王文宇(圖中)應(yīng)邀出席TFC2021

王文宇是一位有著近20年從業(yè)經(jīng)驗的安全老兵,更可以說是中國第一代數(shù)據(jù)安全專業(yè)從業(yè)人士。在他眼中,數(shù)據(jù)安全問題一直存在,只是大家理解不同,造成數(shù)據(jù)安全自身的定義存在差異化,但直到最近兩年,在時代機(jī)遇下迸發(fā)出前所未有的火熱,那就是數(shù)字時代的來臨,以及政府層面的法規(guī)推動。?

傳統(tǒng)數(shù)據(jù)孤島管控與數(shù)字時代流通性相矛盾

王文宇于TFC2021發(fā)表演講

演講中王文宇表示,過去談及數(shù)據(jù)安全更多的會看到兩點,一個是存儲,另?一個是鏈路。這些都源于傳統(tǒng)網(wǎng)絡(luò)安全概念里基于點\域的防護(hù)理念。比如存儲側(cè)會采用一些像加密、??災(zāi)備等方式來解決數(shù)據(jù)安全問題;鏈路側(cè)采用像VPN、??密碼機(jī)、加密機(jī)等方式來解決數(shù)據(jù)安全問題。整體而言,過去的做法是以數(shù)據(jù)孤島為核心、對數(shù)據(jù)本身進(jìn)行嚴(yán)管控的解決思路。

而??數(shù)字時代,數(shù)據(jù)已經(jīng)成為生產(chǎn)要素,只有處于流動中的數(shù)據(jù)才能創(chuàng)造價值,它的流動性是第一價值訴求。把數(shù)據(jù)鎖起來肯定不成,??但是數(shù)據(jù)真的可以自由的流動嗎?問題就在于數(shù)字時代數(shù)據(jù)就要自由流動,涉及數(shù)據(jù)運(yùn)營提升效率、開放共享提升價值等必要性。所以在王文宇眼中,再用過去的安全思路應(yīng)對數(shù)字時代下的數(shù)據(jù)安全問題,?一定程度上就會有矛盾。所以,以不影響業(yè)務(wù)正常運(yùn)行為前提,針對處于流轉(zhuǎn)中的數(shù)據(jù)提供保護(hù)的思路應(yīng)運(yùn)而來。

直面數(shù)字時代數(shù)據(jù)安全處理與流轉(zhuǎn)挑戰(zhàn)

數(shù)字時代,數(shù)據(jù)??從存儲,到使用,到共享等等環(huán)節(jié),風(fēng)險鏈路無處不在,在這個過程中??主要面臨的問題是什么?王文宇表示,數(shù)字時代數(shù)據(jù)必然要流動起來,而由此帶來的數(shù)據(jù)風(fēng)險敞口的不斷擴(kuò)大,是目前數(shù)據(jù)處理安全防護(hù)最大痛點之一。

王文宇在演講中進(jìn)一步指出,當(dāng)前環(huán)境下企業(yè)的主要數(shù)據(jù)風(fēng)險敞口表現(xiàn)如下:

1、違規(guī)采集風(fēng)險;

安全團(tuán)隊與業(yè)務(wù)團(tuán)隊很難達(dá)到高度協(xié)同,過量采集或違規(guī)采集會時有發(fā)生。

2、外部共享風(fēng)險;

數(shù)據(jù)驅(qū)動業(yè)務(wù)運(yùn)營,勢必涉及數(shù)據(jù)共享交換,甚至需要跟合作伙伴、分支機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)共享。什么樣的數(shù)據(jù)可以共享外流,對操作人員及環(huán)境是否有安全監(jiān)控,應(yīng)遵循什么樣的策略?

3、內(nèi)部運(yùn)行風(fēng)險;

??人是安全事件發(fā)生的最大因素之一,甚至是合法用戶的無意操作也可能產(chǎn)生安全風(fēng)險,伴隨著業(yè)務(wù)的復(fù)雜性及運(yùn)行環(huán)境的多變,來自內(nèi)部的運(yùn)行風(fēng)險將承載更大的安全事件占比。

王文宇表示,數(shù)據(jù)在不斷的流動,如何實現(xiàn)全網(wǎng)各環(huán)節(jié)流動數(shù)據(jù)的監(jiān)測,降低風(fēng)險敞口,并與業(yè)務(wù)系統(tǒng)、人員參與運(yùn)營的操作之間達(dá)成平衡,其實是一個非常復(fù)雜的事兒,一定程度上有點像在蛋殼上跳舞。

與此同時,數(shù)據(jù)保護(hù)另外一個棘手的問題是為流動中的數(shù)據(jù)提供有效保護(hù),而做好這一項工作,先要盡可能的發(fā)現(xiàn)數(shù)據(jù),建立重要數(shù)據(jù)資產(chǎn)目錄清單,才能不留防護(hù)死角。再為處于不同位置的數(shù)據(jù)提供技術(shù)保障,如服務(wù)器端、終端等處,甚至是零散的、不經(jīng)常被業(yè)務(wù)系統(tǒng)訪問的位置。?

數(shù)據(jù)運(yùn)營安全(DataSecOps),助力數(shù)字化轉(zhuǎn)型

進(jìn)入數(shù)字時代,企業(yè)在數(shù)字化轉(zhuǎn)型過程中,??業(yè)務(wù)驅(qū)動會產(chǎn)生大量數(shù)據(jù),加上企業(yè)過去積累的歷史數(shù)據(jù)重新流動,??如何保證潛在的風(fēng)險不會發(fā)生?這就要求數(shù)據(jù)保護(hù)工作過程中,需要做各種各樣探索和關(guān)聯(lián),包括對服務(wù)器端、網(wǎng)絡(luò)流量、基于協(xié)議的、?基于API的、包括端點一側(cè)的,通過完整的數(shù)據(jù)處理分析過程,??形成一個完整的數(shù)據(jù)處理和使用過程的一個流圖,才能發(fā)現(xiàn)潛在風(fēng)險。??

為了做好這件事,王文宇認(rèn)為首先要建立一個良好的基礎(chǔ),即做好數(shù)據(jù)分類分級工作。數(shù)安行目前通過積累的上千個數(shù)據(jù)分類分級模型,實現(xiàn)了AI自動化梳理來解決數(shù)據(jù)分類分級。一方面,數(shù)據(jù)分類分級是合規(guī)剛需,另一方面,分類分級將輔助企業(yè)建立重要數(shù)據(jù)資產(chǎn)目錄清單,同時有利于相對應(yīng)的動態(tài)防護(hù)體系的建立。

通過自動化梳理數(shù)據(jù)還能解決一個更加棘手的問題,就是對暗數(shù)據(jù)的發(fā)現(xiàn),從基礎(chǔ)上才能不留數(shù)據(jù)防護(hù)死角。

建立完數(shù)據(jù)分類分級,接下來就要在數(shù)據(jù)流動的過程中實現(xiàn)自動化風(fēng)險監(jiān)測。通過數(shù)據(jù)運(yùn)營安全平臺(數(shù)安行零信任DataSecOps),為基于業(yè)務(wù)流轉(zhuǎn)的數(shù)據(jù)的每個環(huán)節(jié)都嵌入數(shù)據(jù)安全監(jiān)控點,解決風(fēng)險敞口問題?;跀?shù)據(jù)運(yùn)營安全DataSecOps理念,對于數(shù)據(jù)處理人員、處理環(huán)境、處理過程等等,實現(xiàn)全流程的持續(xù)風(fēng)險監(jiān)測評估和組合式的自適應(yīng)風(fēng)險管理。對于核心敏感數(shù)據(jù),實行從服務(wù)端到終端的全流程數(shù)據(jù)安全沙箱防護(hù),保證數(shù)據(jù)可用不可見,能用不能動。

最終形成的是,一個平臺內(nèi),既可通過分類分級數(shù)據(jù)梳理合規(guī)剛需,又能實現(xiàn)企業(yè)的敏感數(shù)據(jù)保護(hù)。

王文宇于TFC2021發(fā)表演講

對于數(shù)據(jù)安全的未來,王文宇認(rèn)為,數(shù)據(jù)安全問題是一個綜合性的科學(xué)問題,以前的數(shù)據(jù)安全更多的是防泄露,現(xiàn)在對于企業(yè)來講更現(xiàn)實的是做好監(jiān)管合規(guī),同時在數(shù)據(jù)安全的基礎(chǔ)上保證生產(chǎn)經(jīng)營效率。一個平臺同時能解決這兩件事件,將是數(shù)據(jù)安全從業(yè)人員思考的方向,和數(shù)據(jù)安全產(chǎn)品的落地方向。

做好數(shù)據(jù)安全是無止境的,因為數(shù)據(jù)安全跟業(yè)務(wù)高度關(guān)聯(lián),而業(yè)務(wù)又受技術(shù)的沖擊不斷產(chǎn)生新的變化,王文宇在演講最后表達(dá)了他的這一理解。這就要求數(shù)據(jù)安全要不斷加強(qiáng)與業(yè)務(wù)之間的關(guān)聯(lián)性,讓處于不同業(yè)務(wù)之間的數(shù)據(jù)流動始終處于安全狀態(tài),這也是數(shù)安行團(tuán)隊不斷努力的方向。

分享到

xiesc

相關(guān)推薦