随着数字经济的快速发展,数据安全的重要性日益突显。企业在数据安全方面面临着威胁形势的不断变化、合规监管政策的不断调整、技术环境的不断演进以及业务环境的不断变化,这些变化使得企业在数据安全方面的压力与日俱增。
“数据为中心的安全”
面临的老问题
数据安全需要化繁为简
随着数字经济的快速发展,数据安全的重要性日益突显。企业在数据安全方面面临着威胁形势的不断变化、合规监管政策的不断调整、技术环境的不断演进以及业务环境的不断变化,这些变化使得企业在数据安全方面的压力与日俱增。
“数据为中心的安全”
面临的老问题
1、敏感数据的可见性差,难以实时掌握它的变化
企业对于敏感数据的属性、位置、安全级别等信息了解不够全面和实时,难以有效地实施数据保护措施。
首先,敏感数据类型多样,包括个人身份信息、财务信息、医疗健康信息等等。这些敏感数据往往分散在不同的系统、应用程序和数据库中,由于缺乏全面的数据清单和统一的数据管理平台,企业很难准确地掌握这些数据的分布和状态。
其次,敏感数据的物理位置和逻辑位置也是一个重要的问题。随着云计算、大数据等新技术的发展,越来越多的企业将数据存储在公共云或私有云中,甚至在多个云中。这些数据的物理位置可能分布在不同的地理位置,或者由不同的服务提供商托管。这给数据的管理和保护带来了极大的挑战。
最后,敏感数据的变化难以实时感知。由于数据的复杂性和多样性,企业很难在第一时间掌握数据的变化,例如数据的增加、删除、修改等等。这样一来,企业就难以快速地发现和应对潜在的数据安全威胁。
综上所述,企业需要全面了解其敏感数据的属性和位置,才能建立有效的数据管理和保护措施,更好地应对数据安全挑战。
数据安全分类分级是指将企业的数据按照不同的安全等级进行分类,以便于制定不同的安全保护措施和管理策略。例如,个人信息和财务数据等敏感数据通常需要更高级别的安全保护,而与日常业务相关的数据可能需要较低级别的安全保护。
然而,很多企业在进行数据安全分类分级后,并没有直接将分类分级的成果用于具体的技术保护策略。导致了数据安全分类分级和技术保护措施之间存在脱节。换句话说,企业在进行数据分类分级后,可能没有制定相应的安全保护措施,或者制定的措施与分类分级不匹配,从而无法真正实现对敏感数据的有效保护。
这种脱节的存在可能是由于企业在制定安全策略时,缺乏对数据安全分类分级的深入理解和应用。因此,企业需要确保数据安全分类分级与技术保护措施之间的密切关联,以确保安全保护措施的有效性,并保护敏感数据不受攻击。
各种孤岛式、异构、跨生态系统的数据库以及愈加细分的安全场景,让以往分散的数据保护措施难以实现统一的策略编排。
随着企业规模的扩大和业务的不断发展,往往需要在多个不同的系统和应用之间进行管理和数据交换、共享。这些系统和应用可能采用不同的数据库管理系统、存储技术和数据格式,甚至可能分布在不同的物理位置,形成了若干个孤岛式的数据存储空间。这样的分散式部署使得数据保护技术措施分散,很难实现统一的策略编排和协同联动。
具体来说,不同的数据库和数据存储系统可能使用不同的技术架构、不同的安全策略和不同的管理方式,这导致了数据保护技术措施的分散。当需要对这些孤岛式数据源进行数据保护时,可能需要针对每个数据源都单独设计和部署保护措施,这会增加系统管理的难度和复杂度,也会增加数据安全管理的风险。
此外,不同的数据库和数据存储系统之间可能缺乏标准的接口和协议,这导致了数据保护技术措施之间缺乏协同联动。例如,在保护一个跨越多个数据库和数据存储系统的数据时,可能需要在每个数据源中都配置相同的安全策略和控制措施,这样会导致大量的重复工作和资源浪费,同时也会增加管理和运维的难度。
因此,为了解决孤岛式数据源和数据保护技术措施分散的问题,企业需要建立一个统一的数据安全架构,明确数据保护的标准和规范,制定一致的安全策略和措施,并且确保这些措施能够在不同的数据库和数据存储系统之间协同联动。同时,企业也应该建立一个统一的数据管理平台,将不同的数据源整合到同一个平台上,实现对数据的全面管理和保护。
运维/数据/安全/应用/合规团队的业务执行界面不清;数据业务多变难以快速满足安全合规要求。
数据安全与业务紧密耦合的问题在企业数据管理中非常普遍。这是因为数据本身是企业业务的基础,同时也是企业最重要的资产之一。因此,为了保护数据的安全,需要针对具体的业务场景进行保护措施的设计和实施。
但是,由于企业业务本身的复杂性和变化性,不同的业务场景往往需要采用不同的数据安全策略。而这些策略的设计和实施需要不同部门、不同技术团队之间的协同配合。
例如,一个业务场景可能需要数据库管理员、网络管理员、安全管理员和业务负责人、合规负责人等多个角色的参与,才能设计和实施出一套完整的数据安全策略。由于协同难度大,企业在实施数据安全保护措施时常常存在以下问题:
缺乏统一的规划和管理:
企业在实施数据安全措施时,各部门之间缺乏统一的规划和管理,难以形成整体的数据安全策略,导致数据保护措施的重复、冗余和不协调。
难以实现数据保护的全面性:
由于业务场景的复杂性,企业往往只能针对部分数据进行保护,难以实现全面性的数据保护,容易造成数据泄露或损失。
无法满足业务的快速变化:
随着业务的快速变化,数据安全策略需要不断地调整和优化,但是由于缺乏协同和统一管理,这些调整往往需要很长时间才能得到实施,导致数据安全的风险和损失。
“数据为中心的安全”
面临的新挑战
数据业务人员增多,网络和应用侧审管粒度难以细化;
数据业务变化频繁,难以快速免改造满足安全合规。
随着数据技术和业务的快速发展,企业的数据资产和数据业务人员也在不断增加。这些数据业务人员对数据的使用和管理具有极大的需求,例如需要最新的数据、更完整的表单、尽可能多的时间范围、尽快的响应。但他们通常缺乏必要的数据安全知识和技能,可能会泄露敏感数据或进行未经授权的操作。
以数据分析利用为例,企业利用大数据分析技术从海量数据中提取的信息具有极高的价值。诸如提高用户忠诚度以及复购率、降低用户流失率、高层进行业务决策、识别新的销售和市场机会、提升组织的社交媒体营销能力、提前预测风险并进行防范等。然而,这些数据的使用,却牵扯数据资产盘点和分类分级的问题、账号权限设置及管理的问题、访问控制的问题、数据脱敏的问题、事后审计的问题、责权不明流程申请和扯皮的问题。价值越高、应用越广责任也就越大。
为了应对这一挑战,企业需要采取一些网络和应用侧审管的技术保护措施,例如访问控制、日志审计等,以防止未经授权的数据访问和操作。然而,这些技术保护措施往往只能在较粗的审计粒度下实现,无法对每个数据业务人员的具体操作进行监控。
此外,数据业务的变化频繁,比如新业务的开展、旧业务的终止、数据资产的调整等,这些变化可能会导致数据安全合规的问题。当需要对数据进行调整时,企业必须要进行快速调整,才能确保数据的合规性。但是,由于数据业务的复杂性和多样性,改造的实现难度较大,需要花费大量的时间和人力资源,从而导致企业的数据保护工作变得更加困难。
传统软件架构/硬件设备,无法适应云原生环境;数据的流动增多而高频,既有发现和分析能力难以应对。
传统的软件架构和硬件设备是为本地数据中心或单机设计的,它们通常是单点部署,静态不变的。在云原生环境中,应用程序和服务被拆分成微服务,部署在容器化的环境中,并且可以根据需要进行快速伸缩。这需要现代的云原生软件架构和基础设施支持。
1)、数据存储位置变得更加分散:
在传统 IT 环境下,企业数据主要存储在企业内部的数据中心中,而在云化环境下,数据存储位置变得更加分散,可能会分布在公共云、私有云、混合云等不同的云服务提供商和地理位置中,这增加了数据安全管理和审计的复杂度和难度。
2)、数据的流动性增强:
在云化环境下,数据的流动性增强,数据的交互和流通变得更加频繁,而且数据的规模也更大了,这使得数据的安全保护和审计变得更加复杂和困难。由于数据流动的频繁性和规模性,原本用于传统 IT 环境下的数据安全保护和审计技术和方法可能无法满足现代云化环境下的需求。
3)、网络和系统变得更加复杂:
云化环境下,企业的 IT 系统和网络架构变得更加复杂,企业需要同时管理多个云服务提供商和地理位置的网络和系统,这给数据安全保护和审计带来了新的挑战。
4)、需要适应新的技术架构:
云化环境下,企业需要适应新的技术架构,这些新技术架构虽然为企业带来了更高的灵活性和效率,但也需要企业重新学习和适应新的数据安全保护和审计技术和方法。
因此,传统软件架构和硬件设备难以适应云原生环境的弹性、可管理性和可扩展性等需求,需要采用新的技术和架构来适应云化的基础设施。
化解数据安全的复杂局面
需要新思维
原点安全认为解决复杂问题需要创新的数据技术架构,而传统单点产品技术能力已不足以应对。为保护数据,应该尽可能贴近数据源,以提高数据识别准确度和保护效果的直接性。应该具备分层解耦的能力,将数据安全与业务应用解耦,使跨部门与组织的协同更容易实现。显而易见,应该能力集成,实现多种数据安全能力以满足多种业务需求。
