王文宇是一位有著近20年從業(yè)經(jīng)驗的安全老兵,更可以說是中國第一代數(shù)據(jù)安全專業(yè)從業(yè)人士�。在他眼中,數(shù)據(jù)安全問題一直存在�,只是大家理解不同,造成數(shù)據(jù)安全自身的定義存在差異化��,但直到最近兩年����,在時代機遇下迸發(fā)出前所未有的火熱,那就是數(shù)字時代的來臨,以及政府層面的法規(guī)推動��。?
傳統(tǒng)數(shù)據(jù)孤島管控與數(shù)字時代流通性相矛盾
王文宇于TFC2021發(fā)表演講 演講中王文宇表示����,過去談及數(shù)據(jù)安全更多的會看到兩點,一個是存儲���,另?一個是鏈路�。這些都源于傳統(tǒng)網(wǎng)絡(luò)安全概念里基于點\域的防護理念����。比如存儲側(cè)會采用一些像加密、??災(zāi)備等方式來解決數(shù)據(jù)安全問題��;鏈路側(cè)采用像VPN���、??密碼機��、加密機等方式來解決數(shù)據(jù)安全問題����。整體而言�����,過去的做法是以數(shù)據(jù)孤島為核心、對數(shù)據(jù)本身進行嚴(yán)管控的解決思路���。
而??數(shù)字時代,數(shù)據(jù)已經(jīng)成為生產(chǎn)要素��,只有處于流動中的數(shù)據(jù)才能創(chuàng)造價值�,它的流動性是第一價值訴求。把數(shù)據(jù)鎖起來肯定不成����,??但是數(shù)據(jù)真的可以自由的流動嗎?問題就在于數(shù)字時代數(shù)據(jù)就要自由流動��,涉及數(shù)據(jù)運營提升效率�、開放共享提升價值等必要性。所以在王文宇眼中��,再用過去的安全思路應(yīng)對數(shù)字時代下的數(shù)據(jù)安全問題�,?一定程度上就會有矛盾。所以��,以不影響業(yè)務(wù)正常運行為前提�,針對處于流轉(zhuǎn)中的數(shù)據(jù)提供保護的思路應(yīng)運而來�����。
直面數(shù)字時代數(shù)據(jù)安全處理與流轉(zhuǎn)挑戰(zhàn)
數(shù)字時代��,數(shù)據(jù)??從存儲�,到使用�,到共享等等環(huán)節(jié),風(fēng)險鏈路無處不在�����,在這個過程中??主要面臨的問題是什么�?王文宇表示,數(shù)字時代數(shù)據(jù)必然要流動起來����,而由此帶來的數(shù)據(jù)風(fēng)險敞口的不斷擴大,是目前數(shù)據(jù)處理安全防護最大痛點之一�����。
王文宇在演講中進一步指出�����,當(dāng)前環(huán)境下企業(yè)的主要數(shù)據(jù)風(fēng)險敞口表現(xiàn)如下:
1、違規(guī)采集風(fēng)險��;
安全團隊與業(yè)務(wù)團隊很難達到高度協(xié)同�����,過量采集或違規(guī)采集會時有發(fā)生���。
2、外部共享風(fēng)險�����;
數(shù)據(jù)驅(qū)動業(yè)務(wù)運營��,勢必涉及數(shù)據(jù)共享交換�����,甚至需要跟合作伙伴�����、分支機構(gòu)之間進行數(shù)據(jù)共享���。什么樣的數(shù)據(jù)可以共享外流�����,對操作人員及環(huán)境是否有安全監(jiān)控�����,應(yīng)遵循什么樣的策略�����?
3�����、內(nèi)部運行風(fēng)險�;
??人是安全事件發(fā)生的最大因素之一,甚至是合法用戶的無意操作也可能產(chǎn)生安全風(fēng)險���,伴隨著業(yè)務(wù)的復(fù)雜性及運行環(huán)境的多變�����,來自內(nèi)部的運行風(fēng)險將承載更大的安全事件占比��。
王文宇表示���,數(shù)據(jù)在不斷的流動��,如何實現(xiàn)全網(wǎng)各環(huán)節(jié)流動數(shù)據(jù)的監(jiān)測���,降低風(fēng)險敞口,并與業(yè)務(wù)系統(tǒng)�、人員參與運營的操作之間達成平衡,其實是一個非常復(fù)雜的事兒����,一定程度上有點像在蛋殼上跳舞�。
與此同時,數(shù)據(jù)保護另外一個棘手的問題是為流動中的數(shù)據(jù)提供有效保護��,而做好這一項工作����,先要盡可能的發(fā)現(xiàn)數(shù)據(jù),建立重要數(shù)據(jù)資產(chǎn)目錄清單���,才能不留防護死角�����。再為處于不同位置的數(shù)據(jù)提供技術(shù)保障���,如服務(wù)器端��、終端等處�����,甚至是零散的���、不經(jīng)常被業(yè)務(wù)系統(tǒng)訪問的位置。?
數(shù)據(jù)運營安全(DataSecOps)�,助力數(shù)字化轉(zhuǎn)型
進入數(shù)字時代,企業(yè)在數(shù)字化轉(zhuǎn)型過程中�,??業(yè)務(wù)驅(qū)動會產(chǎn)生大量數(shù)據(jù),加上企業(yè)過去積累的歷史數(shù)據(jù)重新流動����,??如何保證潛在的風(fēng)險不會發(fā)生?這就要求數(shù)據(jù)保護工作過程中���,需要做各種各樣探索和關(guān)聯(lián)�����,包括對服務(wù)器端���、網(wǎng)絡(luò)流量����、基于協(xié)議的����、?基于API的、包括端點一側(cè)的����,通過完整的數(shù)據(jù)處理分析過程,??形成一個完整的數(shù)據(jù)處理和使用過程的一個流圖���,才能發(fā)現(xiàn)潛在風(fēng)險。??
為了做好這件事�,王文宇認(rèn)為首先要建立一個良好的基礎(chǔ),即做好數(shù)據(jù)分類分級工作�。數(shù)安行目前通過積累的上千個數(shù)據(jù)分類分級模型,實現(xiàn)了AI自動化梳理來解決數(shù)據(jù)分類分級。一方面�,數(shù)據(jù)分類分級是合規(guī)剛需,另一方面�����,分類分級將輔助企業(yè)建立重要數(shù)據(jù)資產(chǎn)目錄清單�����,同時有利于相對應(yīng)的動態(tài)防護體系的建立���。
通過自動化梳理數(shù)據(jù)還能解決一個更加棘手的問題����,就是對暗數(shù)據(jù)的發(fā)現(xiàn)���,從基礎(chǔ)上才能不留數(shù)據(jù)防護死角����。
建立完數(shù)據(jù)分類分級��,接下來就要在數(shù)據(jù)流動的過程中實現(xiàn)自動化風(fēng)險監(jiān)測����。通過數(shù)據(jù)運營安全平臺(數(shù)安行零信任DataSecOps)���,為基于業(yè)務(wù)流轉(zhuǎn)的數(shù)據(jù)的每個環(huán)節(jié)都嵌入數(shù)據(jù)安全監(jiān)控點,解決風(fēng)險敞口問題����。基于數(shù)據(jù)運營安全DataSecOps理念��,對于數(shù)據(jù)處理人員�����、處理環(huán)境�、處理過程等等,實現(xiàn)全流程的持續(xù)風(fēng)險監(jiān)測評估和組合式的自適應(yīng)風(fēng)險管理�����。對于核心敏感數(shù)據(jù)�,實行從服務(wù)端到終端的全流程數(shù)據(jù)安全沙箱防護,保證數(shù)據(jù)可用不可見��,能用不能動�����。
最終形成的是���,一個平臺內(nèi)����,既可通過分類分級數(shù)據(jù)梳理合規(guī)剛需���,又能實現(xiàn)企業(yè)的敏感數(shù)據(jù)保護�����。
王文宇于TFC2021發(fā)表演講 對于數(shù)據(jù)安全的未來���,王文宇認(rèn)為,數(shù)據(jù)安全問題是一個綜合性的科學(xué)問題�����,以前的數(shù)據(jù)安全更多的是防泄露����,現(xiàn)在對于企業(yè)來講更現(xiàn)實的是做好監(jiān)管合規(guī)��,同時在數(shù)據(jù)安全的基礎(chǔ)上保證生產(chǎn)經(jīng)營效率�����。一個平臺同時能解決這兩件事件�,將是數(shù)據(jù)安全從業(yè)人員思考的方向�,和數(shù)據(jù)安全產(chǎn)品的落地方向。
做好數(shù)據(jù)安全是無止境的�����,因為數(shù)據(jù)安全跟業(yè)務(wù)高度關(guān)聯(lián)����,而業(yè)務(wù)又受技術(shù)的沖擊不斷產(chǎn)生新的變化,王文宇在演講最后表達了他的這一理解�����。這就要求數(shù)據(jù)安全要不斷加強與業(yè)務(wù)之間的關(guān)聯(lián)性�����,讓處于不同業(yè)務(wù)之間的數(shù)據(jù)流動始終處于安全狀態(tài)�,這也是數(shù)安行團隊不斷努力的方向�。
