王文宇是一位有著近20年從業(yè)經(jīng)驗(yàn)的安全老兵�,更可以說(shuō)是中國(guó)第一代數(shù)據(jù)安全專業(yè)從業(yè)人士�。在他眼中,數(shù)據(jù)安全問(wèn)題一直存在����,只是大家理解不同,造成數(shù)據(jù)安全自身的定義存在差異化��,但直到最近兩年���,在時(shí)代機(jī)遇下迸發(fā)出前所未有的火熱�����,那就是數(shù)字時(shí)代的來(lái)臨�����,以及政府層面的法規(guī)推動(dòng)��。?
傳統(tǒng)數(shù)據(jù)孤島管控與數(shù)字時(shí)代流通性相矛盾
王文宇于TFC2021發(fā)表演講 演講中王文宇表示��,過(guò)去談及數(shù)據(jù)安全更多的會(huì)看到兩點(diǎn)�,一個(gè)是存儲(chǔ)�,另?一個(gè)是鏈路�����。這些都源于傳統(tǒng)網(wǎng)絡(luò)安全概念里基于點(diǎn)\域的防護(hù)理念。比如存儲(chǔ)側(cè)會(huì)采用一些像加密�、??災(zāi)備等方式來(lái)解決數(shù)據(jù)安全問(wèn)題;鏈路側(cè)采用像VPN�����、??密碼機(jī)��、加密機(jī)等方式來(lái)解決數(shù)據(jù)安全問(wèn)題��。整體而言�����,過(guò)去的做法是以數(shù)據(jù)孤島為核心�、對(duì)數(shù)據(jù)本身進(jìn)行嚴(yán)管控的解決思路。
而??數(shù)字時(shí)代�����,數(shù)據(jù)已經(jīng)成為生產(chǎn)要素���,只有處于流動(dòng)中的數(shù)據(jù)才能創(chuàng)造價(jià)值��,它的流動(dòng)性是第一價(jià)值訴求����。把數(shù)據(jù)鎖起來(lái)肯定不成,??但是數(shù)據(jù)真的可以自由的流動(dòng)嗎�?問(wèn)題就在于數(shù)字時(shí)代數(shù)據(jù)就要自由流動(dòng),涉及數(shù)據(jù)運(yùn)營(yíng)提升效率�、開(kāi)放共享提升價(jià)值等必要性。所以在王文宇眼中��,再用過(guò)去的安全思路應(yīng)對(duì)數(shù)字時(shí)代下的數(shù)據(jù)安全問(wèn)題���,?一定程度上就會(huì)有矛盾�����。所以��,以不影響業(yè)務(wù)正常運(yùn)行為前提���,針對(duì)處于流轉(zhuǎn)中的數(shù)據(jù)提供保護(hù)的思路應(yīng)運(yùn)而來(lái)。
直面數(shù)字時(shí)代數(shù)據(jù)安全處理與流轉(zhuǎn)挑戰(zhàn)
數(shù)字時(shí)代,數(shù)據(jù)??從存儲(chǔ)�����,到使用�����,到共享等等環(huán)節(jié)�����,風(fēng)險(xiǎn)鏈路無(wú)處不在���,在這個(gè)過(guò)程中??主要面臨的問(wèn)題是什么?王文宇表示��,數(shù)字時(shí)代數(shù)據(jù)必然要流動(dòng)起來(lái)����,而由此帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)敞口的不斷擴(kuò)大,是目前數(shù)據(jù)處理安全防護(hù)最大痛點(diǎn)之一�。
王文宇在演講中進(jìn)一步指出,當(dāng)前環(huán)境下企業(yè)的主要數(shù)據(jù)風(fēng)險(xiǎn)敞口表現(xiàn)如下:
1��、違規(guī)采集風(fēng)險(xiǎn);
安全團(tuán)隊(duì)與業(yè)務(wù)團(tuán)隊(duì)很難達(dá)到高度協(xié)同��,過(guò)量采集或違規(guī)采集會(huì)時(shí)有發(fā)生��。
2��、外部共享風(fēng)險(xiǎn)�;
數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)運(yùn)營(yíng),勢(shì)必涉及數(shù)據(jù)共享交換����,甚至需要跟合作伙伴、分支機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)共享�。什么樣的數(shù)據(jù)可以共享外流,對(duì)操作人員及環(huán)境是否有安全監(jiān)控�����,應(yīng)遵循什么樣的策略�����?
3����、內(nèi)部運(yùn)行風(fēng)險(xiǎn);
??人是安全事件發(fā)生的最大因素之一,甚至是合法用戶的無(wú)意操作也可能產(chǎn)生安全風(fēng)險(xiǎn)���,伴隨著業(yè)務(wù)的復(fù)雜性及運(yùn)行環(huán)境的多變���,來(lái)自內(nèi)部的運(yùn)行風(fēng)險(xiǎn)將承載更大的安全事件占比。
王文宇表示����,數(shù)據(jù)在不斷的流動(dòng),如何實(shí)現(xiàn)全網(wǎng)各環(huán)節(jié)流動(dòng)數(shù)據(jù)的監(jiān)測(cè)���,降低風(fēng)險(xiǎn)敞口,并與業(yè)務(wù)系統(tǒng)����、人員參與運(yùn)營(yíng)的操作之間達(dá)成平衡,其實(shí)是一個(gè)非常復(fù)雜的事兒�,一定程度上有點(diǎn)像在蛋殼上跳舞。
與此同時(shí)��,數(shù)據(jù)保護(hù)另外一個(gè)棘手的問(wèn)題是為流動(dòng)中的數(shù)據(jù)提供有效保護(hù)��,而做好這一項(xiàng)工作���,先要盡可能的發(fā)現(xiàn)數(shù)據(jù)�,建立重要數(shù)據(jù)資產(chǎn)目錄清單,才能不留防護(hù)死角����。再為處于不同位置的數(shù)據(jù)提供技術(shù)保障,如服務(wù)器端��、終端等處�,甚至是零散的、不經(jīng)常被業(yè)務(wù)系統(tǒng)訪問(wèn)的位置����。?
數(shù)據(jù)運(yùn)營(yíng)安全(DataSecOps),助力數(shù)字化轉(zhuǎn)型
進(jìn)入數(shù)字時(shí)代�,企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中,??業(yè)務(wù)驅(qū)動(dòng)會(huì)產(chǎn)生大量數(shù)據(jù)����,加上企業(yè)過(guò)去積累的歷史數(shù)據(jù)重新流動(dòng),??如何保證潛在的風(fēng)險(xiǎn)不會(huì)發(fā)生�?這就要求數(shù)據(jù)保護(hù)工作過(guò)程中,需要做各種各樣探索和關(guān)聯(lián)�,包括對(duì)服務(wù)器端、網(wǎng)絡(luò)流量����、基于協(xié)議的����、?基于API的�、包括端點(diǎn)一側(cè)的,通過(guò)完整的數(shù)據(jù)處理分析過(guò)程��,??形成一個(gè)完整的數(shù)據(jù)處理和使用過(guò)程的一個(gè)流圖��,才能發(fā)現(xiàn)潛在風(fēng)險(xiǎn)���。??
為了做好這件事���,王文宇認(rèn)為首先要建立一個(gè)良好的基礎(chǔ)���,即做好數(shù)據(jù)分類分級(jí)工作�����。數(shù)安行目前通過(guò)積累的上千個(gè)數(shù)據(jù)分類分級(jí)模型����,實(shí)現(xiàn)了AI自動(dòng)化梳理來(lái)解決數(shù)據(jù)分類分級(jí)。一方面��,數(shù)據(jù)分類分級(jí)是合規(guī)剛需����,另一方面,分類分級(jí)將輔助企業(yè)建立重要數(shù)據(jù)資產(chǎn)目錄清單���,同時(shí)有利于相對(duì)應(yīng)的動(dòng)態(tài)防護(hù)體系的建立�。
通過(guò)自動(dòng)化梳理數(shù)據(jù)還能解決一個(gè)更加棘手的問(wèn)題���,就是對(duì)暗數(shù)據(jù)的發(fā)現(xiàn)�����,從基礎(chǔ)上才能不留數(shù)據(jù)防護(hù)死角�����。
建立完數(shù)據(jù)分類分級(jí)���,接下來(lái)就要在數(shù)據(jù)流動(dòng)的過(guò)程中實(shí)現(xiàn)自動(dòng)化風(fēng)險(xiǎn)監(jiān)測(cè)。通過(guò)數(shù)據(jù)運(yùn)營(yíng)安全平臺(tái)(數(shù)安行零信任DataSecOps)���,為基于業(yè)務(wù)流轉(zhuǎn)的數(shù)據(jù)的每個(gè)環(huán)節(jié)都嵌入數(shù)據(jù)安全監(jiān)控點(diǎn)��,解決風(fēng)險(xiǎn)敞口問(wèn)題���?;跀?shù)據(jù)運(yùn)營(yíng)安全DataSecOps理念��,對(duì)于數(shù)據(jù)處理人員�、處理環(huán)境、處理過(guò)程等等����,實(shí)現(xiàn)全流程的持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估和組合式的自適應(yīng)風(fēng)險(xiǎn)管理。對(duì)于核心敏感數(shù)據(jù)��,實(shí)行從服務(wù)端到終端的全流程數(shù)據(jù)安全沙箱防護(hù)���,保證數(shù)據(jù)可用不可見(jiàn)�,能用不能動(dòng)�。
最終形成的是�,一個(gè)平臺(tái)內(nèi),既可通過(guò)分類分級(jí)數(shù)據(jù)梳理合規(guī)剛需�,又能實(shí)現(xiàn)企業(yè)的敏感數(shù)據(jù)保護(hù)�����。
王文宇于TFC2021發(fā)表演講 對(duì)于數(shù)據(jù)安全的未來(lái)��,王文宇認(rèn)為�,數(shù)據(jù)安全問(wèn)題是一個(gè)綜合性的科學(xué)問(wèn)題���,以前的數(shù)據(jù)安全更多的是防泄露���,現(xiàn)在對(duì)于企業(yè)來(lái)講更現(xiàn)實(shí)的是做好監(jiān)管合規(guī),同時(shí)在數(shù)據(jù)安全的基礎(chǔ)上保證生產(chǎn)經(jīng)營(yíng)效率�。一個(gè)平臺(tái)同時(shí)能解決這兩件事件,將是數(shù)據(jù)安全從業(yè)人員思考的方向�����,和數(shù)據(jù)安全產(chǎn)品的落地方向��。
做好數(shù)據(jù)安全是無(wú)止境的�,因?yàn)閿?shù)據(jù)安全跟業(yè)務(wù)高度關(guān)聯(lián),而業(yè)務(wù)又受技術(shù)的沖擊不斷產(chǎn)生新的變化�����,王文宇在演講最后表達(dá)了他的這一理解。這就要求數(shù)據(jù)安全要不斷加強(qiáng)與業(yè)務(wù)之間的關(guān)聯(lián)性��,讓處于不同業(yè)務(wù)之間的數(shù)據(jù)流動(dòng)始終處于安全狀態(tài)����,這也是數(shù)安行團(tuán)隊(duì)不斷努力的方向。
