當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

從理論到實(shí)踐 一文看懂?dāng)?shù)安行的數(shù)據(jù)運(yùn)營安全

 2020-12-24 17:08  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

數(shù)據(jù)運(yùn)營安全(DataSecOps),是由北京數(shù)安行科技有限公司在國內(nèi)首先提出的一種全新的數(shù)據(jù)安全防護(hù)理念,基于這套理念,數(shù)安行打造了數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)這樣一個(gè)產(chǎn)品,可以為客戶提供高效的、對業(yè)務(wù)無影響的數(shù)據(jù)安全防護(hù)。

對于這個(gè)新冒出來的名詞,很多小伙伴表示一臉茫然,也經(jīng)常與數(shù)據(jù)安全運(yùn)營等概念混淆。接下來,一篇文章為您解答關(guān)于數(shù)據(jù)運(yùn)營安全的種種疑問,帶您了解數(shù)安行的創(chuàng)新防護(hù)巧思。

1、什么是數(shù)據(jù)運(yùn)營安全?

數(shù)據(jù)運(yùn)營安全(DataSecOps)是一種新的數(shù)據(jù)安全防護(hù)理念。數(shù)安行站在數(shù)據(jù)運(yùn)營的角度,重新理解當(dāng)前數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的根本原因,并提出了應(yīng)對思路。

其核心是在數(shù)據(jù)運(yùn)營中內(nèi)嵌數(shù)據(jù)安全屬性,解決數(shù)據(jù)運(yùn)營過程中的數(shù)據(jù)安全問題,最終落地以一個(gè)產(chǎn)品或平臺(tái)的方式運(yùn)行。本質(zhì)即是對數(shù)據(jù)運(yùn)營的全流程進(jìn)行安全防護(hù)服務(wù),所有的安全防護(hù)都圍繞數(shù)據(jù)運(yùn)營展開,既覆蓋數(shù)據(jù)業(yè)務(wù)全流程,又與數(shù)據(jù)業(yè)務(wù)流程獨(dú)立運(yùn)行互不影響。

其目標(biāo)是在不影響數(shù)據(jù)業(yè)務(wù)流程正常運(yùn)行的情況下,更有效地保護(hù)組織內(nèi)的敏感數(shù)據(jù)資產(chǎn),對敏感數(shù)據(jù)的擴(kuò)散及濫用風(fēng)險(xiǎn)進(jìn)行快速響應(yīng),將數(shù)據(jù)安全防護(hù)策略傳遞至參與數(shù)據(jù)運(yùn)營的所有人員。

2、數(shù)據(jù)運(yùn)營安全理念產(chǎn)生的背景

說完以上概念,那大家就會(huì)問了,到底什么是數(shù)據(jù)運(yùn)營,當(dāng)前面臨的風(fēng)險(xiǎn)是怎么樣的,為什么需要運(yùn)用一套新的思路來解決看似老生常談的數(shù)據(jù)安全問題?

首先,數(shù)據(jù)成為新的生產(chǎn)要素。

2020年4月,中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》,明確地表示數(shù)據(jù)成為生產(chǎn)要素。這是中央發(fā)布的第一份關(guān)于要素市場化配置的文件,表明數(shù)據(jù)將會(huì)是未來社會(huì)數(shù)字化、信息化發(fā)展的重要基礎(chǔ)。

在大數(shù)據(jù)時(shí)代,誰能夠讓我們描述“看不見的世界”,誰就能夠代表未來。針對數(shù)據(jù)的收集、分析、挖掘及共享能力,決定了企業(yè)的競爭力和創(chuàng)新力。也因此,大部分企業(yè)已經(jīng)或者正在進(jìn)行主動(dòng)或被動(dòng)的數(shù)字化轉(zhuǎn)型。

其次,數(shù)據(jù)運(yùn)營環(huán)境和風(fēng)險(xiǎn)發(fā)生變化。

在數(shù)字化轉(zhuǎn)型過程中,企業(yè)面臨最顯著的變化就是業(yè)務(wù)主要由數(shù)據(jù)驅(qū)動(dòng),數(shù)據(jù)呈爆發(fā)式的增長,業(yè)務(wù)流程復(fù)雜,跨部門、跨角色的協(xié)作共享越來越多,大部分人都會(huì)參與到數(shù)據(jù)運(yùn)營的過程中,包括數(shù)據(jù)的生產(chǎn)、存儲(chǔ)、傳遞、接收、分析、共享等等環(huán)節(jié)。

這意味著,數(shù)據(jù)不再存在于單一的使用環(huán)境中,除了數(shù)據(jù)庫,還會(huì)存在于業(yè)務(wù)系統(tǒng)中、各類云應(yīng)用中、大數(shù)據(jù)平臺(tái)中以及每一臺(tái)終端,甚至每一個(gè)參與過數(shù)據(jù)運(yùn)營的人員手中。數(shù)據(jù)的格式、種類也極其豐富,數(shù)據(jù)存儲(chǔ)、流轉(zhuǎn)及使用已構(gòu)成一個(gè)復(fù)雜的數(shù)據(jù)生態(tài)。

這種變化提升了企業(yè)的數(shù)據(jù)利用效率,但是敏感數(shù)據(jù)也面臨更復(fù)雜的暴露風(fēng)險(xiǎn)和擴(kuò)散濫用風(fēng)險(xiǎn)。企業(yè)管理者可能并不完全知道敏感數(shù)據(jù)資產(chǎn)都有哪些、都存在哪里,內(nèi)部高速又繁雜的數(shù)據(jù)流轉(zhuǎn)容易導(dǎo)致敏感數(shù)據(jù)的無序擴(kuò)散和違規(guī)濫用,更不用說惡意的主動(dòng)泄密及攻擊竊取等危險(xiǎn)行為。這些容易產(chǎn)生風(fēng)險(xiǎn)的環(huán)節(jié)大部分發(fā)生在組織內(nèi)部,各種計(jì)算側(cè)環(huán)境中,而不是以往我們緊盯著的系統(tǒng)或網(wǎng)絡(luò)的邊界處。

再者,傳統(tǒng)的邊界防護(hù)逐漸式微。

正因?yàn)閿?shù)據(jù)的運(yùn)營環(huán)境和風(fēng)險(xiǎn)發(fā)生了轉(zhuǎn)變,因此傳統(tǒng)的防護(hù)手段開始顯得力不從心。在IT時(shí)代,企業(yè)的信息化建設(shè)是以系統(tǒng)和網(wǎng)絡(luò)為中心的,對應(yīng)的安全防護(hù)也是以系統(tǒng)和網(wǎng)絡(luò)邊界的防護(hù)為重心,更多關(guān)注邊界處的數(shù)據(jù)泄露和外部攻擊。只要攔住了,就沒事了。

但是對于上面提到的風(fēng)險(xiǎn)特點(diǎn),風(fēng)險(xiǎn)是在內(nèi)部積聚的,內(nèi)部敏感數(shù)據(jù)的存儲(chǔ)、擴(kuò)散風(fēng)險(xiǎn)到了失控的狀態(tài)時(shí),邊界的防護(hù)壓力就會(huì)非常大,防護(hù)效果顯著降低。而且這種敏感數(shù)據(jù)違規(guī)濫用的情況本身就不是發(fā)生在邊界處,因此大部分產(chǎn)品對于這種風(fēng)險(xiǎn)既無檢測感知能力,也沒有響應(yīng)保護(hù)能力。

傳統(tǒng)安全防護(hù)的產(chǎn)品邏輯已經(jīng)決定了,其本身就不具備敏感數(shù)據(jù)資產(chǎn)的識(shí)別能力,也不具備數(shù)據(jù)運(yùn)營全流程下敏感數(shù)據(jù)資產(chǎn)識(shí)別及跟蹤能力,拿不到高質(zhì)量的信息源,也就不能準(zhǔn)確識(shí)別這些風(fēng)險(xiǎn),更無法對這些風(fēng)險(xiǎn)進(jìn)行快速響應(yīng)處置,即使進(jìn)行產(chǎn)品升級也于事無補(bǔ)。

因此,數(shù)據(jù)運(yùn)營安全是應(yīng)對新時(shí)代數(shù)據(jù)安全問題的一個(gè)更好的解題思路。

既然安全風(fēng)險(xiǎn)產(chǎn)生于數(shù)據(jù)運(yùn)營的各個(gè)環(huán)節(jié),那防護(hù)就不應(yīng)該再盯著各個(gè)系統(tǒng)和網(wǎng)絡(luò),而是回到問題的本質(zhì),以數(shù)據(jù)為核心,圍繞數(shù)據(jù)運(yùn)營的全流程來展開防護(hù)。

同時(shí)數(shù)安行認(rèn)為,安全應(yīng)該是業(yè)務(wù)的推手而不是阻礙,不能讓安全妨礙業(yè)務(wù)的開展,數(shù)據(jù)一定要流動(dòng)起來才能產(chǎn)生價(jià)值,因此防護(hù)不是“一刀切”,不是“能攔就攔”,而是不影響業(yè)務(wù)流程的正常運(yùn)行,去進(jìn)行有效又無感的防護(hù)。

3、數(shù)安行是怎么做到“有效防護(hù)數(shù)據(jù)安全又不影響業(yè)務(wù)運(yùn)行”的?

數(shù)安行目前已經(jīng)建立了零信任數(shù)據(jù)運(yùn)營安全平臺(tái),將數(shù)據(jù)運(yùn)營安全的思維產(chǎn)品化,以人工智能為核心驅(qū)動(dòng),通過數(shù)據(jù)運(yùn)營安全切面的方式,在不改變網(wǎng)絡(luò)架構(gòu)、不改造業(yè)務(wù)的情況下,從數(shù)據(jù)本體防護(hù)角度出發(fā),提升數(shù)據(jù)運(yùn)營過程中數(shù)據(jù)自身的安全性,保證數(shù)據(jù)運(yùn)營過程中數(shù)據(jù)的安全。

·全類型多源敏感數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)及全景展示

數(shù)據(jù)運(yùn)營安全理念的真實(shí)落地,首先要具備的就是對敏感數(shù)據(jù)資產(chǎn)的全類型識(shí)別及準(zhǔn)確分類能力。數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)內(nèi)置了幾百種開箱即用的數(shù)據(jù)分類模型,支持上萬種數(shù)據(jù)格式識(shí)別,支持各類型文檔內(nèi)容深度解析,可以快速梳理出企業(yè)的敏感資產(chǎn)分布。

同時(shí)借助基于小樣本機(jī)器學(xué)習(xí)的數(shù)據(jù)精細(xì)分類智能模型,可以對各個(gè)行業(yè)、各類法律合規(guī)對應(yīng)的數(shù)據(jù)資產(chǎn)進(jìn)行快速準(zhǔn)確的分類分級。通過對業(yè)務(wù)系統(tǒng)、數(shù)據(jù)中心以及計(jì)算側(cè)等多源敏感數(shù)據(jù)資產(chǎn)進(jìn)行智能梳理,構(gòu)建敏感數(shù)據(jù)資產(chǎn)全景視圖,摸底組織內(nèi)敏感數(shù)據(jù)暴露風(fēng)險(xiǎn),并支持敏感信息的關(guān)聯(lián)分析及快速檢索。

高質(zhì)量、高效率的敏感數(shù)據(jù)分類,是數(shù)據(jù)運(yùn)營安全的基礎(chǔ)。

·全流程敏感數(shù)據(jù)流動(dòng)及擴(kuò)散風(fēng)險(xiǎn)感知

理清了敏感數(shù)據(jù),就需要掌握敏感數(shù)據(jù)的動(dòng)向,以便及時(shí)捕捉、追溯并處置風(fēng)險(xiǎn)行為。數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)建立了敏感數(shù)據(jù)與主體的映射關(guān)系,對敏感數(shù)據(jù)進(jìn)行全流程自動(dòng)標(biāo)注跟蹤,對用戶使用敏感數(shù)據(jù)也進(jìn)行標(biāo)注跟蹤,對異常應(yīng)用敏感數(shù)據(jù)探測回傳監(jiān)控,使得敏感數(shù)據(jù)的狀態(tài)變化及流轉(zhuǎn)軌跡可以追溯,以便實(shí)時(shí)感知敏感數(shù)據(jù)的擴(kuò)散及違規(guī)濫用風(fēng)險(xiǎn)。

對于違規(guī)濫用行為及時(shí)響應(yīng)處理,通過數(shù)據(jù)全鏈路跟蹤分析對于一些惡意的數(shù)據(jù)變形泄露以及一些APT攻擊竊取、勒索病毒加密破壞等都可以進(jìn)行準(zhǔn)確的識(shí)別以及及時(shí)的響應(yīng)處置,促進(jìn)數(shù)據(jù)有序流轉(zhuǎn)及安全協(xié)作共享。

對敏感數(shù)據(jù)進(jìn)行全流程的標(biāo)注跟蹤,以及流轉(zhuǎn)軌跡的智能聚合追溯,是數(shù)據(jù)運(yùn)營安全的核心。

·輕量化微隔離自適應(yīng)精準(zhǔn)防護(hù)

數(shù)據(jù)運(yùn)營過程中各個(gè)環(huán)節(jié)、各種數(shù)據(jù)角色操作的數(shù)據(jù)特點(diǎn)和重要程度有很大差異,這也要求對于不同環(huán)境、數(shù)據(jù)角色及風(fēng)險(xiǎn)用戶要采取不同的防護(hù)措施,這樣才能防止因?yàn)榉雷o(hù)過重或者不靈活導(dǎo)致的業(yè)務(wù)流程中斷等風(fēng)險(xiǎn)。

數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)內(nèi)置豐富的防護(hù)工具箱,包括零信任的安全沙箱、動(dòng)態(tài)的存儲(chǔ)隔離、流動(dòng)數(shù)據(jù)的微隔離防護(hù)、敏感內(nèi)容感知加密等等,借助分布式智能風(fēng)險(xiǎn)評估模型,可以很智能地實(shí)現(xiàn)基于用戶角色和風(fēng)險(xiǎn)變化的自適應(yīng)防護(hù)策略。

能夠根據(jù)個(gè)性化的用戶情況實(shí)現(xiàn)自適應(yīng)的精準(zhǔn)防護(hù),是數(shù)據(jù)運(yùn)營安全的保障。

4、數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)為什么不會(huì)影響業(yè)務(wù)的運(yùn)行?

前面多次提到,數(shù)據(jù)運(yùn)營安全理念堅(jiān)持的是既要覆蓋數(shù)據(jù)業(yè)務(wù)全流程,又與數(shù)據(jù)業(yè)務(wù)流程獨(dú)立運(yùn)行。不會(huì)阻礙業(yè)務(wù)施展的防護(hù)才是好防護(hù),否則只會(huì)被關(guān)停棄用。

這就不得不提數(shù)安行產(chǎn)品的安全切面邏輯。

在真實(shí)的數(shù)據(jù)運(yùn)營環(huán)境中,涉及到數(shù)據(jù)、人、流程等要素,從業(yè)務(wù)的角度來看,有個(gè)人隱私信息、運(yùn)維數(shù)據(jù)、商業(yè)機(jī)密等不同的數(shù)據(jù),訪問數(shù)據(jù)的是不同權(quán)限、不同身份角色的人員、接口和設(shè)備,環(huán)境中會(huì)進(jìn)行數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析、數(shù)據(jù)協(xié)作等多種操作流程。

對敏感數(shù)據(jù)資產(chǎn)從存儲(chǔ)到流轉(zhuǎn)、共享等各個(gè)環(huán)節(jié)進(jìn)行映射,那安全防護(hù)會(huì)涉及到身份鑒別、環(huán)境感知、數(shù)據(jù)發(fā)現(xiàn)、行為檢測、風(fēng)險(xiǎn)評估、標(biāo)注跟蹤、精準(zhǔn)防護(hù)等等方面。數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)這種基于安全切面的設(shè)計(jì)邏輯,可以完整、真實(shí)、實(shí)時(shí)地覆蓋到業(yè)務(wù)的全流程,同時(shí)又與業(yè)務(wù)互不干擾、互不影響。

5、數(shù)安行是如何將數(shù)據(jù)運(yùn)營安全與零信任進(jìn)行有機(jī)整合的?

零信任的本質(zhì)是“持續(xù)驗(yàn)證,永不信任”,對身份的驗(yàn)證和對環(huán)境以及用戶的風(fēng)險(xiǎn)評估是零信任的基礎(chǔ),也是數(shù)據(jù)運(yùn)營安全的基礎(chǔ)之一,兩者具備有機(jī)整合的底層邏輯基礎(chǔ)。

數(shù)安行對敏感數(shù)據(jù)內(nèi)容及使用環(huán)境進(jìn)行持續(xù)的檢測分析,對于使用數(shù)據(jù)的主體用戶也會(huì)進(jìn)行身份角色驗(yàn)證和持續(xù)的風(fēng)險(xiǎn)評估,數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái)本身具有用戶身份及授權(quán)設(shè)備的管理和雙重驗(yàn)證能力。

有了對敏感數(shù)據(jù)和用戶身份及風(fēng)險(xiǎn)的檢測識(shí)別能力,就可以準(zhǔn)確地識(shí)別內(nèi)部的擴(kuò)散風(fēng)險(xiǎn)和違規(guī)濫用風(fēng)險(xiǎn)。默認(rèn)所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的,基于這種持續(xù)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評估,才能真正實(shí)現(xiàn)自適應(yīng)的安全防護(hù)。數(shù)安行在對重要業(yè)務(wù)的訪問保護(hù)以及重要數(shù)據(jù)的隔離防護(hù)上都使用了零信任的安全架構(gòu),實(shí)現(xiàn)敏感數(shù)據(jù)的主客體準(zhǔn)確識(shí)別及風(fēng)險(xiǎn)動(dòng)態(tài)評估,以及對各種風(fēng)險(xiǎn)的及時(shí)響應(yīng)處置。

6、數(shù)據(jù)運(yùn)營安全與數(shù)據(jù)安全運(yùn)營有什么區(qū)別?

因?yàn)槊Q相近,也因?yàn)楹笳吒绯霈F(xiàn),許多用戶會(huì)認(rèn)為數(shù)安行也是做數(shù)據(jù)安全運(yùn)營的。

數(shù)據(jù)運(yùn)營是對于數(shù)據(jù)從存儲(chǔ)到流轉(zhuǎn)及使用一系列復(fù)雜流程的總稱,這其中除了人員,也涉及到多種多樣的工具、接口、產(chǎn)品和系統(tǒng)的使用。為了防范數(shù)據(jù)安全風(fēng)險(xiǎn),企業(yè)或多或少都部署了各種防護(hù)產(chǎn)品。隨著系統(tǒng)與業(yè)務(wù)的擴(kuò)大,防護(hù)產(chǎn)品也堆疊得越來越多。這過程中也產(chǎn)生了諸多的日志、預(yù)警等數(shù)據(jù),安全運(yùn)維人員需要關(guān)聯(lián)不同產(chǎn)品的數(shù)據(jù)和日志來進(jìn)行綜合分析評估,以便做出更正確的響應(yīng)決策。數(shù)據(jù)安全運(yùn)營便是這樣一套針對諸多安全產(chǎn)品的運(yùn)維思路,通過科學(xué)的流程、人員、工具的配合,讓運(yùn)維人員更好地發(fā)現(xiàn)、掌握數(shù)據(jù)運(yùn)營過程中的風(fēng)險(xiǎn),做出更高效的安全處置。

7、數(shù)安行的未來愿景

數(shù)據(jù)一定是在流動(dòng)中才能產(chǎn)生更多的價(jià)值,這不僅體現(xiàn)在我們所要保護(hù)的客戶業(yè)務(wù)數(shù)據(jù)中,也體現(xiàn)在安全防護(hù)自身當(dāng)中。因此數(shù)安行一直秉持著開放共享合作的心態(tài),意在建立全場景數(shù)據(jù)運(yùn)營安生態(tài)。

也基于此,產(chǎn)品平臺(tái)在一開始的設(shè)計(jì)上就考慮了這種生態(tài)的建立,借助數(shù)安行零信任數(shù)據(jù)運(yùn)營安全平臺(tái),可以對外輸出敏感數(shù)據(jù)資產(chǎn)的識(shí)別及分類能力、敏感數(shù)據(jù)的全流程標(biāo)注跟蹤能力、擴(kuò)散風(fēng)險(xiǎn)的態(tài)勢感知報(bào)告、以及自適應(yīng)工具箱的防護(hù)能力。這樣高價(jià)值的輸出,既能和其他品類的安全產(chǎn)品和應(yīng)用系統(tǒng)實(shí)現(xiàn)能力共享和擴(kuò)展延伸,促進(jìn)安全能力的有機(jī)快速流轉(zhuǎn);也能激活用戶的存量系統(tǒng)和產(chǎn)品能力,重新賦能、發(fā)揮這些產(chǎn)品在數(shù)據(jù)運(yùn)營中的防護(hù)效用。

最終,建設(shè)真正實(shí)現(xiàn)數(shù)據(jù)運(yùn)營安全的生態(tài)體系,為客戶提供全場景的數(shù)據(jù)運(yùn)營安全防護(hù)解決方案,讓數(shù)據(jù)安全地創(chuàng)造價(jià)值。

轉(zhuǎn)載請注明出處。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦