數(shù)據(jù)安全技術(shù)發(fā)展正面臨著前所未有的挑戰(zhàn)

數(shù)字化轉(zhuǎn)型時(shí)期，數(shù)據(jù)的開發(fā)利用、數(shù)據(jù)價(jià)值的再創(chuàng)造讓數(shù)據(jù)成為了新時(shí)代關(guān)注的焦點(diǎn)。數(shù)據(jù)開發(fā)利用的新場(chǎng)景、新興技術(shù)的應(yīng)用引入了全新的威脅風(fēng)險(xiǎn)，數(shù)據(jù)安全技術(shù)發(fā)展正面臨著前所未有的挑戰(zhàn)。

數(shù)據(jù)安全保護(hù)訴求正在發(fā)生變化

1、從以網(wǎng)絡(luò)和系統(tǒng)為中心到以數(shù)據(jù)為中心

長(zhǎng)期以來，數(shù)據(jù)作為相對(duì)靜態(tài)的資產(chǎn)，存放于數(shù)據(jù)庫中，傳統(tǒng)的防護(hù)以網(wǎng)絡(luò)和系統(tǒng)為中心，更多關(guān)注的是數(shù)據(jù)的存儲(chǔ)位置以及所在的業(yè)務(wù)系統(tǒng)。如今，數(shù)據(jù)成為新型生產(chǎn)資料，數(shù)量級(jí)急劇暴增，既有結(jié)構(gòu)化的數(shù)據(jù)也有非結(jié)構(gòu)化的數(shù)據(jù)，處理活動(dòng)變得頻繁，訪問、復(fù)制、傳輸數(shù)據(jù)的角色過多，數(shù)據(jù)擴(kuò)散在各個(gè)終端電腦中。此時(shí)，以網(wǎng)絡(luò)和系統(tǒng)為中心的防護(hù)策略從被保護(hù)對(duì)象層面來看粒度較粗，無法從數(shù)據(jù)價(jià)值、數(shù)據(jù)類型以及業(yè)務(wù)關(guān)系的角度對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理，無法根據(jù)數(shù)據(jù)的重要程度和泄露影響采取不同的管控措施。著眼于數(shù)據(jù)本體的防護(hù)策略的轉(zhuǎn)變成為新時(shí)代數(shù)據(jù)安全保護(hù)的要領(lǐng)，使保護(hù)對(duì)象更加清晰明確，讓數(shù)據(jù)安全保護(hù)擁有有效的抓手，安全收益得以量化。

2、從關(guān)注網(wǎng)絡(luò)邊界到跟蹤數(shù)據(jù)流轉(zhuǎn)路徑

過去，安全防護(hù)思想有明顯的內(nèi)外網(wǎng)之分，默認(rèn)內(nèi)部是安全可信的，安全動(dòng)作集中在內(nèi)外網(wǎng)邊界處，部署一系列檢測(cè)、監(jiān)控、攔截等感知和處置措施，阻斷數(shù)據(jù)泄露的可能性。伴隨數(shù)據(jù)使用場(chǎng)景的增加以及數(shù)據(jù)全面上云，數(shù)據(jù)生命周期中涉及的節(jié)點(diǎn)數(shù)量變多，數(shù)據(jù)形態(tài)多樣，在數(shù)據(jù)抵達(dá)邊界之前，在內(nèi)部流動(dòng)過程中，因暢通無阻且缺乏監(jiān)控，容易造成越權(quán)濫用、無序擴(kuò)散、存儲(chǔ)混亂等風(fēng)險(xiǎn)，惡意泄露以及被攻擊竊取的風(fēng)險(xiǎn)也在不斷增加，只進(jìn)行邊界防護(hù)存在很大的數(shù)據(jù)防護(hù)盲區(qū)。更早地識(shí)別并標(biāo)記組織內(nèi)的數(shù)據(jù)資產(chǎn)，并且對(duì)敏感數(shù)據(jù)流動(dòng)的軌跡、狀態(tài)的變化進(jìn)行記錄成為有力的突破手段，安全策略應(yīng)該依據(jù)敏感數(shù)據(jù)本身的風(fēng)險(xiǎn)變動(dòng)而做出細(xì)粒度的、動(dòng)態(tài)的控制。

3、從單品各自為陣到一致性安全原則

伴隨組織信息化逐步完善而建立起來的安全體系，逐漸從單薄走向了臃腫，復(fù)雜的IT架構(gòu)導(dǎo)致安全設(shè)備碎片化，異構(gòu)的產(chǎn)品之間采用不同的邏輯和策略，形成了新的數(shù)據(jù)安全孤島，帶來新的防護(hù)盲區(qū)。為了更高效和更有效地感知數(shù)據(jù)安全風(fēng)險(xiǎn)，做出恰如其分的處置措施，一體化的數(shù)據(jù)安全建設(shè)逐漸成為主流選擇，診療一體的數(shù)據(jù)安全管控平臺(tái)將成為踐行一致性安全原則的最佳實(shí)踐。

4、從被動(dòng)響應(yīng)到持續(xù)風(fēng)險(xiǎn)評(píng)估

網(wǎng)安法、數(shù)安法、個(gè)保法建立起來的數(shù)據(jù)安全保護(hù)頂層設(shè)計(jì)，以及眾多實(shí)施配套實(shí)施細(xì)則和標(biāo)準(zhǔn)釋放出強(qiáng)烈信號(hào)，未來數(shù)據(jù)安全合規(guī)監(jiān)管將會(huì)是常態(tài)化的工作，以查促建、以查促防采是根本，而并非針對(duì)安全事故進(jìn)行單獨(dú)的響應(yīng)。企業(yè)必須建立自動(dòng)化的、持續(xù)的合規(guī)評(píng)估流程和技術(shù)體系來應(yīng)對(duì)監(jiān)管，隨著數(shù)據(jù)不斷增刪和變動(dòng)、業(yè)務(wù)流程越來越復(fù)雜，自動(dòng)化的風(fēng)險(xiǎn)評(píng)估手段成為面對(duì)監(jiān)管考核的必備手段。

下一代數(shù)據(jù)安全保護(hù)思路趨勢(shì)和落地方式

基于以上數(shù)據(jù)安全保護(hù)訴求的變化，需要新的防護(hù)理念和安全架構(gòu)，使數(shù)據(jù)在全生命周期的處理活動(dòng)中都能保證被安全地存儲(chǔ)、使用、共享，既要滿足合規(guī)要求又要做到風(fēng)險(xiǎn)可控，這需要將數(shù)據(jù)防護(hù)措施從邊界延展到數(shù)據(jù)運(yùn)營(yíng)（DataOps）的全流程。數(shù)據(jù)安全左移是數(shù)字時(shí)代以數(shù)據(jù)為中心的安全發(fā)展的必然趨勢(shì)，使安全能力前置，在數(shù)據(jù)處理的第一現(xiàn)場(chǎng)持續(xù)對(duì)數(shù)據(jù)處理和使用的過程進(jìn)行追蹤，橫貫數(shù)據(jù)處理流轉(zhuǎn)的整個(gè)環(huán)節(jié)，發(fā)掘數(shù)據(jù)風(fēng)險(xiǎn)的真正源頭。

在數(shù)據(jù)安全左移之中，存在三個(gè)核心能力。第一是全鏈路數(shù)據(jù)識(shí)別和追蹤，即追蹤數(shù)據(jù)的各種使用維度，包括端點(diǎn)側(cè)、Server側(cè)、流量側(cè)、API側(cè)、Docker側(cè)等，數(shù)據(jù)安全永遠(yuǎn)關(guān)注數(shù)據(jù)的使用與流轉(zhuǎn)。第二是輕量化自適應(yīng)防護(hù)，當(dāng)無法承受全鏈路識(shí)別追蹤所帶來的壓力時(shí)，通過輕量化的方式，可以有效降低各維度的成本，包括最終使用側(cè)的成本與維護(hù)側(cè)的成本。通過自適應(yīng)的方式，根據(jù)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，便能實(shí)現(xiàn)對(duì)全流程進(jìn)行監(jiān)測(cè)和分析，以便對(duì)癥下藥。第三是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，脫離傳統(tǒng)的技術(shù)為輔、人力為主的方式，更多地以工具及產(chǎn)品為主導(dǎo)，利用自動(dòng)化的方式進(jìn)行風(fēng)險(xiǎn)評(píng)估，提高業(yè)務(wù)落地過程中的可執(zhí)行性。

根據(jù)Gartner的定義，DataOps是一種協(xié)作化數(shù)據(jù)管理實(shí)踐，專注于改善整個(gè)組織中數(shù)據(jù)管理人員和數(shù)據(jù)消費(fèi)者之間數(shù)據(jù)流的通信、集成和自動(dòng)化。通過在DataOps中內(nèi)嵌安全屬性的方式，可以實(shí)現(xiàn)數(shù)據(jù)安全左移的技術(shù)落地，DataSecOps是一種敏捷、整體、安全的嵌入式方法，用于協(xié)調(diào)不斷變化的數(shù)據(jù)及其用戶，旨在提供快速的數(shù)據(jù)價(jià)值，同時(shí)保持?jǐn)?shù)據(jù)的私密性、安全性和良好的管理。

1、敏感數(shù)據(jù)感知識(shí)別

基于人工智能技術(shù)的應(yīng)用，DataSecOps對(duì)數(shù)據(jù)進(jìn)行深度的識(shí)別，包括全類型、多源頭以及結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，甚至是暗數(shù)據(jù)，讓組織的海量數(shù)據(jù)不落死角清晰呈現(xiàn)，為業(yè)務(wù)運(yùn)營(yíng)與數(shù)據(jù)保護(hù)提供抓手支撐。對(duì)于個(gè)人隱私、商業(yè)數(shù)據(jù)、政務(wù)數(shù)據(jù)的本體特征、行業(yè)特征、合規(guī)特征等不同的角度，以數(shù)據(jù)為核心的主視角挖掘各種風(fēng)險(xiǎn)，通過數(shù)據(jù)分類模型及小數(shù)據(jù)機(jī)器學(xué)習(xí)能力，快速建立敏感數(shù)據(jù)知識(shí)圖譜，并支持文件內(nèi)容、個(gè)人信息以及數(shù)據(jù)血親關(guān)系的多維度快速檢索，輔助企業(yè)對(duì)數(shù)據(jù)進(jìn)行詳細(xì)梳理和分類研判，為安全合規(guī)與有效保護(hù)之間達(dá)成高度平衡。

2、持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)和自適應(yīng)防護(hù)

以數(shù)據(jù)為中心，DataSecOps向頻繁接受數(shù)據(jù)的業(yè)務(wù)和用戶靠近，對(duì)數(shù)據(jù)運(yùn)營(yíng)過程中的數(shù)據(jù)進(jìn)行自動(dòng)的梳理，全流程跟蹤數(shù)據(jù)的形態(tài)變化和運(yùn)行軌跡，完整溯源敏感數(shù)據(jù)流轉(zhuǎn)過程，持續(xù)評(píng)估數(shù)據(jù)在業(yè)務(wù)系統(tǒng)、計(jì)算終端、服務(wù)器接口等處的運(yùn)行風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)不同的數(shù)據(jù)角色和風(fēng)險(xiǎn)接受程度進(jìn)行自適應(yīng)的細(xì)粒度的防護(hù)策略，對(duì)于敏感數(shù)據(jù)流出業(yè)務(wù)范圍、越權(quán)訪問等風(fēng)險(xiǎn)快速識(shí)別響應(yīng)，實(shí)現(xiàn)基于業(yè)務(wù)的數(shù)據(jù)利用和數(shù)據(jù)安全的有效平衡。

3、數(shù)據(jù)安全風(fēng)險(xiǎn)合規(guī)評(píng)估

基于以上數(shù)據(jù)深度識(shí)別建立起的數(shù)據(jù)全流程追蹤與防護(hù)能力，DataSecOps為用戶建立的是數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知能力，最終，這種新理念下的安全平臺(tái)將服務(wù)于企業(yè)的數(shù)據(jù)使用和數(shù)據(jù)運(yùn)營(yíng)，類似于人體的健康體檢，持續(xù)在進(jìn)行數(shù)據(jù)安全評(píng)估，保障了企業(yè)的核心機(jī)密、用戶隱私數(shù)據(jù)保護(hù)的內(nèi)生需求和安全合規(guī)要求，指導(dǎo)企業(yè)進(jìn)行業(yè)務(wù)和安全整改完善，做到風(fēng)險(xiǎn)的持續(xù)收斂，通過多次循環(huán)的評(píng)估檢查過程最終實(shí)現(xiàn)數(shù)據(jù)的快速合規(guī)和安全運(yùn)用。

審核編輯：郭婷