下一代数据保护方案:DataSecOps数据运营安全
2020年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》对外公布,数据作为一种新型生产要素写入文件中,与土地、劳动力、资本、技术等传统要素并列为要素之一。
2021年3月12日,《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》正式发布,纲要中强调“加快数字化发展 建设数字中国 ”,随后我国进入数字化发展快车道,数字化转型已经成为各个行业都在加速发展的重要进程。
虽受新冠肺炎疫情影响,我国数字化转型增长有所放缓,但部分地区仍保持数字经济核心产业9%、整体数字经济40%比重的GDP占比高增长。据预测,到2022年,我国65%的GDP将由数字化推动,经济将走上深度数字化之路。数字化转型的核心除了发展新技术与新应用,对数据进行有效保护将作为发展的基础支撑,其重要性不言而喻。本文提出了结合人工智能,通过数据运营安全(DataSecOps)的数据保护思路与实践,将更加适合数字化转型下的数据保护工作有效落实。
数据保护面临挑战
1)数据增长快 传统边界消失
数字化转型下全球数字经济正在高速发展,相关报告称,2020年全球创造了59ZB的数据(1ZB=1万亿GB);2025年,全球新产生数据量将高达180ZB,数据将无处不在。如今,拥有PB(1PB=1024TB、1TB=1024GB)级数据存储量的企业已经很常见,很多数据经常被复制、共享和存储在多个资源库中。随着数据价值的增加,对数据的保护需求也在增加。
与此同时,数字化转型促使企业基础网络架构和业务系统正在发生重要转变,云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中,传统基于边界的网络安全防护手段已经无法对目前愈发复杂的网络环境提供全面保护,企业很难像过去一样快速找到一条明确的网络边界,对于时时处于流通中的数据提供防护,企业数据面临的安全挑战也愈发严峻。
2)数据保护立法合规要求
《网络安全法》的实施,以及等保2.0 时代的到来,明确了社会各个主体的网络安全责任和义务。《数据安全法》、《个人信息保护法》也在今年陆续出台,加之先前的《网络安全审查办法》以及最近推出的《关键信息基础设施安全保护条例》、《网络数据安全管理条例(征求意见稿)》,以及各行业部门的规范、标准,进一步明确了企业在数据安全保护方面的责任和义务。
3)数据本体特征冲击现有数据保护技术
现有的数据保护方式,主要存在以下问题:
①,主要解决数据在单个域内的安全,没有对不同域之间的数据流动进行保护。而数据只有流动起来,才能得到价值最大化。尤其是在大数据时代,数据孤岛被打破,企业业务线条复杂化,数据既可能在特定的业务服务流程中使用,也可能在不同的业务之间流动使用。在数据流动中保护个人信息,是个人信息保护的重点;
②,集中解决数据单个时期的安全问题,比如数据静态存储安全,或者监控数据检索、查询;保护了前端数据的存储、使用安全,但对前后端整个运维过程缺乏监管;
③,重在保护结构化数据,在处理非结构化数据方面存在空缺。
为保障数据安全合规,企业不得不部署大量的安全产品,如数据库审计、数据库防火墙、堡垒机等等,但这种以传统防护理念却忽视了数据本体根本特征,即数据只有在流通过程中才能创造价值。传统的安全理念或安全产品多解决的是边界防护,解决的是数据静态的安全问题,基于业务运营的数据安全问题则是动态的,需要解决的是数据流通过程中的安全问题。
根据前不久知名调研机构威瑞森发布的《2021年数据泄露调查报告》显示,85%的数据泄露涉及人的因素,即来自系统内部的人为疏忽依然是最大泄露威胁。从中不难看出,仅仅部署硬件边界防护产品不足以根本解决数据保护问题,基于业务运营中的数据全生命周期防护,将视为未来数据防护工作重点,而对应的安全产品或服务则需要从理念和安全架构上进行变革和革新。
下一代数据保护技术方案实现
《数据安全法》第二十七条明确表示:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”纵观国家及各行业的法律法规可以看到,数据处理活动共包含对数据的收集、传输、存储、使用、共享、销毁等,可见对数据基于业务流转过程的全生命周期保护,是数据保护的关键。
数安行率先于行业内提出的数据运营安全(DataSecOps)的数据保护思路,强调数据全生命周期流转运营过程中的内嵌安全属性,将敏感数据在基于业务的流动各环节和状态下的安全风险动态统一把控,将数据安全防护策略传递至参与数据运营的所有人员,以零信任技术为安全架构的DataSecOps,解决了人、环境的“持续验证、永不信任”,保证了数据运营过程中对于个人隐私、商业数据、政务信息、敏感数据的合规使用以及自适应的防护。
基于人工智能技术的应用,数安行零信任DataSecOps可以对数据进行深度的识别,包括全类型、多源头,以及结构化数据、非结构化数据,甚至是暗数据,让企业海量数据不落死角清晰呈现,为业务运营与数据保护提供抓手支撑。对于个人隐私、商业数据、政务数据的本体特征、行业特征、合规特征等不同的角度,零信任DataSecOps将以数据为核心的主视角挖掘各种风险,通过系统内置的上千个数据分类模型及万种文件类型识别能力,快速建立敏感数据知识图谱,并支持文件内容、个人信息以及数据血亲关系的多维度快速检索,辅助企业对数据进行详细梳理和分类研判,为安全合规与有效保护之间达成高度平衡。
要解决数据在流通过程中的安全风险,就要摸清企业面临的数据安全风险都在哪里,零信任DataSecOps以数据为中心,向频繁接受数据的业务和用户靠近,数据运营过程中的数据进行自动的梳理,全流程跟踪数据的形态变化和运行轨迹,持续评估数据在业务系统、计算终端、服务器接口等处的运行风险。基于风险评估结果,对不同的数据角色和风险接受程度进行自适应的细力度的防护策略。
下一代数据安全产品要在数据保护基础上为企业提供符合业务需要的运营价值。基于不同的风险和业务场景,零信任DataSecOps采用自适应的防护措施,比如内嵌的数据沙盒、数据隔离、微加密等不同的技术手段,对敏感数据的资产进行自动识别,通过以资产为核心、以数据为中心进行系细粒度的访问控制和防护体系的建设,实现基于业务的数据利用和数据安全的有效平衡。
基于以上数据深度识别建立起的数据分级分类和数据全流程追踪防护能力,零信任DataSecOps为用户建立的是数据安全风险态势感知能力,最终,这种新理念的安全产品将服务于企业的数据使用和数据运营,且建立在企业对经营数据及客户信息按照重要性和敏感性进行全面分类分级的基础上,保障了企业的核心机密与用户隐私数据保护的内生需求和安全合规要求。
应用数安行零信任DataSecOps无需企业对现有业务及网络做出任何改造,无需花费大量的系统改造成本,更无需牺牲业务构筑安全。同时数安行零信任DataSecOps应用了大量自主专利技术,并通过了信创兼容性测试,其严格的安全标准满足全行业实战部署要求,目前该方案已服务于大量的政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
结语
数字化转型作为经济增长的新方向,亟需利用新技术建立新产品、新业务模式和新的合作关系,从而增加商品&服务价值和竞争优势。几乎所有行业都有数字化转型的需求,数字化转型越早、转型越彻底的企业,将在现在和未来建立优势领导者地位。数据保护随着时代的发展,保护诉求也会发生新的变化,新技术的大量应用将令数据安全风险散落于各处。基于数据运营安全(DataSecOps)的数据保护方案,遵循数据保护的内生需求及合规要求,贴合数据运营又辅助数据安全运营,是当前阶段适应数据保护具有高价值的有效方案。
