访谈嘉宾:孙铮
记者:张安媛
分析师:王剑桥
数据安全治理是企业安全管理的重要组成也是管理难点之一,对于企业级别用户而言,尤其是大型企业,因其内部数据类别多、分布广的特点,所引发出的数据管理权限分配不合理、隐藏数据难挖掘、云上等新兴大数据可视化管理困难等一系列问题亟需解决,但因面临的问题繁杂,很多企业并没有一个清晰的数据安全治理思路。
《数据安全法》的出台为企业数据安全治理在合规层面提供了一个有力的方向指导,同时也让企业能从更深的角度来思考数据安全治理这件事:数据安全治理做到合规真的就够了吗?安全漏洞为什么“层出不穷”?部署了安全防护产品后就可以彻底无忧了吗?如果答案是否,又该怎么解决?尤其对于业务上云的企业来说,云上数据治理的难点该如何解决?围绕以上问题,本期牛人访谈我们邀请到了安华金和产品总监孙铮,针对数据安全治理的难点、技术挑战和未来发展前景进行了讨论,以下是访谈内容:
受访人简介:
孙铮,安华金和产品总监,业务产线负责人,国家网络安全联盟智慧城市云安全标准编写委员会成员。曾参与公安部信息安全等级保护评估中心、国家开放大学数据库基础及安全防护课程和教材编写,对国内外的数据安全法律、法规,产品技术与行业发展具有深入的研究。
10余年的数据安全领域研发和产品管理经验,历经公安部三所、中国人民解放军信息安全测评认证中心等数据安全项目,为众多的政府、金融、能源等用户提供专业的数据安全咨询及数据安全治理等服务。
安全牛:您认为对于企业用户来说,数据安全治理最大的难点是什么?为什么很多企业在部署了数据安全防护产品之后还会存在安全漏洞?
孙铮:数据安全治理的发展可以说是有些年了,但实际上,在《数据安全法》等相关的法规政策出台之前,很多企业用户都没有将数据安全管理当做企业安全管理的重点,结合我个人从业经验,我认为数据安全治理的难点主要有几个:
第一是上述提到的,安全建设发展很多年,但数据安全确是刚刚起步,造成企业对数据安全重要性的认知不足;但随着行业的不断发展,现在已经逐渐改善。
第二是管理思路上的问题。很多企业在进行数据安全治理时,注意力更多的集中在对外管理上,造成了“对外铁桶一块,对内千疮百孔”。数据安全管理要解决的最突出的问题之一就是敏感数据的泄露,但造成数据泄露的原因很多情况下都是由于企业内部人员导致的。比如,企业内部人员权限过高导致违规访问、内部人员绕开企业内容安全管控建设,直接登录系统进而窃取信息等。对企业员工内控的忽视是造成安全风险的重要原因。
第三是企业的数据库本身存在安全隐患。一般来说,很多企业的数据库系统都会提供一些安全防护策略,这导致企业本身过度信赖数据库的安全防护能力,而忽略掉它的安全漏洞,同时这些漏洞也可能是造成员工过度访问的原因之一。
除此之外,企业在进行数据安全治理建设时还面临两个困扰。首先,很多企业在进行数据安全防护之前完全不清楚自身面临着哪些安全威胁,更有甚者不清楚自身有哪些数据库、敏感数据存于何处、敏感数据的体量有多大、哪些员工拥有这些敏感数据的访问和使用权限等。例如,某些企业会在仿真环境下的数据库内进行产品开发测试,而后再将“成品”挪至实际生产环境中进行测试、上线。但这个仿真环境下的测试数据库可能就被遗忘了,这就是企业自身不知道的“灰色”数据之一。
其次,企业在建立安全体系之后,很难实现持续性地安全防护,并进行常态化管理。很多企业在部署了安全厂商的安全设备和安全体系后,对于后续新增日常攻击事件的梳理、日常攻击行为的响应工作并没有持续关注和妥善处理,虎头蛇尾。
针对上述问题,解决方案就是,首先要根据企业的实际情况进行资产梳理,比如一些重要但无人使用的僵尸资产或灰色资产,在评估之后可以判断是否需要关闭;而需要频繁使用的数据库可以采取相应的安全运维手段,如:动态脱敏或遮蔽等。资产梳理后能够掌握企业用户数据资产的整体状况,在此基础上即可建立一套相对合理、完善的解决方案。当然,对于客户来说,企业在部署了安全防护体系之后不能做甩手掌柜,而是要成立相关安全运维部门,让数据安全管理成为一个常态化的工作。这个事情也相对复杂,企业可以找专业的数据安全公司协助进行建设。
安全牛:传统的一些数据安全防护手段如“数据防泄露、数据脱敏”等已经发展的十分成熟,随着行业的变化发展,您认为这些防护技术未来会延伸出哪些新的发展特点?
孙铮:新的防护技术是随着新的数据安全需求而产生的,行业发展至今,新的数据安全需求不再仅仅是“防的住”,而是“用的好”,无论是把数据当成生产要素,还是数安法强调数据开放共享,数据变现,都是让数据能用,因此防护手段要产生变化,几个比较明显的变化。
1、针对不同数据使用者,提供恰如其分的数据安全手段,要安全,但是不要过量,要适度,让数据恰如其分的被使用。
2、提供数据安全监测平台,全生命周期的监控数据流转,从应用到后台,实现真正意义上的全生命周期监测。
3、为数据变现提供数据协同计算平台和隐私服务,通过多方安全计算等技术手段提供数据“可用而不可见”的共享途径和手段,降低数据安全风险。
安全牛:随着业务上云和数字化发展,企业数据的云上安全防护也愈发重要,您认为云上数据安全防护与传统的数据防护有何异同点?
孙铮:云上数据的安全防护和传统的数据安全防护存在共同点,二者均以保护数据资产为核心,以满足数据的安全流动为目标。
不同点在于应用场景不同,云上业务及数据是分布在专有云、公共云、混合云中,数据种类繁多,数据分散,安全管理灵活;传统数据库安全更多分布在IDC中,网络局限性较高;所以,云平台下的数据库出现漏洞后,企业用户可以自主地采取打补丁、加固等防护手段,但对于云平台上的数据,在进行云上数据安全防护时,如果云结构本身出现了问题,企业自身是无法进行加固防护的,所以它对云服务供应商的要求会更高。
例如会出现:
1)云数据库漏洞,客户自己无法加固;云租户的数据隔离问题谁来管理;云环境风险扩散问题谁来防护这些云结构本身的问题。
2)互联网+创新,带来的新问题,一些访问“直达”便利性的同时造成了新的安全隐患。
3)我的数据我做主,云却替我做了主。数据上云之后,如何维持云租户对数据的所有权,也是需要解决的问题之一。
针对以上问题,建议企业业务上云后,一般是以云租户的身份进行数据隔离的,尤其在公有云上,不同租户间的数据往往会混合在一起,所以需要通过一种高效完善的云上隔离机制进行管理。针对这一问题,目前比较常见的解决方法就是业务改造,另一种解决方案就是通过利用类似CASB的技术路线来实现。
同时云环境下,会存在共用企业内部储存空间和服务的情况,这个环境中产生了风险是带有扩散效应的,而且很多行业尤其是金融类、政府类的客户,他们的核心数据需要严格保密,但介于云环境的开放性特征,针对此类数据的访问,需要增加相应的安全加固防护措施,做好数据确权和管理。
再有,用户上云后,对于云产品的信任度肯定会存在一定的疑虑,因此云上数据安全防护的可视化发展也是一个很大的需求。云数据安全运营管理平台需求会应运而生。
安全牛:如果企业本身不知道是否适合将数据上云,安全厂商一般会从哪些方面考虑进而给予其建议?
孙铮:站在企业本身的角度来讲,其一要思考自身的业务类别,如果受行业影响,企业的数据敏感度很高,那就不适合上公有云;其二,成本的考量,如果企业上云所需成本较大,而且安全团队的运维也需要大量的资金投入,这种情况下,可以考虑把一些非核心的业务迁移上云,或者去租用一些云上设备和便捷服务来降低成本消耗;其三,如果企业的业务范围较为分散,遍布全国多个地方、省市,这种情况也可以选择把地方的一些小规模业务迁移上云,以此来打通与总部的联系,同时避免在全国各地建设数据中心耗费成本。
安全牛:您认为传统的数据安全防护技术能够为云上数据的安全管理提供哪些防护思路和防护技术上的支持?
孙铮:未来数据安全产品应该会向自动化,乃至智能化方向发展,同时更加贴合用户业务,脱离产品纯技术术语,向用户侧更加贴近,简而言之,采用机器学习、知识图谱等智能化技术,促进产品的“全”自动化,以及可具备自我迭代的能力。
传统的数据管理只要确保内网的环境安全,端上的防护到位,就能有效的防护数据的安全,而云上的数据从产生到销毁都会暴露在网络环境中,时时刻刻都有泄露的风险,这就要转变以往的防护思路,由端的防护转变为对数据的防护,不止保证数据在存储中是安全的 ,还要做到整个流转都要防护。
另外传统数据管理场景单一、大压力下传统数据管理无法做到统一管理,导致数据分散度较高,分散包括分散安装、分散授权、分散存储、分散登录、分散分析等。致使用户无法对自身的数据安全进行全面的掌握。
而云上数据管理基于云资源的优势,可以协助用户实现对数据安全的全掌控,打造出统一管理、统一授权、统一登录、统一分析的数据安全管控平台。
目前数据上云后,边界的概念越来越模糊,相较于传统的数据安全,现在更应该做到就是区别对待,首先就是要理清什么样的数据被什么人使用,其次也要明确这些数据用来干什么,在不同的场景下,结合不同的授权等级,区分出各个场景和业务的数据使用规范,再配合相应的安全防护技术和安全防护产品做到精准定位,有效防护。
安全牛:《数据安全法》的正式实施,对于安全厂商有何影响?未来数据安全的常态应该是怎样的?
孙铮:《数据安全法》的出台对于厂商来说肯定是正向的,因为这为安全厂商提供了更好的大环境,能够有机会去帮助用户企业落实数据安全建设。
《数据安全法》除等保合规要求外,也强调了数据的共享开放,这一要求让数据安全治理变得更为“务实”。未来,数据安全管理会成为一种常态化运营,同时实现数据安全地可视化管理。这里的常态化就是上述我们提及的企业用户要具备完整的数据安全运营能力,能够做到“日常运营、运营监管、运营保障”三方面的能力。
日常运营指的是具备一套完整的体系帮助用户进行持续性地敏感数据筛查,并对一些新增的、新发现的风险进行快速高效的处置;
运营监管要做到数据资产运营监管、安全策略运营监管、风险分布运营监管、数据流转运营监管四个部分,以达到对数据进行全生命周期的安全管理;
运营保障则是通过平台的常规保障,以及依靠专家咨询服务的事件保障。以此,让数据使用自由而安全!
安全牛评:
《数据安全法》对企业的数据安全管理提出了更高的要求,企业需要根据自身业务进行从认知到技术到管理层面进行多方位调整。
目前企业在数据安全治理上最大的问题还是意识上的问题,相较于传统的“老三样”防护措施,还没有认识到部署数据安全产品的重要性,同时也对数据安全治理工作无从下手。针对这一问题,需要采用先梳理再治理,技术与管理并重的应对措施。
特别是随着业务云化,企业还需要考量云带来的安全风险。云环境本身提高了安全挑战,除传统的安全问题外,还需要考虑云化带来的额外数据安全问题。新的逻辑架构、多租户的服务模式均会提出新的安全挑战。传统的数据安全体系架构具备沿用的价值,但是还需要从云环境下的身份访问控制、数据传输安全等多维度考虑、虚拟环境的数据备份等。新场景给用户带来新的挑战,也为数据安全厂商发展带来新的方向。