“目前,很多数据安全产品或方案的设计理念仍然以网络为中心。部分网络安全厂家通过在网络流量基础或物理形态上做扩展形成一定的数据保护能力,这种做法在当下无可厚非,但未来,数据安全肯定是以数据本身为中心的,这一点也会影响到数据安全的架构设计和技术发展。”深信服数据安全产品与方案总监罗维荣(以下称为“老罗”)在接受嘶吼的采访时如是说。
成为深信服数据安全产品与方案总监之前,老罗曾尝试过很多网络安全领域的工作,如:实施、售前、咨询、安服等。老罗说:“我是一个受兴趣和挑战驱动的人。”而此前的种种尝试,也恰恰印证了老罗的这句话。
率性而为,或许是对老罗过往经历及选择的最好概括,丰富的网络安全工作经历,也使老罗对数据安全产生了一些比较独到的见解。
深信服数据安全产品与方案总监 罗维荣
以数据为中心
“什么是以数据为中心?举个例子,疫情防控是以人为中心,而不是以场所为中心的。”如果只在每个场所设置门禁卡点,却不知道人员的流动轨迹,防护就达不到效果。这也是为什么要给每个人赋健康码的原因,只有掌握了每个人的活动轨迹,才能清楚地知道这个人是否有疫情风险,也才能在发生疫情时方便溯源。
同理,以数据为中心,就是所有的保护手段都围绕数据本身来进行。数据本身不会流动,只有在数据处理活动中,数据才会发生流动,流动中的数据才具有价值,因此,以数据为中心的数据安全,其实就是围绕数据本身的处理活动来建设数据安全体系。
数据处理,包含数据的收集、存储、使用、加工、传输、提供、公开等,在数据处理活动中,数据本身就是一种资源,拥有自己的属性和标签,所以我们需要在它流转的过程中,基于它的数据身份和数据标签,去适配相应的安全策略,进行集中管控。
具体怎么做?老罗与深信服一众数据安全专家从用户实践视角总结了深信服做数据安全体系化建设思路的“五步曲”:第一步,梳理数据资产,针对个人信息、重要数据、企业机密数据等识别,形成核心数据资产清单;第二步,评估安全风险,基于重要数据处理活动,进行数据风险评估,识别数据安全风险;第三步,建设管理机制,建设组织相关规章管理制度,保障数据安全落地;第四步,保护数据活动,基于数据安全风险评估,针对不同的数据处理活动,不同场景进行针对性数据保护;第五步,持续运营优化,建设持续数据风险监测能力,针对数据安全风险进行及时处置闭环。
其中,老罗强调,数据安全依赖于数据管理,现在很多组织单位的数据管理基础比较薄弱,但数据安全迫在眉睫,所以需要基于业务场景选择重要数据处理活动,同步开展数据治理和数据保护,实用主义优先,把个人信息保护和重要数据保护作为切入点。“要秉持风险优先原则,分节奏、针对性地解决重点问题”。
依法治数,有效保护
随着《数据安全法》和《个人信息保护法》的相继颁布和实施,数据安全监管的顶层设计已经完成。另外,数据安全相关的行政条例、标准规范和行业管理办法的相继起草、发布也会建立更加细化和具体的数据安全监管合规体系。所以,老罗认为,企业应该以数据安全相关法律法规的要求为基础构建自身的数据安全体系,满足数据安全的监管要求。
数据安全本身的复杂性以及数据安全产品的碎片化导致数据安全建设落地的难度比较大,落地之后的数据保护效果往往达不到预期。“我们在做方案设计时,要先搞清楚客户的现状,为客户设计针对性的数据安全建设方案。”老罗说,“深信服智安全一直秉持‘简单有效,省心可靠’的安全理念,通过以用户为中心的研发理念,让用户获得更简单的安全建设和维护体验。因此,我们提出了创新的方式解决数据安全产品碎片化的问题,降低落地之后管理的复杂度,并且通过运营服务的配合来提升数据保护的效果。”
这个方式具体而言有“四化”——
场景化:从每个单位自身的重要业务场景入手,建设数据保护能力。
组件化:将数据安全能力深度融合在端到端的数据流动链路当中,避免因基础设施庞杂带来的产品组件碎片化、难以部署、难以管理的问题,有效保护数据,同时简化管理。
平台化:把数据资产集中到一个中台进行管理。组织的数据资产是一个全局化的对象,因此围绕整个数据资产的分布流动,要进行全局化的风险监测,全局化的安全管控。
服务化:引入外部的专业资源和专业力量,结合组织自身对业务理解,发挥各自优势,更好地保护数据处理活动。
构建外防内控安全体系
从网络安全到数据安全,我们面临的不仅是建立在内外部网络边界基础之上的传统安全模型已无法抵御日益复杂的新型风险,更是如何在数据剧增的情况下,对数据进行整体安全防护。零信任安全作为一种全新的安全架构理念,正逐渐进入我们的视野。
提到零信任,老罗也说到:“很多人认为零信任只是一个单点产品,或者是一个VPN的替代,但在我看来,它既是一种安全架构,也是一种安全模型。”所以,深信服在很多产品线领域都有零信任的布局,当然,这其中也包含数据安全领域。
深信服数据安全解决方案靠的不是单点技术,而是一个整体的能力体系,在这个能力体系中,外防内控是一个关键能力,而零信任又是面向内部业务访问管控的一个核心能力,其目标是降低数据访问过程中的安全风险。深信服是国内最早进行零信任布局的安全厂商之一,这也恰恰为其他产品线的布局和发展创造了一个优势条件。
最后,老罗向嘶吼介绍到,深信服数据安全解决方案的优势很多,比如,围绕数据安全应用的访问、API的访问,能够全面监测敏感数据流转,有效掌控全局数据安全隐患;基于敏捷开放的数据安全能力建设,融合碎片化的组件能力,提供简单有效的整体安全防护能力;拥有非常强的应对复杂攻击和未知威胁的能力,能够形成外防内控的安全体系等。
人物简介:
老罗,深信服数据安全产品与方案总监,16年网络安全从业经验,目前专注于数据安全架构规划设计,以及基于零信任的数据访问治理研究工作。曾担任广州亚运会、南京青奥会信息安全与应急管理等重大信息安全项目规划、建设和运行负责人,主导参与广州市电子政务“十二五”信息安全规划、南方电网公司“十四五”网络安全专项规划,具备丰富的网络安全规划、设计工作经验。
相关阅读:
嘶吼专访 | 腾讯安全赵飞飞:一如既往,致力数据安全领域的践行者
嘶吼专访 | 思维世纪董事长章明珠:蓄势待发,专攻数据安全赛道的挑战者
嘶吼专访 | 观安信息胡绍勇:20年沉淀,从技术流走向数据安全领导者
嘶吼专访 | 天融信李建彬:十年磨练,深耕数据安全领域的开拓者
嘶吼专访 | 天空卫士杨明非:顺势而为,以人为本的数据安全捍卫者
如若转载,请注明原文地址