数据涉及业务场景多、生命周期长,从数据采集到数据销毁,数据安全管理的环节庞杂,“数据为中心的安全”应该如何着手?为什么说加强数据使用环节的安全管控能够释放数据产能?“数据为中心的安全”技术落地过程中的一系列痛点和难点该如何应对?
本文整理自原点安全 CEO 左英男在“中国寿险科技应用高峰论坛2023”上题目 《一体化数据安全平台,让数据安全化繁为简》演讲分享,以下为演讲实录。 各位领导与专家,大家下午好,本届论坛从上午听到现在,我发现很多分享者的话题总离不开数据,阐述数据对我们业务的价值,可见数据的重要性。与此同时,数据的安全性也愈加凸显。我分享的话题就是关于数据安全,《一体化数据安全平台,让数据安全化繁为简》。 首先简单介绍一下,原点安全创立于 2020 年,是一家企业级一体化数据安全平台(unified Data Security Platform)产品与服务提供商。在多云、混合云环境中,通过基于云原生技术栈构建的产品和服务体系,为企业客户提供从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施,满足数据安全与个人信息保护合规要求,让企业的数据更安全,合规更高效。 “数据为中心的安全”成为数据安全建设重点 随着数据价值的凸显,数据安全的重要性也越来越被人们所关注。对于企业而言,既有来自于外部监管合规的压力,也有企业自身因技术环境变化、业务(数据类)发展,以及对内部威胁的关注,而产生的内部驱动力。这两种驱动力也使得数据安全的需求发生了变化,人们逐渐意识到,数据安全不仅要保护承载数据的系统,更应该保护数据本身,这就是我们所谈的“以数据为中心的安全”。 数据涉及业务场景多、生命周期长,从数据采集到数据销毁,数据安全管理的环节庞杂,“数据为中心的安全”应该如何着手?在此我认为,从保护消费者个人敏感信息入手,是一个不错的切入点。 国家金融监管总局去年 12 月发布的《银行保险机构消费者权益保护管理办法》中,整个第六章都在谈保护消费者个人信息安全权,对银行保险机构从第三方合作、业务应用系统以及内部人员数据使用等各个环节提出了明确要求。从合规视角看,做好个人信息保护的意义不仅是为了满足合规监管要求,同时也是企业履行社会责任、提升企业品牌形象的重要方式;从安全视角看,由于个人敏感信息在数据使用过程中,场景复杂、接触人群多,泄露风险高,因而做好数据使用环节的管控能够有效保护数据安全,避免业务损失,释放数据产能。 为什么说加强数据使用环节的安全管控能够释放数据产能呢?举个例子,某银行数据管理部的业务团队需要使用大量数据训练 AI 模型,但数据管理部没有好的数据控权手段,缺乏个人信息保护机制,迟迟不敢开放数据给业务团队使用,阻碍了数据发挥价值。做个类比:一辆汽车,如果不安装刹车,你敢开多快?只有汽车安装了“刹车”,人们才敢在高速上狂奔,就是这个道理。 那么“数据为中心的安全”在实际技术落地过程中有哪些痛点和难点?总结如下图所示: “数据为中心的安全”技术落地的痛点和难点,并不是某一个技术、产品自身不够成熟导致的落地困难,而是因为繁杂、繁琐、繁重的运维、运营甚至协同的工作,让大家数据安全技术落地时心生退意。因此,如何帮助企业提高数据安全管理和运营的效率是作为数据安全从业者最重要的努力方向。 一体化数据安全平台 uDSP 原点安全认为解决数据安全管理的复杂问题需要创新的数据技术架构,传统单点产品技术能力已不足以应对。为发现和保护敏感数据,该技术架构应该尽可能贴近数据源,以提高数据识别准确度和保护效果的有效性。该技术架构应该具备分层解耦的能力,将数据安全与业务应用解耦,使跨部门与组织的协同更容易实现。显而易见,该技术架构应该模型统一、能力集成,实现多种数据安全能力以满足多种业务需求。 基于这样的思考,原点安全提出了一个全新的技术架构理念——“数据访问安全层”(Data Access Security Layer)。数据访问安全层是位于数据的工具、应用与数据源之间的一层安全技术架构,用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。 数据访问安全层提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等;并能够根据具体的业务场景和需求,通过合适的安全策略编排这些数据安全基础能力,保护敏感数据的安全性和合规性,同时提高了敏感数据的可追溯性和可审计性,能够更好地监控敏感教据的访问和使用情况。 正是基于“数据访问安全层”这一创新的技术架构理念,原点安全基于云原生技术栈开发了“一体化数据安全平台 unified Data Security Platform”(以下简称 uDSP),提供从敏感数据发现、识别、保护、监督到治理的一体化协同技术保护措施,满足数据安全与个人信息保护合规要求,把繁琐、繁重的数据安全管理工作变得更加简单、高效,化繁为简。 如上图产品逻辑架构图所示,左边是我们的应用场景,主要用于解决企业内部有机会访问数据的各种人员,使用各种业务系统应用访问数据的场景。右边是我们保护对象,我们产品支持各种类主流型的数据库。中间便是我们的一体化数据安全平台 uDSP 产品,串接进来在数据使用的环节做管控,统一管理数据安全策略。对于企业外部访问数据的场景,管控的需求可能没有那么强,很多管控固化在业务逻辑里边的,但是从安全视角仍然需要对数据的整个使用过程进行监控、审计、分析,uDSP 产品也支持旁路部署的模式,上图就是典型混合部署的模式。 原点安全一体化数据安全平台 uDSP 产品最重要的优势就是“一体化”,正是因为一体化的数据安全平台才让数据安全化繁为简。“一体化”并不是简单功能的物理叠加,而是一种“化学反应”。首先是实现敏感数据一体化,原点一体化数据安全平台 uDSP,可以屏蔽企业 IT 环境中分散的、异构数据源的复杂度,呈现给客户统一的敏感数据目录视图,基于这个目录,实现安全策略一体化、保护能力的一体化、日志分析一体化,这是降低运维、运营复杂度的基础。 产品能力与技术架构优势 在产品能力上,基于敏感数据的发现、识别和分类分级,帮助企业构建一体化敏感数据目录,基于目录访问控制权限的管理、动态脱敏、数据的审计、认证的代理,通过一体化的安全策略把这些能力编排起来,在数据访问过程中产生了一体化的日志,用于数据安全风险分析和运营。 特别值得一提的是,原点除了一体化优势之外,分布式架构,管控平面分离的技术架构在企业场景中发挥了很大的价值。管理平面,是集中式、一体化的策略和日志管理,包括控制台和敏感数据目录。控制平面,是分布式、轻量化的策略执行器。在这样的部署架构下,可以做到一个 DAC 保护一个数据库,也可以保护多个数据库;还可以建一个 DAC 集群,保护一个数据库集群;对数据库的不同访问路径上都可以部署单独的 DAC。此外,DAC 可以实现计算资源隔离部署,假设某一个 DAC 出现了问题,对其他业务不会产生影响,保障企业业务的连续性。这种灵活的技术架构优势,企业可以根据自己业务实际情况灵活设计部署架构。 落地案例 我们的产品在保险行业的几个非常成功的落地案例,在此分享给大家: 第一个案例是大数据场景敏感数据保护场景,问题主要有三个: 第一个问题,企业的数据仓库存储了大量包含敏感数据的数据,此外,该企业还有数据探索开发的业务,中间过程中形成了临时表、沙箱库这类临时数据存储,其中也包含敏感数据,这些临时数据用过之后就忘掉了。如果要保护敏感数据,必须把这些敏感数据梳理清楚。 一体化数据安全平台,让数据安全化繁为简!