從CARTA、GDPR到零信任:四家安全廠商和一家使用者的資料安全解決方案
4月底,在第三屆資料安全治理峰高峰論壇的資料安全與大資料保護解決方案分論壇上,五家企業就自己的大資料安全解決方案或者大資料安全保護實踐進行了分享。
奇安信
奇安信副總裁樑志勇認為,大資料安全是一個體系化的建設,需要結合多種型別的安全能力才能打造出完善的大資料安全解決方案。在這次的會議中,樑志勇著重就資料安全進行了分享。他提到,在大資料環境下,資料會進行更多的流轉;但是,在資料流轉的過程中,卻難以確保資料的安全。因此,之前只需要確保終端處資料的安全的模式已經無法滿足新的安全需求。
樑志勇認為,對於資料安全防護的模式可以參考CARTA模型,需要做到發現、防護、檢測和響應四大能力:
1. 發現能力:對於敏感資料首先要進行了解和把握,而瞭解和把握最直觀的方式就是對敏感資料進行視覺化處理。對於靜態的敏感資料,需要做到敏感資料的分部可視,明確自己的資料資產目錄、敏感資料統計狀況、以及敏感資料的分部狀態;對於進行傳輸的敏感資料,需要做到流轉可視,使應用資料流的流動狀態以及資料庫訪問可視。基於這兩點之上,對敏感資料的駐留與流轉風險進行評估。
2. 保護能力:針對不同型別的敏感資料風險,需要通過不同的安全能力進行統一策略的協同防護,將終端DLP、網路DLP、郵件DLP和儲存DLP協同,對敏感資料進行統一策略管理、監控、事件管理以及工單審批。
3. 檢測能力:通過對日誌的採集,對敏感資料面臨的風險進行場景化分析,將風險的總覽狀態與使用者風險畫像進行結合,做到敏感資料風險基於場景的視覺化,使得對於風險的檢測更加有效快速。
4. 響應能力:在事中事後,通過對日誌和狀態的分析與溯源,還原資料訪問鏈路,定位事件或者風險的源頭,採取措施。基於對風險的分析,將各類DLP、大資料安全閘道器與應用資料閘道器不同的安全裝置進行全網自適應協同。
根據這四大能力,奇安信有以下兩大關鍵技術:內容識別引擎技術與UEBA智慧分析引擎技術:
1. 內容識別引擎技術可以支援多種識別演算法,包括智慧學習、精確性高的檔案指紋與資料指紋、關鍵字、正則表示式等多種演算法,滿足不同資料集特徵的表示需求。內容識別引擎本身有預置的通用特徵庫,從而降低梳理門檻,幫助客戶快速上線,進行保護。
2. UEBA智慧分析引擎通過對使用者行為的全方位資料採集,從機器學習的角度對使用者意圖進行識別,以及從業務規則角度進行的異常分析,發現使用者是否存在業務違規情況以及企業是否存在資訊洩露問題。
在某市政府電子政務中心中,奇安信通過在資料流的關鍵節點分別部署各類DLP產品,進行敏感資料發現和資料流審計的工作。同時,在資料安全管理中心對安全事件和審計日誌進行風險分析,針對發生的洩露問題進行溯源追蹤。
某知名車企
作為全球領先的汽車廠商,面臨的是甲方視角的資料跨境訪問、傳輸與保護中需要的合規問題。
在業務流轉過程中,會收集到相關的個人資訊、地理位置資訊、組織的金融資訊等重要資訊。而根據中國網路安全法,第三十七條: 關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人資訊和重要資料應當在境記憶體儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定 。因此,在跨境傳輸的三個場景:在中國本土的非中國領土的訪問(比如他國大使館)、國外對國內資料庫的訪問和接入、以及將國內資料傳輸到國外,都需要按照中國網路安全法的要求。
因此,對於中國本土的資訊傳輸,不能允許海外人員直接接入國內的資料庫,獲取資訊。相應的解決方案是,在對中國的資料庫之外部署了一整套資料庫管理系統,包括資料庫控制系統以及資料庫審計系統,對資料庫賬戶的訪問進行控制、審計以及監控,從而確保僅在業務必要,並且滿足法律法規的條件下才能進行跨境的資料庫訪問和傳輸。
思維世紀
思維世紀的技術委員會主任劉曉光分享了思維世紀的資料安全架構邏輯以及案例。思維世紀的資料安全架構分為五層:從資料安全保護方法論,推演出工程實現技術要求,之後提煉出技術整合能力與商業模式,並且製作出產品形態,最後對專案進行落地;而在整個落地的過程中,又會反向進行修正、調整等。
在這五層架構之上,思維世紀構建了一體化解決方案,通過資料資產識別與管理、資料脫敏、資料安全審計、資料加密與金鑰管理、數字水印、內容識別、身份認證與訪問控制、以及伺服器與終端管控八個維度,對資料做到透明、實時、同步、高效、快速的可控安全。
在某電信運營商的落地環境中,思維世紀按照運營商全網的支撐系統與通訊兩大系統,以及業務平臺,對全網資料分佈以及態勢總體指標進行呈現;再以專業線條為單元,根據資料資產數量、訪問情況等,對專業線條的資產概況以及專業線條內系統分佈進行展示。在這之上,分別以資料型別為物件,自動化構建不同型別資料生命週期圖,動態全景呈現資料安全風險分析及保護、訪問流轉、管控手段等;以系統內部資料型別為物件,自動化構建資料動態流轉圖,展現內部資料資訊分佈呼叫關係總覽,指導資料防洩漏監測和管控能力的部署。
劉曉光同時提到,在資料安全的落地過程中,需要有更上層的管理對資料安全進行負責;同時資料安全需要匹配自身的現狀和業務規劃,不一定購買大量產品,可以通過從摸底做起,整理整體安全思路。
慧盾
慧盾的解決方案通過圍繞大資料平臺,構建資料生命週期的整體安全防護。
慧盾安全大資料BU產品線總經理張強表示,根據大資料平臺的架構,企業會在資料採集區、計算儲存區、資料共享區、運維區以及基礎設施部分分別面臨不同的威脅。慧盾提供的節點安全防護系統、審計安全防護系統、脫敏安全防護系統、交換安全防護系統、運維安全防護系統以及安全視覺化平臺構建了整體的解決方案。
從大資料平臺面臨的威脅來看,主要能分為三個場景:洩密、篡改、損毀。
在洩密場景中,慧盾的安全防護目標是“進不來”、“拿不走”、“看不懂”、“可審查”、以及“跑不了”。對於運維區的非法終端的試圖接入行為,慧盾通過運維安全防護系統進行阻斷,防止資料洩露。黑客即使對計算區與儲存區的資料進行攻擊,慧盾的加密措施能確保黑客最多隻能獲取加密檔案,而且基於核心級的安全管控技術,可有效防止黑客或惡意程式對資料的非法訪問。而對於黑客,甚至服務提供商試圖在共享區進行非法共享資料的行為,慧盾交換安全防護系統能進行識別並採取防護行為。
針對篡改場景,慧盾則提出了“進不來”、“改不了”、“可審查”、以及“跑不了”。通過慧盾運維安全防護系統對內部人員的篡改行為進行防護,同時慧盾審計安全防護對大資料平臺數據庫中發生的行為進行監控審計。對於防止黑客的攻擊篡改資料行為則提供大資料節點篡改防護能力。
在損毀場景中,慧盾的目標則是“進不來”、“破不壞”、“可審查”、“跑不了”。對於內部人員嘗試損毀的資料通過防護系統進行防禦,並且通過審計安全防護系統進行審查。對於外部的攻擊行為,進行大資料節點損毀防護;尤其針對如今流行的勒索病毒,慧盾提供了勒索病毒智慧識別與防護能力,確保客戶不會因為勒索病毒的攻擊造成資料損毀,乃至業務中斷。
在慧盾的解決方案中,我們可以發現,慧盾對來自於企業內部的資料威脅相當重視,我們在進行大資料安全保護的時候,不應該只對外部的威脅進行防禦,還需要對內部,甚至是服務提供商的行為進行防禦。
明朝萬達
明朝萬達分享的是面向資料生命週期的零信任大資料安全自動防護體系。
明朝萬達高階副總裁兼首席技術官喻波認為,傳統的靜態單向防護的安全域模型已經不再適用於如今的大資料互動場景,資料記錄記錄階段已經過去,資料服務階段已然到來。因此,企業需要建立動態閉環防護,而方式之一就是建立零信任模型。
由於使用者偽造和冒用身份已經成為資料洩露的新突破口,企業需要從使用者身份角度入手,對資料的接入、使用、傳輸進行管控。零信任的核心理念是基於最小特權原則、利用微隔離技術,以身份為中心重構安全邊界,不預設信任內外部的任何使用者/裝置/請求,在授權前對任何試圖接入系統的使用者/裝置/請求進行驗證,即“非信任不授權”,實現更細粒度的訪問控制。
喻波表示,零信任大資料安全主動防護框架的理論基礎有三方面:
1. 從資料生命週期全過程的視角出發,以資料資產安全使用為願景。
2. 針對與資料使用相關的網路、終端、主機、使用者、應用等資產要素,以身份為中心,持續重構、細化安全邊界。
3. 零信任大資料安全主動防護框架,依託零信任資料安全治理體系的6個階段實現與落地。
在這個基礎上,通過組織構建、資料摸底、策略制定、資料管控、行為稽核、持續改善這6個階段進行落地。
在某省公安廳的落地案例中,明朝萬達以微隔離為基礎,將移動警務網劃分為使用者、應用、裝置等多個安全子域。由憑證管理中心負責憑證管理與鑑權管理,為網內所有使用者提供統一的安全憑證。之後,訪問控制平臺對使用者、應用和API、裝置進行鑑權,完成裝置安全狀態檢測。最後,通過使用者行為分析,動態跟蹤移動警務網安全狀態,完成實時監測安全風險能力。在資料安全監測與分析方面,把安全管控物件劃分為細粒度的安全域,對每個安全域制定基礎的安全指標,對安全進行量化管理;同時,根據資料使用場景,組合多域安全指標,形成判定規則,對操作行為進行動態判定與跟蹤。
安全牛評
隨著大資料的使用越來越普遍,資料的安全則顯得更加重要。從這五家企業的分享中,我們可以發現,資料安全需要考慮到的因素很多:從威脅來看,需要對洩密、篡改和損毀進行防禦;從威脅來源來看,不僅僅是來自外部的威脅,還需要注意內部的威脅;從架構來看,不僅僅是資料庫,也需要從網路、從終端進行保護;對於資料的傳輸,還需要意識到不同國家的法律法規,滿足跨境資料傳輸的要求。最後,資料安全的防護,不僅僅是技術層面的,也需要從管理層出發,成為企業全體的任務。
注:中國資料安全治理峰高峰論壇由中關村網路安全與資訊化產業聯盟、北京網路資訊保安技術創新產業聯盟、中國保密協會產業分會共同主辦,北京安華金和科技有限公司承辦。其中,資料安全與大資料保護解決方案分論壇由安華金和與安全牛共同組織承辦。