持续的疫情冲击,对于大部分企业,在经历了最初的迷茫期、阵痛期到之后的恢复期之后,现在更多看到的是发展机会。在远程办公的情况下,无边界网络对安全提出了更多的要求,活下来的企业几乎都进行了数字化转型。
在国家数字经济下,随着《数据安全法》和《个人信息保护法》的提出,更推动了安全厂商的业务转型,数据越来越多,也越来越值钱,需求几率更大,数据安全治理技术就越来越重要。
近日,由中国信息协会信息安全专委会数据安全技术工作部指导,组长单位北京天空卫士网络安全技术有限公司主编的《数据安全治理自动化技术框架(DSAG)白皮书》(下称“白皮书”)在2022数据安全技术大会上正式发布。旨在为企业提供全面的数据安全治理平台化产品,DSAG通过加入自动化数据分类分级流程和数据分类分级保护API模块,帮助企业降低数据安全治理的成本,提高企业数据安全防护能力。
对此,嘶吼特别采访了主编单位天空卫士,就数据安全治理自动化技术、DSAG特点、白皮书价值等话题内容,对天空卫士董事、合伙人、高级技术总监杨明非进行了深度访谈。
“数据安全治理自动化体系(DSAG),参考了2012年美国国土安全局建立的持续诊断和缓解计划(CDM)技术框架,按照CDM的框架,由外向内,构建网络安全+数据安全的一体化产品体系”
最里面的那一层就是数据保护管理,也就是最核心内容。核心体系包括数据发现分类、数据保护、数据丢失保护、数据泄露响应和信息安全权限管理等。
“在去构建数据安全体系的时候,尽量能把它们放在一个平台里面。最主要的几个要点是去映射 CDM里面的一些要求,包括数据防泄露(DLP)、数据分类分级、响应权限管理等。我们把这些能力都落地了真正能用的产品,非常具有中国特色。”
参照2021年美国国防部(DoD)零信任架构框架图,从前面的身份授权、设备授权、网络授权、应用授权,到最后强调的是数据授权。本质上,实现数据安全,也是零信任体系的终极目标 。
数据被识别之后才能打上标签,做成统一的一套体系,通过自动标签与手工标签,对文档进行标签标记,实现对文档的高速分类分级识别处理。同时通过文件格式/内容的分类分级识别,可以发现潜在的数据逃逸风险。标签体系贯彻整个数据的流转追溯,它的快速判断非常重要。
天空卫士数据安全治理自动化平台技术框架
数据资产保护需要分级分类,重点需要保护流动中的数据。企业里面超过85%甚至90%的流动数据都是非结构化的数据,这是数据安全治理的一个难点,也是天空卫士做数据安全治理自动化平台的原因。
“基本上已经把数据流转的主要通道全部打通,我们的产品设计概念是,每个通道下的这些数据安全保护能力都是一致的。”杨明非说到。
数据安全治理需以数据分类分级、数据保护、监控及追溯、身份认证为中心,形成完整的数据应用处理保护链,并需考虑企业在数字化转型架构下各种风险管理场景,如数据流、数据库、大数据、文件、云环境、各种终端等。
Gartner在2018年下半年发布了数据安全治理框架(DSG),本身是一个流程体系,非常标准,已成为业界共识。但存在很大的一个弱点是实施落地比较困难,来自于三个原因:一是时间很长,二是涉及的部门人员很多,三是投入资金特别大。
其中,ITM采用大数据分析、统计学异常分析、贝叶斯、深度学习(双向循环神经网络)等技术对用户行为特征进行深度建模,协助企业发现内部风险行为。
数据安全治理自动化DSAG的处理流程有以下几点:资源扫描、资源认领、资源发现、数据智能聚类、文件指纹、数据库指纹、智能学习、分类分级定义及保护、DLP检测、脱敏操作、持续的监控发现,全方位地覆盖数据安全治理周期的每一个环节。
“国内做数据脱敏的厂家有上百家,但是他们基本上都只能覆盖数据库等结构化数据,要实现对非结构化的文件脱敏,只有DSAG技术可以实现。”杨明非强调。
简而言之,DSAG的技术突破亮点可以概括为“六化一管”,分别是数据分类分级自动化、数据安全处理自动化、行为分析智能化、数据脱敏全面化、API数据内容分析细粒化、DSAG编程管理可视化、一把手数据安全管理“一支笔”。
与传统的数据安全平台有很大区别的地方是,DSAG将业务和数据安全相结合,管理层可以随时下命令,一支笔直接批示,直接处理,哪些数据需要他亲自抓,哪些数据需要他亲自过问,甚至没有他的批准,哪些数据是不能被使用的,简单明了。
杨明非表示,《数据安全法》有明确的要求,要建立健全数据安全治理体系。白皮书的行业价值主要表现在两个方面:
一方面,可以给到甲方和用户一个非常清晰的概念和认识。以数据为中心的安全体系,不同于传统“修城墙”模式的安全体系,针对不同的应用模式,白皮书总结了很多数据安全重点场景与技术解决方案。
最典型的一个例子,即时通讯打破一切。站在网络安全角度上,只要保证没有病毒就可以,但实际上从数据安全角度来说,它打破了一切传统的安全要求。比如原来有准入来控制不同终端的保密等级,但使用了即时通讯后很容易把高密电脑上的高密内容发到低密个人、设备。在这种模式下,数据就变成了“裸奔”状态。这时,可以通过DSAG的体系,在终端电脑上或者自部署的即时通讯系统后台进行传输内容分析,并根据接收人的权限等级以及数据的分类分级来阻断或者允许相应的数据传输请求。
另一方面,白皮书可以给行业提供很好的参考价值,围绕着数据安全技术,帮助客户真正解决怎么做,做的顺序,输出什么内容,管理控制联动等多种问题。
数据安全治理的落地涉及到多种技术,站在市场“抱团取暖”的角度,本着平等和不互O(OEM)的原则,天空卫士联合联盟厂商,在后台实现产品安全技术的打通。包括天空卫士的DLP技术、CASB技术、UEBA技术;溢信科技(IP-Guard)的加解密技术;天空卫士、昂楷科技的DCAP技术,芯盾时代的 IAM技术,永安在线的API安全,上海鸿翼的文档安全,上海安言的安全咨询,在技术解决方案上,有一定的互操作性和互补性,接入DSAG平台进行业务联动。
杨明非最后强调,关于数据安全治理能力建设的重点方向,一是以人为本;二是数据的分类分级,最核心的点是如何去定义和快速判断哪些是重要数据;三是符合法规要求,最佳的状态是合规要求,与业务发展相结合。可以总结为几个关键词:能识别、能控制、能阻断、能追溯、能审计。
对于用户来说,以不变应万变。数据安全治理的落地最重要的是分类分级的保护,除了最基本的识别,更要具有多维度的保护水平,白皮书无疑提供了最全面的技术保护能力方向。
相关阅读: