现下,互联网及移动互联网的发展与广泛应用导致企业安全边界消失,提升数据安全治理能力成为数字经济时代的紧迫议题。由于数据分布在云、数据中心、终端、移动设备等各个位置,传统的基于防火墙、入侵防御系统构建的企业安全边界防护手段失效,很难进行有效的数据保护,数据安全存在极大的隐患。
对此,嘶吼对北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监杨明非进行了人物专访,就企业如何建设数据安全治理体系进行了深度访谈。
创业就该做点不一样的事
谈及加入天空卫士的初衷,杨明非还是坚信那句话:创业就是要做点没做过的事情,有挑战才有意思。
性格使然,如同他大学选择了自己并不擅长的英语专业。因本身还是喜欢理工科,杨明非一直都在自学计算机。源于兴趣,从初二开始,他就开始“捣弄”无线电,家里装满了好几大箱子的电路板、集成电路、CPU、三极管等各种电子元器件,直到现在还在组装功放、音箱。
1995年毕业之后的杨明非进了工厂,负责管理IT设备,正式进入了计算机行业。1997年开始接触负载均衡、数据库、灾备等专业领域,涉及到大量与安全相关的东西。
加入F5 Networks之后,他把全国大型银行的网银安全接入全部做了个遍,包括参与编写和制定网银建设的安全标准规范。F5的每一个安全相关产品推出,他总是第一个冲上去学习、理解并和客户做深入的讨论。
2015年,云计算刚刚兴起,云涉及到很多大型项目,渴望往上走的杨明非,希望能接触到更多的高层资源,有更广阔的发展空间。于是他加入了一家当时正在上升期的云计算公司,后来因为种种原因离开后,他重新开始看下一个增长点。
对于杨明非而言,之所以最终选择数据安全方向,基于两个原因:第一,彼时的F5 Networks一直期望转型做安全领域,但由于外企背景以及317号文要求银行100%使用国产化的安全产品,使个人发展空间受到很大限制;第二,在他看来,数据安全将来会是一个很大的机会发展点。
于是在2016年,他选择加入才成立一年的天空卫士,有充足的时间去学习和了解数据安全行业,直到第一个用户产品真正诞生。
构建数据安全治理体系
综合数据安全建设产品类型来看,传统国内厂商普遍提供通道型、终端类、工具级DLP产品,而国际主流厂商多提供集成型、整合功能(邮件安全网关或安全代理)为主的产品。
对于天空卫士而言,早在2017年,就开始实施UCS系统产品,把Web、数据、邮件、终端和移动设备安全等技术有效结合到统一的管控平台,把整个企业内部员工的办公网络进行全面覆盖,并且做到垃圾邮件防护和从内向外的敏感数据的防护。
杨明非表示,后来通过与客户的深度需求讨论和业界趋势分析,天空卫士在标准的数据安全的基础之上加入了人的行为分析。因为所有数据都是人在操作,无论是内部的坏分子或者内鬼,还是外部的黑客,而这些人的目标是都是数据资产。人对数据资产的操作行为,会体现出最主要的数据安全风险,也就是数据的流动性风险。
而在数字化转型的过程中,数据会被大量的分享和共享,这个过程中存在大量的数据安全风险。我们没有办法通过单一的策略去做判断数据的好坏,所以只能通过行为分析来识别。在网络安全体系中,即使是级别最高的零信任体系,也只是细化到应用的授权管理。但应用的访问授权并不能代表数据授权。因此,安全到最终需要解决的一个核心的问题,就是人和数据之间的关系,每个个体,是否能访问对应级别的数据。
历经2年的时间,杨明非和团队把整个产品体系推进了一步,融合统一内容安全技术(UCS)和内部威胁管理技术(ITM)推出内部威胁防护体系 (ITP),最终构建以人和数据为中心的数据安全体系,全面覆盖企业IT架构,在无边界的网络中保护企业的核心数据资产。
在数据安全法和个人信息保护法发布后,数据安全治理、数据分类分级保护被提高到了法律的高度,但对很多企业而言,对于数据安全治理如何能切合到企业的实际数据安全保护仍然是一个困惑的问题。而天空卫士一直以来的重点ITP体系,正好是对分类分级保护支撑,能对数据安全整理在企业中落地的最佳手段。因此,整合过去的经验,结合用户的实际需求,团队对内部威胁防护体系进行了革命性的升级,于2021年年底推出了数据安全治理自动化平台(DSAG)。
在DSAG中提出了更为宏大的平台体系设计,从数据的分类分级流程自动化开始,到数据识别模板的生成,通过对与应用系统数据处理的对接和传统办公环境中的关键节点通道分析。使用DSAG可以形成一个完整的以数据为中心的安全平台,提供分类分级保护和数据的存储、使用和流转的可视化管理。
数据安全建设处于“裸奔”阶段
在企业的数据安全体系建设里,杨明非发现,很多用户的数据安全建设,是处于一个“裸奔”的状态。
很多用户对数据安全的概念没有特别清晰的认识,认为修好了墙,数据就一定安全了。比如用虚拟桌面来处理所有的敏感数据,认为所有的数据都出不去,就认为已经安全了,然而事实上并非如此。任何的隔离系统都存在有外部数据交换通道,只要这些通道的传输内容没有进行很好的分析和保护,那对于数据安全来说就是“裸奔”。
举个简单的例子,在任何一个银行、金融机构或者很多企业都有第三方互联,以前拉个点到点的专线,两边防火墙一架,只允许两台机器之间进行通讯就认为高枕无忧,网络安全建设就到此为止。
但实际上,每家从不同的业务系统里面究竟取走了多少个人敏感信息,这些从数据安全角度来说,全部都是在盲区。很多时候在企业里,从生产到测试、数据的大量迁移的这些过程,以及一些内部的数据处理等系统,都是数据安全建设的一些高风险点,存在着很大的风险。
杨明非强调,数据安全从要充分考虑到和业务之间的平衡度。既要让业务跑的很好很顺畅,又要保证业务能去安全地保护这些数据。
这就需要从业务战略与合规的要求入手,首先对数据进行分类分级,区分出敏感数据和数据资产。然后按照数据的存储、使用和传输的情况制定整体的数据安全策略,通过对数据在哪里、如何被使用、被哪些人使用、如何被传输、如何被分享进行审计,根据需求选用相应的数据安全的产品和技术,从上至下从企业的整个业务框架到IT构架,实现为整个数据资产安全性的体系编排统一的策略。
随着《数据安全法》的发布,整个行业将处于一个爆发式的发展趋势。数据分类分级是数据安全治理中的第一步,之后就是数据安全保护体系的建设,这两个必须联系在一起,会有一个逐步的过程,但必然会进入一个爆发期。
“从数据安全这个行业来说,我们要做的事,就是顺势而为。大家要一起努力,把数据安全这个蛋糕往大了做。”杨明非最后表示。
人物简介:
北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监。华东理工大学EMBA,在安全相关工作领域有超过20年的从业经验,目前主要专注于数据安全治理平台与SASE安全接入服务边界体系的研究工作。现任中国信息协会信息安全专业委员会数据安全组长单位技术负责人;中关村可信联盟专家委员会专家委员;中国网络空间安全协会数据安全工作组成员;中国网络安全产业联盟专家委员;健康医疗信创与大数据分会专家成员;CCIA技术专家库专家。参与过全国30多家银行的双活数据中心建设,网上银行安全体系建设。
参与过金融、制造业、高科技、物流等多家大型企业的数据安全体系建设。曾参与人民银行、银保监的多个金融数据安全的行业规范制定。专注数据安全治理,熟悉金融行业的数据生命周期、场景化数据安全治理、各类数据安全技术应用等。
如若转载,请注明原文地址