11月24日至27日,以"新基建——安全為本"為主題的年度信息安全界盛會——NSEC WORLD成都·世界信息安全大會順利召開。大會由3大院士共同領銜,逾40家網安品牌同臺,近60位海內外演講嘉賓傾情奉獻,吸引逾70萬名全球觀眾觀看。作為數據安全代表企業,美創科技應邀出席參加此次大會。在數據安全及云安全分論壇上,美創科技CTO周杰進行了題為"馭數而新,安全為本——構建面向新基建的多維數據安全框架體系"的主題演講。
圖表 1美創CTO周杰主題演講
新基建浪潮下,新挑戰催生新安全理念
周杰在演講中指出,數字經濟時代,數據的價值迎來了影響深遠的革新,隨著"新基建"推進,多元技術的應用,數據已不再僅僅是信息的載體,而是與土地、勞動力和資本一樣,成為關鍵生產資料,通過開放、流通等不同方式創造價值,重塑個人生活方式與商業模式。
但數據價值提升的同時,也帶來不斷升級的安全風險。過去,基于網絡位置的傳統安全防護提供著強大的防御能力,而伴隨著"新基建"、數字化轉型的開展,先建設再定界、先定界再加固的傳統安全防護模式正在被顛覆:
圖表 2數字化時代催生安全新理念
首先,隨著5G、人工智能、工業互聯網、物聯網為代表的新型基礎設施建設加速,數據處在更加開放的環境,增加了數據曝露面,安全防御難度急劇上升。
其次,"新基建"聚焦于以數據的流動形成寶貴的數據資產,更追求數據集中和共享,集中后的數據風險問題更加凸顯。
面向新基建構建多維數據安全框架體系
在新基建、數字化轉型已成為必然趨勢,而能否保障好數據安全,可以說是數字化轉型成敗的關鍵。要解決數字基建面臨的新風險,這需要轉變傳統安全思維、企業在安全策略實施方面需要聚焦數據對象的本身,從各個場景出發構建動態的數據安全綜合防護體系,
為此,面向新基建建設、面向數字化轉型業務,美創科技在數據安全領域十余年的研究和實踐經驗基礎上,推出基于安全中臺新一代數據安全架構。
周杰介紹,美創科技新一代數據安全架構,從資產、入侵、風險三個視角為核心,以零信任、入侵生命周期、風險治理為理論指導,建立一套數據全生命周期的管控。
· 三個視角:
1) 資產視角: 基于零信任2.0架構,從資產出發,消除默認信任,形成以人為中心的身份管理,構筑基于上下文、行為為基礎的動態訪問控制體系。
資產有其所固有的模式,每份資產被訪問的模式基本是確定的,無論是業務系統還是運維人員,總是會在一定的范圍內。這就很好的為我們確立了訪問邊界。通過資產定義,資產梳理,分類分級,做好資產管理。只有知道了有什么,才能更好的去管控。從資產角度出發,建立一個虛擬的動態的訪問邊界,實現資產應該被誰訪問,確定最小訪問權限。讓我們的資產運行在一個安全的動態訪問邊界內。
圖表 3新一代數據安全架構——資產視角
2) 入侵視角: 打破傳統入侵防護每個階段割裂的狀態,通過分析入侵生命周期的特征,關注入侵過程中涉及到的資產、身份和行為,并根據不同的攻擊特征,多維度的定義出涉及到的資產、身份和行為,進而完善零信任的身份認證、資產授權管理等相關體系。入侵視角和資產視角互補,入侵視角可以為資產訪問邊界的確定提供有力的支撐。
圖表 4新一代數據安全架構——入侵視角
3) 風險視角: 風險治理從哪里開始一直是個難題,風險的多樣性增加了風險治理的難度。那么應該如何才能把風險治理落到實處?美創科技主張從六大維度來進行風險治理和評估。每一個維度都可以提供風險的素材。數據驅動安全,六大維度所固有的數據基準,可以為風險治理提供依據,從而把風險從混沌中提煉出來。
資產視角和入侵視角都可以在一定程度轉變為風險。風險是資產和入侵的一個產物。有了風險信息,我們就可以更好的去加強數據訪問控制。
圖表 5新一代數據安全架構——六大維度
· 安全中臺:
安全產品天生是場景化的,碎片化的。不同的部署位置,不同的目標,讓安全產品各自為政,一來讓客戶迷茫在眾多的安全產品之中,二來安全廠商也為產品安全的開發投入了大量的重復性勞動。為此,美創科技推出了安全中臺概念,把安全能力下沉到業務中臺。由業務中臺提供安全能力,在此基礎之上提供安全產品的快速搭建和統一管理。
圖表 6新一代數據安全架構——安全中臺
1) 以數據中臺和業務中臺的雙中臺架構,數據中臺提供訪問數據的感知、控制、處理、組織和集成,業務中臺則以數據中臺為基礎,為各種安全業務應用提供基礎能力。
2) 以資產和身份為核心構建感知控制體系,應對新場景下身份管理和使用模式的改變。
3) 以治理為手段,構建包括身份、資產、行為、結果、入侵階段和手段、風險庫、知識庫、行動上下文等在內的主數據體系,
4) 以事件為中心,實現持續動態檢測和響應。
5) 以 NIST CSF框架為指導,構建業務中臺,對外提供包括識別、保護、檢測、響應、恢復在內的完整的安全能力和功能輸出。
6) 以場景化驅動豐富的安全產品生態 ,通過各類安全產品融合聯動,促使安全從原來被動、割裂走向融合、場景化且統一管理。
全棧安全能力,實現全周期安全防護鏈
基于美創科技新一代數據安全架構,面向新基建、數字化轉型,各行各業過去依托單點、離散的數據保護措施,將升級主動、體系化的數據安全體系。
周杰表示,美創科技擁有完善的數據安全產品線,覆蓋數據使用安全、數據流動安全、外部入侵安全,數據存儲加密、防勒索、業務連續性安全、數據安全態勢感知等能力。
根據數據位置的不同,可通過以上產品和安全能力,采用不同的防護手段進行全局式防護,構建起從以往單點防護到對數據安全的全生命周期鏈條式的防護策略,掃除防護間的盲區,實現數據在哪里,安全就在哪里。安全跟著數據走。
· 當數據在數據中心時:
要解決的問題,就是數據如何正確的被使用。數據應該被誰在什么情況下使用以及什么情況下不能使用。通過資產定義,身份識別,訪問控制策略制定,確立資產訪問邊界。安全檢測點應該盡可能的靠近資產,離保護對象越近,所能獲取的保護對象信息就越多,保護也就越精準。
1) 采用存儲層加密,容災備份等手段,實現資產的連續性安全;
2) 多因子實現身份識別,默認不信任,先認證再連接;
3) 授權基于PBAC, 采取最小特權原則。不同身份執行不同策略;
4) 動態訪問控制引擎,基于風險評分,上下文等信息使訪問控制策略動態化;
5) 基于攻擊不同階段,挖掘特性,從攻擊全生命周期加強資產身份的邊界確認;
6) 實時全審計,實現事后追溯,快速定位。
· 當數據在流動路徑時:
在數據流動路徑上,增加檢測點,跟蹤數據安全狀態、數據流動軌跡。數據從數據中心出去后,就意味著失控,數據從一個相對安全的區域流到了不安全的區域。安全就應該跟著數據走。
1) 進行全流量加密,實現防劫持和防窺探;
2) 進行敏感數據脫敏,實現防泄漏和去隱私化;
3) 添加數字水印,確保數據流轉過程防篡改和可溯源。
· 當數據在終端落地時:
當數據在終端落地后,面臨的威脅將更大,因為終端設備的狀況復雜多樣。需要從多個維度來保障數據的安全性。數據自身的存儲、數據使用狀態、數據二次分發等等。
1) 采取環境監測、透明加解密、權限控制、數字水印、威脅監測響應等防護手段,以應對終端復雜的安全環境。
"馭數而新,安全為本",新基建時代,數據增值成為發展引擎,數據安全是發展保障,作為國內領先的數據安全和數據管理領域服務商,美創科技也將加大數據安全領域的投入,聯合產業鏈企業,為數字經濟保駕護航。
