當(dāng)前我國進(jìn)入“十四五”建設(shè)新征程。隨著數(shù)字化經(jīng)濟(jì)的快速發(fā)展,一場以數(shù)據(jù)為中心的網(wǎng)絡(luò)攻防戰(zhàn)已經(jīng)拉開序幕。跨界融合的業(yè)務(wù)、復(fù)雜多變的IT環(huán)境、持續(xù)創(chuàng)新的技術(shù),令傳統(tǒng)基于邊界的安全防護(hù)、單次靜態(tài)的安全策略配置已經(jīng)無法滿足數(shù)據(jù)業(yè)務(wù)發(fā)展的安全需求。
全面貫徹以“中華人民共和國數(shù)據(jù)安全法”為基礎(chǔ)的數(shù)字化戰(zhàn)略,構(gòu)建全場景數(shù)據(jù)安全運營能力。貼合客戶需求,形成場景化的數(shù)據(jù)安全解決方案,實現(xiàn)數(shù)據(jù)安全“全領(lǐng)域、全要素、全類型”的全面覆蓋,達(dá)到“全面防護(hù),智能分析,自動響應(yīng)”的數(shù)據(jù)安全防護(hù)效果,有效保護(hù)數(shù)據(jù)在全生命周期過程中的安全。
1. 全領(lǐng)域覆蓋的大數(shù)據(jù)共享交換安全
在新型基礎(chǔ)設(shè)施中,大數(shù)據(jù)中心已成為數(shù)據(jù)匯聚的核心平臺之一。根據(jù) Group統(tǒng)計顯示,全球超大規(guī)模數(shù)據(jù)中心數(shù)量增至659個,自2016年年中以來增加一倍多,結(jié)合過去三年數(shù)據(jù),超大規(guī)模數(shù)據(jù)中心的增長幾乎呈直線增長,每個季度平均有16個新數(shù)據(jù)中心上線。大數(shù)據(jù)中心將數(shù)字化世界產(chǎn)生的大量數(shù)據(jù)進(jìn)行集合,在統(tǒng)一存儲的同時,進(jìn)行高速的計算與處理,將挖掘與分析出的有價值數(shù)據(jù)提供到各行各業(yè)的應(yīng)用中,達(dá)到“取之于民、用之于民、造福于民”的作用。
大數(shù)據(jù)中心利用大數(shù)據(jù)平臺實現(xiàn)數(shù)據(jù)共享交換已經(jīng)成為趨勢,多種技術(shù)的融合也為大數(shù)據(jù)共享交換提供了有力的安全保障措施。融合技術(shù)創(chuàng)新成為數(shù)據(jù)安全治理方案的核心,運用多種機(jī)制綜合維護(hù)用戶數(shù)據(jù)安全,核心機(jī)制包括6種,分別是:基于大數(shù)據(jù)平臺環(huán)境的漏洞與配置檢查、基于數(shù)據(jù)采集匯聚環(huán)境的敏感數(shù)據(jù)掃描與定位、基于用戶身份的認(rèn)證與鑒權(quán)、基于API接口作為數(shù)據(jù)傳輸媒介的API安全防護(hù)與數(shù)據(jù)流向追蹤、基于前置數(shù)據(jù)庫的數(shù)據(jù)行為審計與加密保護(hù)、基于人工智能為依托的數(shù)據(jù)安全統(tǒng)一運營。與此同時,數(shù)據(jù)安全治理方案還要通過綜合應(yīng)用UEBA、數(shù)據(jù)挖掘、隱私計算、AI大數(shù)據(jù)分析等多種先進(jìn)技術(shù),并結(jié)合威脅情報庫,對整個大數(shù)據(jù)共享交換系統(tǒng)進(jìn)行全面的數(shù)據(jù)安全關(guān)聯(lián)分析和展現(xiàn),用可視化的效果實現(xiàn)對數(shù)據(jù)安全的全面運營。
圖1大數(shù)據(jù)共享交換安全
2. 全要素覆蓋的大數(shù)據(jù)業(yè)務(wù)安全
大數(shù)據(jù)安全中的全要素是指,由人員鏈、業(yè)務(wù)鏈、供應(yīng)鏈等因素發(fā)起的關(guān)聯(lián)式深度威脅。在我國數(shù)字化轉(zhuǎn)型的快速推進(jìn)時期,為了解決全要素的安全問題,需要轉(zhuǎn)變安全視角,從整體大數(shù)據(jù)業(yè)務(wù)出發(fā),圍繞對外的門戶業(yè)務(wù)、內(nèi)部辦公業(yè)務(wù)和生產(chǎn)業(yè)務(wù)、業(yè)務(wù)運維四種場景,結(jié)合多種檢測和防護(hù)技術(shù),在數(shù)據(jù)價值最大化的同時,保障大數(shù)據(jù)業(yè)務(wù)安全。
圖2數(shù)據(jù)場景及安全措施
圖2場景中,在業(yè)務(wù)系統(tǒng)與數(shù)據(jù)中心之間采用數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、API安全來做到相應(yīng)的防護(hù)與審計效果。對于運維場景,除了依靠堡壘機(jī)來防護(hù)以外,也同樣需要數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計和API安全來對數(shù)據(jù)進(jìn)行防護(hù),同時還應(yīng)具有數(shù)據(jù)掃描的能力,幫助業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)更多的數(shù)據(jù)風(fēng)險。終端側(cè),不管是辦公終端、生產(chǎn)終端,還是運維終端,要從準(zhǔn)入、加密、遠(yuǎn)程桌面、DLP等方面入手,全面保障數(shù)據(jù)的安全,謹(jǐn)防數(shù)據(jù)泄漏情況的發(fā)生。
大數(shù)據(jù)業(yè)務(wù)安全中一個重要的因素是用戶的確權(quán),不管是數(shù)據(jù)的采集、存儲、傳輸,還是使用、共享、銷毀,都需要根據(jù)數(shù)據(jù)的重要級別設(shè)置對應(yīng)的訪問權(quán)限,因此針對用戶應(yīng)提供全面統(tǒng)一的認(rèn)證管理,讓可信變成現(xiàn)實,權(quán)限關(guān)聯(lián)數(shù)據(jù)內(nèi)容,再結(jié)合統(tǒng)一的密鑰管理系統(tǒng),使數(shù)據(jù)的訪問認(rèn)證和加密相互關(guān)聯(lián),全面的保證數(shù)據(jù)的保密性、完整性和可用性。
圖3用戶權(quán)限與數(shù)據(jù)訪問安全
圖3中,數(shù)據(jù)在被訪問的同時需要依托動態(tài)的權(quán)限控制來保障數(shù)據(jù)的安全,這里就要提到兩款常見的產(chǎn)品(數(shù)據(jù)庫防火墻和數(shù)據(jù)脫敏),這兩款產(chǎn)品都是基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)、內(nèi)容識別與脫敏算法來實現(xiàn)對數(shù)據(jù)的訪問控制。其中數(shù)據(jù)庫防火墻主要包括對數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計和返回結(jié)果的脫敏能力,而數(shù)據(jù)脫敏主要包括動態(tài)脫敏、靜態(tài)脫敏,以及脫敏數(shù)據(jù)風(fēng)險評估的能力。從訪問權(quán)限的控制角度來看,數(shù)據(jù)庫防火墻在細(xì)粒度的訪問控制上優(yōu)勢更加明顯,數(shù)據(jù)脫敏則更加注重脫敏算法的多樣性,這兩種能力如果搭配來使用,會達(dá)到事半功倍的效果,讓具有不同權(quán)限的用戶或者業(yè)務(wù)系統(tǒng)在正常運行的情況下實現(xiàn)訪問數(shù)據(jù)內(nèi)容的可用不可見、所需方可見的效果。
圖4數(shù)據(jù)共享交換防泄漏
圖4中,數(shù)據(jù)在辦公和生產(chǎn)環(huán)境中的數(shù)據(jù)交換共享是常見的工作方式,很多單位用戶為了防范數(shù)據(jù)被員工有意或無意的泄漏,都會對敏感數(shù)據(jù)進(jìn)行加密,加密后的數(shù)據(jù)多少也會對交互產(chǎn)生一些影響,為了避免影響,可以采用加密與環(huán)境隔離的方式來實現(xiàn),及內(nèi)部數(shù)據(jù)不加密,只要在數(shù)據(jù)脫離環(huán)境時再進(jìn)行加密處理。在此基礎(chǔ)上再采用替換密鑰的方法,讓數(shù)據(jù)在跨環(huán)境交換時無需解密即可進(jìn)行交換,從而杜絕了數(shù)據(jù)丟失的風(fēng)險。
3. 全類型覆蓋的大數(shù)據(jù)風(fēng)險評估與安全防護(hù)
大數(shù)據(jù)安全中的全類型是指,環(huán)境的缺陷可導(dǎo)致外部和內(nèi)部的攻擊破壞和數(shù)據(jù)竊取,行為的不規(guī)范可導(dǎo)致惡意的竊取和無意識的濫用和泄漏。如何防范和杜絕風(fēng)險,就要對風(fēng)險點有準(zhǔn)確的識別能力,從數(shù)據(jù)安全風(fēng)險評估的角度可以總結(jié)為三類指標(biāo),包括:數(shù)據(jù)主體、數(shù)據(jù)環(huán)境、數(shù)據(jù)行為。數(shù)據(jù)主體除了對分類分級有明確定義外,其脆弱性難以評判,那么數(shù)據(jù)面臨的主要風(fēng)險就是來自其“數(shù)據(jù)環(huán)境”和“數(shù)據(jù)行為”,結(jié)合數(shù)據(jù)生命周期的六個階段,逐一對數(shù)據(jù)環(huán)境風(fēng)險和數(shù)據(jù)行為風(fēng)險進(jìn)行評估與判定,明確風(fēng)險,為防護(hù)手段提供確實的依據(jù)。如圖5所示。
圖5數(shù)據(jù)風(fēng)險點識別
對于惡意攻擊以及因無意識數(shù)據(jù)濫用發(fā)起的攻擊,根據(jù)數(shù)據(jù)主體、數(shù)據(jù)環(huán)境、數(shù)據(jù)行為所產(chǎn)生的風(fēng)險點,建立自動化的數(shù)據(jù)安全縱深防護(hù)預(yù)警體系進(jìn)行切實應(yīng)對。以數(shù)據(jù)為中心,向外對業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的態(tài)度,任意環(huán)節(jié)失信后都能實現(xiàn)熔斷保護(hù)圖數(shù)據(jù)庫應(yīng)用場景,利用更加智能的方式實現(xiàn)數(shù)據(jù)風(fēng)險的動態(tài)聯(lián)防。如圖6所示。
圖6自動化的數(shù)據(jù)安全縱深防護(hù)預(yù)警體系
圍繞數(shù)據(jù)主體、數(shù)據(jù)環(huán)境、數(shù)據(jù)行為,在用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè),以及數(shù)據(jù)中心,全面做好安全防護(hù)措施,外向內(nèi)防攻擊、防入侵、防篡改,內(nèi)向外防濫用、防偽造、防泄露。最關(guān)鍵的是,要對全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控制,實現(xiàn)環(huán)境感知,可信控制和全面審計。構(gòu)建統(tǒng)一的數(shù)據(jù)安全運營平臺,對整個網(wǎng)絡(luò)的威脅、日志持續(xù)監(jiān)控,通過內(nèi)外部的態(tài)勢數(shù)據(jù)、評估數(shù)據(jù)、情報數(shù)據(jù)的內(nèi)容,利用安全大數(shù)據(jù)對事件進(jìn)行快速分析,當(dāng)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏風(fēng)險、黑客入侵風(fēng)險、數(shù)據(jù)篡改風(fēng)險、越權(quán)訪問等數(shù)據(jù)安全風(fēng)險時,智能判斷風(fēng)險發(fā)生的位置、路徑、方式等,從而快速向風(fēng)險發(fā)生最近的或最直接的安全防御系統(tǒng)發(fā)出指令,安全防御系統(tǒng)根據(jù)指令調(diào)整安全策略,對鏈路、會話、行為等做出警告并阻斷操作圖數(shù)據(jù)庫應(yīng)用場景,實現(xiàn)自動化的響應(yīng)能力,及時發(fā)現(xiàn)問題,及時阻止安全問題。
總結(jié):
以“中華人民共和國數(shù)據(jù)安全法”為準(zhǔn)繩,強(qiáng)調(diào)以體系化建設(shè)為指引,引入新技術(shù)來優(yōu)化傳統(tǒng)技術(shù)和管理流程,通過實現(xiàn)自動化和半自動化以降低數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的運營成本,從而確立數(shù)據(jù)安全管理制度,提升數(shù)據(jù)安全治理與開發(fā)利用的技術(shù)水平,有效的應(yīng)對數(shù)據(jù)安全風(fēng)險與挑戰(zhàn),在保障數(shù)據(jù)安全的同時讓數(shù)據(jù)價值最大化。