导语:这是一套专属建设数据安全领域的方法论。
随着《中华人民共和国数据安全法》、《数据出境安全评估办法》、《网络数据分类分级要求》等法律法规和标准的陆续颁布,数据安全发展的政策趋势越来越明朗,但要落实到企业实践当中,还必须有科学的方法做为指导,才能让数据安全和业务融合在一起,数据跑的放心,安全做的有价值。
工欲利其事,必先利其器。近日,亿赛通总经理崔培升根据自身近二十年时间的网络安全行业实践和经验,在实战中淬炼出“分放管服”四步双闭环建设数据安全理念,其超前、系统、全面的数据安全建设方法论,为业界提供了一定的科学指引。
亿赛通总经理 崔培升
为此,嘶吼对他进行了独家人物专访,深刻解读数据安全建设的最新思路。
“分”是源头
基于安全行业的大好前景及相关了解,崔培升逐步走进网络安全领域。自2015年起,他开始着手管理亿赛通,聚焦更具前瞻性的数据安全赛道。
在崔培升看来,2015年国务院提出的“放管服”的改革理念,从简政放权、放管结合、优化服务三个方面梳理行政权和市场的关系,同样可以适用指导从制度和技术层面来建设数据安全。
但是,还有一个前提是必须确定管理对象。从违规角度讲,数据本身不会违规,所有的流动都是人的意志,违规的一定是人,所以也要把对数据进行操作的人管理好。那么做好数据安全就要增加一个“分”字,分清人的行为和数据这两个管理对象,这样就形成了“分放管服”的数据安全建设理念。
对于数据要进行分类分级,识别数据属性、所有权,依法并依据企业实际业务归类,根据敏感或重要程度分级,逐渐形成重要数据资产化,重要信息敏感化,然后根据类和级定策略进行保护。不同行业数据模型有很大差别,基本原则是一样的。
在技术上,首先要建立模型,对数据进行准确的定义以及关联分析。通过机器学习,对已有的数据要具备扫描和鉴别能力,对新的数据打上标签,定义为核心数据;其次结合不同场景,从而进行数据分类分级的精准落地。
崔培升强调,“分”很关键,不能“眉毛胡子一把抓”。比如一般数据处理若增加了审批过程的复杂度,就会降低业务效率;如果把企业核心数据定义为重要数据或者一般数据,降级之后有可能会造成数据泄露的损失。
对于人要区分对象,分清职责和权限,权责对等,并减少特权账户,根据职责和权限匹配业务策略,匹配数据策略,确保权责和数据重要程度匹配,和业务的重要性匹配,有利于保障业务在保证数据安全的情况下畅通运行。
“人”是指内部人员或“内鬼”,而非外部黑客,在每个业务上是不同权限的合法用户。公司应该根据治理安全框架,通过层级,开放权限,赋予“人”不同的权利。一旦发生变动,要及时通过系统预警进行处理。
“分”是源头,非常重要。数据分类分级没做好就会导致乱管,越管越乱,限制了业务发展,阻碍了数据流转,最后业务部门抵制;或者对人的权限职责没有分好,造成突破规则、侵占公共数据、滥用或者泄露重要数据等行为,数据安全得不到落实。
实现“分放管服”双闭环建设
数据安全的外延越来越大,前几年,基本上数据防护要求做到不泄露即可,但是现在数据作为第五大生产要素,更要求数据要产生价值,以及保值增值。
尤其是云端、网端、终端都有数据,数据的暴露面很大。不同场景下,接触到数据的不同用户,在应用过程当中,有些行为会导致数据的量变引起质变,造成严重的数据安全问题。所以,一定要对人和数据进行分类分级,根据不同层级,制定相应的对策,根据业务的匹配程度去实行“放”和“管”。
“放”是明确数据自由流动程度及合规账户能做什么,目的是为了业务的便利性,让数据快速高效的运转服务于业务。“放”一定是有规则和标准以及事后管理的,一般数据和合规行为可以放行,但要配备事后要进行审计。
审计的目的有三个:一是防止新的数据和账户未做好合适的分类分级和分权分责,二是防止特殊审批造成数据和账户权限超出安全底线,第三更重要的是审计由量变到质变引发的安全问题,一个合规账户下载一条业务信息是正常处理,下载一百条有可能就超出了正常业务的范围,需要预警和处置。
制定制度是“管”的依据和行政工具,安全产品是“管”的技术工具,分类分级和分权分责是确定对象和范围,用行政工具和技术工具管确保对象在约定的范围内按制度运作就是“管”。“管”的技术工具有很多种,比如DLP、加密、合规审查工具、脱敏、隔离交换、血缘分析工具等等。
由于数据爆炸性增长,由静态数据安全管理做到动态数据安全管理,由被动数据安全管理做到主动数据安全管理,由单一数据安全管理手段做到智慧综合数据安全管理,是非常难的,需要一个不断持续加强的过程。这就需要能够时时监测到数据状态的变化以及针对数据的行为,需要”服”来完成。
“服”指的是数据安全制度体系和技术手段都是为企业业务服务的,业务数据是核心,确定数据的所有权、使用权和经营权,让数据能够合理合法的被使用和交易,确保数据信息不泄露、数据资产不流失,让数据在保证安全的情况被使用和交易,这就是围绕数据做安全在业务层面的意义。
总体来说,“分放管服”数据安全建设理念是一个以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系,帮助企业形成扎实可靠的综合数据安全能力。
第一个闭环是从业务源头落实对数据分类分级、对人分权分责,制定和实施不同的策略,通过放管结合,构建动态的、主动的、智慧的、可运营的数据安全服务于业务的体系,形成“分放管服”的正反馈闭环。
第二个闭环是从制度层和技术层同时入手,制度主建指导数据安全体系建设,做到有规可依,技术主战保障制度实施,做到有规必依,违规必纠;通过技术不断发现风险补制度漏洞,优化制度,通过制度对技术创新提要求,形成制度和技术的循环优化闭环。
业务从“单一”走向“综合”
崔培升表示,现在只提供单一安全产品的厂商,面对用户的“一揽子”解决需求,必须拥有一个能够提供完整的解决方案的综合能力。
因为数据的存在形式非常多,针对不同的数据类型,需要不同的应用产品,结合业务,才能满足用户的各种需求。
如何能更好的为业务本身服务?需要搭建数据安全运营管理平台,建立数据识别能力、防护能力、监测处置能力,搭配安全策略,形成综合运营能力。
事前能了解每一条敏感数据从产生到存储使用到流转销毁的全生命周期过程,能了解用户对数据的所有操作,实现数据资产的时时动态分析;事中定期扫描敏感数据和高危行为,及时发现风险,并预警及处置,事后能做溯源取证、关联分析。
亿赛通以文档加密起家,迄今已有20多年。目前已经发展成为国内第一家既有结构化数据、非结构化数据和数据平台的安全企业。
崔培升表示,“分放管服”双闭环建设理念符合数据安全建设的三个阶段:数据治理、数据防护、数据流转,与此同时,每个阶段也需要相应的技术产品支持。
在数据安全治理上,亿赛通以“人”和“数据”为中心,从技术到产品、从策略到管理,提供完整的产品与服务支撑,实现业务与安全的深层融合。将现有的各个独立的数据安全技术和功能整合,构建了自上而下、全流程、可闭环的完整链条;在数据安全防护上,将数据细分为对结构化、非结构化和半结构化,基于云、网、端三类场景对电子文档、数据库进行全方位多维度管理。
面对网安行业内卷严重的现状,崔培升说到,一定要减少恶意竞争。安全行业是一个持续增长的行业,像跑步一样需要耐力,需要踏踏实实。
用心做好安全产品,真正了解用户的需求,除了必须具备解决客户现有问题的能力之外,还要拥有预判力,有梯度地进行规划建设。采用“分放管服”四步双闭环建设数据安全,从而系统性地解决问题,实现产业共赢。
人物简介
崔培升,毕业于清华大学,获得工程管理硕士MEM;清华大学-北卡罗莱纳大学EMBA,获得北卡罗来纳大学凯南商学院工商管理硕士学位。从事网络安全和数据安全行业近二十年,深入洞察产业趋势,现任中国开发区协会商业秘密保护专业委员会主任、海淀中小企业协会副会长、中关村海新联新兴产业促进会副会长、中国信息通信研究院数据安全共同体计划专家、北京亿赛通科技发展有限责任公司总经理,全面负责公司经营及管理工作,带领公司取得工信部“专精特新”小巨人、双高新技术企业等多项国家级资质认证。在业内率先提出“分·放·管·服”数据安全建设理念,不断延伸技术优势,从单一的文档加密厂商扩展到综合数据安全厂商,保持公司业绩长期稳定增长。
如若转载,请注明原文地址