的时候,数据安全隐患随之分散。三是数据资产安全考虑不足。多数企业关注业务支撑系统的建设,没有意识到数据资产已经分布到无边界网络中。传统的IT系统安全建设主要考虑的是以网络和威胁为主,缺乏原生的数据安全手段对数字化转型带来的海量数据资产进行保护。
这些都是企业在当前的网络安全法、数据安全法、个人信息保护法等法律法规的合规要求和自身的知识产权保护等需求下的压力点,一方面,企业需要积极进行数字化转型来推动业务的发展;另一方面,需要对数据安全重新进行思考和布局来为数字化转型保驾护航。
本刊记者:在数字化背景下,企业如何构建科学合理的数据安全架构体系?
杨明非 :构建数据安全架构的前提是一定要搞清楚需要解决的问题是什么。以前谈数据安全体系,很多时候只是在谈一个技术性的解决方案,比如病毒查杀,主要是在技术层面的处理,对带毒的电脑、文件等进行查杀工作,也是属于数据安全相关技术的一种。但考虑如今的数据安全,特别是按照分级分类筛选出企业数据资产的安全建设时,数据安全架构体系的建立更多的是与业务强关联,解决的是一个业务性问题。比如,对制造业而言,数据安全架构体系的建立主要围绕企业对设计开发、制图等核心业务展开;对面向消费者的互联网企业而言,数据安全架构体系的建设主要关注的是用户个人隐私保护、研发源代码等方面。
这与传统IT的安全体系有很大的不同,数据安全的体系和业务紧密结合,这和数字化转型所带来的变化是一致的。具体而言,数据安全体系与业务的安全或者对业务的支撑应该是相辅相成的关系,而不是单方向命令式的关系。技术达不到的管理来补,管理达不到的用技术去填。特别是企业中负责数据安全的部门或小组,一定要和整个企业中的高层及业务部门有非常大的关联,如风控、业务、营销、生产研发等。这就需要高层的领导有足够的认识再进行下一步动作,以取得比较好的效果。如果我们把数据安全当成是单一的IT项目去做,那么基本上是在做无用功,因为它实际上不能应用。
如今,我们再去看新的安全模型,是以“人”与“数据/行为”为中心提出的,围绕数据资产为核心,从行为的可视化到数据存储、使用和传输的可视化,再到最后形成数据安全整体规划。我们并不是完全抛弃了过去的安全防护体系,只是通过数据资产安全的角度重新分析在企业安全体系中是否对数据安全有完善的支撑。我们关注于持续性的行为解析,因为所有的安全事件都是由人来驱动的。
为什么要做成持续性的?因为在过去的安全体系里很多都是一次性策略检查模式,如同进城,所有的安全策略关键在城门,但只要敌人通过城门进入了城内,或者城门内本身就有内鬼,安全就很难得到保障。因此,我们要以数据资产为核心,对人们、对数据资产的操作做持续行为的监控,对于城内的人和事,我们会持续地监控其行为及敏感数据的存储、使用和传输,从而发现其中的异常。这样就形成一整套动态风险管控的安全体系,才能符合数字化转型的业务需求,在安全管控和业务发展之间找到平衡点。
本刊记者:对用户在数据安全治理方面的产品选型和能力评估,您有什么建议?
杨明非 :首先,企业在进行数据安全治理时,切忌过分依赖某一种技术或产品,因为目前数据安全治理的复杂度已远远超出了依赖单一技术或产品的覆盖范围,需要以体系化的思维和方法解决数据安全问题。其次,需要重视数据分级分类工作,也就是要清楚到底要保护什么,需要重点保护哪些重要数据,而不是对所有的数据一视同仁,采取同样的手段和方式进行保护。否则,在进行数据安全治理时,很容易无的放矢,效果上也会事与愿违。明确以上两个重点问题,我们从业务战略与合规的要求入手时,对数据集进行分类分级,区分出敏感数据和数据资产。然后按照数据的存储、使用和传输的情况制定整体的数据安全策略,策略可以通过对数据在哪里、如何被使用、被哪些人使用、如何被传输、如何被分析,需要进行审计、可视化或者保护等方面去定义。同时,定义相关的人员组织和规章制度,再根据需求选用相应的数据安全的产品和技术,比如哪些数据要用标签实现可视化,什么地方要用数据库审计或数据库防火墙的保护。最后,通过不同产品的组合,从上至下,从企业的整个业务框架到IT构架,实现为整个数据资产安全性的体系编排统一的策略。
这样一套流程下来,我们是按照一个数据安全治理的框架来进行企业的数据安全保护工作,而不是单纯地从技术的角度出发去看数据安全。对企业的 IT 部门来说,可能更多关注的是在技术体系上的影响,比如技术环境、业务分布等。但在讨论数据安全和数据资产安全的时候,我们要看其他很多与业务、合规等相关的概念和维度,以人在整个数据处理过程中的行为为尺度,才能知道如何去保护数据。需要强调的是,技术应该作为制度体系执行的支撑,而不是作为主导手段。
此外,天空卫士还总结了3点在数据安全治理体系建设中的经验,可以给企业用户提供参考。一是需要清晰了解与评估目前企业数据安全建设所处阶段,不同的企业在IT框架建设成熟度、组织架构与制度管理的成熟度、业务发展的成熟度等方面都有所不同,对于和业务紧密相关的数据安全体系建设,需要准确评估企业当前的阶段,再进行相应的建设工作。切勿完全照搬其他企业的经验。二是数据分级分类任务容易建立“过大”的目标而导致难以达到理想成效。可优先通过识别核心业务、关键数据资产与暴露面,采用“技术工具+咨询流程”分解实现;数据集规模、形态与企业的业务发展息息相关,应建立阶段性目标与动态适应的数据分级分类体系;不是所有数据都需要保护,应该识别关键数据资产并平衡业务战略目标。三是数据安全必须从企业的整体架构上统一设计,这个过程可能需要打破在传统企业IT组织架构中的不同部门分而治之的组织结构,采用统一的规划进行建设,而不是对每个单点进行独立设计。
本刊记者:针对人和数据的实时防护,天空卫士打造了怎样的产品和方案?
杨明非 :当前,多数企业正处于数字化转型的过程中,会产生大量的数据资产,而这些数据资产随时面临着各种威胁。企业重要数据的泄露来源主要有三种:内部违规人员导致的外泄、内部恶意人员导致的外泄以及内部人员电脑/系统被入侵后导致的外泄。所有的安全事件都是由人引发的,其目标也都是企业的数据资产。
目前,网络安全技术正面临着一个转折点,基于边界的安全模型不再成立,基于规则的判别机制不再有效,围绕传统技术的安全工程也不再适用。未来的安全不能再像“进城”一样,只针对网络和威胁进行防护,而是需要一个自适应的安全体系,通过对人和数据的关注,持续、实时地进行分析,实现内部威胁主动防护。天空卫士ITP解决方案正是通过对行为和数据内容的分析,实现了以人为中心的数据安全体系建设。
技术在飞速发展,围绕企业在数据安全治理过程中的难点与痛点,天空卫士从大型用户的实际需求出发,按照最大程度实现自动化(Automatic Where Possible,AWP)的原则,倾力打造了覆盖企业从数字化职场到远程办公,从传统数据中心到IaaS、SaaS的云环境的全套数据安全治理自动化支撑技术平台。在这个平台上,企业可以以最小的人力资源投入,在充分利用人工智能、机器学习等手段的基础上,尽可能地将重复的、复杂的工作交由平台处理。首先,从数据资源发现与管理开始,对静态和动态的数据进行发现、分析。通过自动化分类聚类和自动化标签技术,对数据进行初加工处理。其次,再通过辅助人工制定数据的分类分级对象,并根据数据的使用人员角色、数据存储的位置、传输方向等制定相应的数据安全策略。最后,将策略下发到位于数据中心的数据分级分类应用程序编程接口(Application Programming Interface,API)服务,或者是位于办公职场的邮件网关、互联网访问网关、终端或者移动终端上,对数据在企业中的存储、使用和传输情况进行分析。此外,通过对人员的持续性分析,获得所有人员、实体设备的行为数据,实现对人员、设备与数据进行全面、持续的风险与信任的评估,发现其中潜在的风险,及时进行告警或者控制,最终保护企业对数据资产的安全使用,保障企业数字化转型的进程。
来源: 信息安全与通信保密杂志社
