演讲实录|《一体化数据安全平台,让数据安全化繁为简》

数据涉及业务场景多、生命周期长,从数据采集到数据销毁,数据安全管理的环节庞杂,“数据为中心的安全”应该如何着手?为什么说加强数据使用环节的安全管控能够释放数据产能?“数据为中心的安全”技术落地过程中的一系列痛点和难点该如何应对?

本文整理自原点安全 CEO 左英男在“中国寿险科技应用高峰论坛2023”上题目 《一体化数据安全平台,让数据安全化繁为简》演讲分享,以下为演讲实录。


RE5A3448.JPG


各位领导与专家,大家下午好,本届论坛从上午听到现在,我发现很多分享者的话题总离不开数据,阐述数据对我们业务的价值,可见数据的重要性。与此同时,数据的安全性也愈加凸显。我分享的话题就是关于数据安全,《一体化数据安全平台,让数据安全化繁为简》。


首先简单介绍一下,原点安全创立于 2020 年,是一家企业级一体化数据安全平台(unified Data Security Platform)产品与服务提供商。在多云、混合云环境中,通过基于云原生技术栈构建的产品和服务体系,为企业客户提供从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施,满足数据安全与个人信息保护合规要求,让企业的数据更安全,合规更高效。


“数据为中心的安全”成为数据安全建设重点


随着数据价值的凸显,数据安全的重要性也越来越被人们所关注。对于企业而言,既有来自于外部监管合规的压力,也有企业自身因技术环境变化、业务(数据类)发展,以及对内部威胁的关注,而产生的内部驱动力。这两种驱动力也使得数据安全的需求发生了变化,人们逐渐意识到,数据安全不仅要保护承载数据的系统,更应该保护数据本身,这就是我们所谈的“以数据为中心的安全”。


数据涉及业务场景多、生命周期长,从数据采集到数据销毁,数据安全管理的环节庞杂,“数据为中心的安全”应该如何着手?在此我认为,从保护消费者个人敏感信息入手,是一个不错的切入点。


国家金融监管总局去年 12 月发布的《银行保险机构消费者权益保护管理办法》中,整个第六章都在谈保护消费者个人信息安全权,对银行保险机构从第三方合作、业务应用系统以及内部人员数据使用等各个环节提出了明确要求。从合规视角看,做好个人信息保护的意义不仅是为了满足合规监管要求,同时也是企业履行社会责任、提升企业品牌形象的重要方式;从安全视角看,由于个人敏感信息在数据使用过程中,场景复杂、接触人群多,泄露风险高,因而做好数据使用环节的管控能够有效保护数据安全,避免业务损失,释放数据产能。


为什么说加强数据使用环节的安全管控能够释放数据产能呢?举个例子,某银行数据管理部的业务团队需要使用大量数据训练 AI 模型,但数据管理部没有好的数据控权手段,缺乏个人信息保护机制,迟迟不敢开放数据给业务团队使用,阻碍了数据发挥价值。做个类比:一辆汽车,如果不安装刹车,你敢开多快?只有汽车安装了“刹车”,人们才敢在高速上狂奔,就是这个道理。


那么“数据为中心的安全”在实际技术落地过程中有哪些痛点和难点?总结如下图所示:



“数据为中心的安全”技术落地的痛点和难点,并不是某一个技术、产品自身不够成熟导致的落地困难,而是因为繁杂、繁琐、繁重的运维、运营甚至协同的工作,让大家数据安全技术落地时心生退意。因此,如何帮助企业提高数据安全管理和运营的效率是作为数据安全从业者最重要的努力方向。


一体化数据安全平台 uDSP


原点安全认为解决数据安全管理的复杂问题需要创新的数据技术架构,传统单点产品技术能力已不足以应对。为发现和保护敏感数据,该技术架构应该尽可能贴近数据源,以提高数据识别准确度和保护效果的有效性。该技术架构应该具备分层解耦的能力,将数据安全与业务应用解耦,使跨部门与组织的协同更容易实现。显而易见,该技术架构应该模型统一、能力集成,实现多种数据安全能力以满足多种业务需求。


基于这样的思考,原点安全提出了一个全新的技术架构理念——“数据访问安全层”(Data Access Security Layer)。数据访问安全层是位于数据的工具、应用与数据源之间的一层安全技术架构,用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。


数据访问安全层提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等;并能够根据具体的业务场景和需求,通过合适的安全策略编排这些数据安全基础能力,保护敏感数据的安全性和合规性,同时提高了敏感数据的可追溯性和可审计性,能够更好地监控敏感教据的访问和使用情况。


正是基于“数据访问安全层”这一创新的技术架构理念,原点安全基于云原生技术栈开发了“一体化数据安全平台 unified Data Security Platform”(以下简称 uDSP),提供从敏感数据发现、识别、保护、监督到治理的一体化协同技术保护措施,满足数据安全与个人信息保护合规要求,把繁琐、繁重的数据安全管理工作变得更加简单、高效,化繁为简。



如上图产品逻辑架构图所示,左边是我们的应用场景,主要用于解决企业内部有机会访问数据的各种人员,使用各种业务系统应用访问数据的场景。右边是我们保护对象,我们产品支持各种类主流型的数据库。中间便是我们的一体化数据安全平台 uDSP 产品,串接进来在数据使用的环节做管控,统一管理数据安全策略。对于企业外部访问数据的场景,管控的需求可能没有那么强,很多管控固化在业务逻辑里边的,但是从安全视角仍然需要对数据的整个使用过程进行监控、审计、分析,uDSP 产品也支持旁路部署的模式,上图就是典型混合部署的模式。


原点安全一体化数据安全平台 uDSP 产品最重要的优势就是“一体化”,正是因为一体化的数据安全平台才让数据安全化繁为简。“一体化”并不是简单功能的物理叠加,而是一种“化学反应”。首先是实现敏感数据一体化,原点一体化数据安全平台 uDSP,可以屏蔽企业 IT 环境中分散的、异构数据源的复杂度,呈现给客户统一的敏感数据目录视图,基于这个目录,实现安全策略一体化、保护能力的一体化、日志分析一体化,这是降低运维、运营复杂度的基础。


产品能力与技术架构优势


在产品能力上,基于敏感数据的发现、识别和分类分级,帮助企业构建一体化敏感数据目录,基于目录访问控制权限的管理、动态脱敏、数据的审计、认证的代理,通过一体化的安全策略把这些能力编排起来,在数据访问过程中产生了一体化的日志,用于数据安全风险分析和运营。


特别值得一提的是,原点除了一体化优势之外,分布式架构,管控平面分离的技术架构在企业场景中发挥了很大的价值。管理平面,是集中式、一体化的策略和日志管理,包括控制台和敏感数据目录。控制平面,是分布式、轻量化的策略执行器。在这样的部署架构下,可以做到一个 DAC 保护一个数据库,也可以保护多个数据库;还可以建一个 DAC 集群,保护一个数据库集群;对数据库的不同访问路径上都可以部署单独的 DAC。此外,DAC 可以实现计算资源隔离部署,假设某一个 DAC 出现了问题,对其他业务不会产生影响,保障企业业务的连续性。这种灵活的技术架构优势,企业可以根据自己业务实际情况灵活设计部署架构。


落地案例


我们的产品在保险行业的几个非常成功的落地案例,在此分享给大家:

第一个案例是大数据场景敏感数据保护场景,问题主要有三个:


第一个问题,企业的数据仓库存储了大量包含敏感数据的数据,此外,该企业还有数据探索开发的业务,中间过程中形成了临时表、沙箱库这类临时数据存储,其中也包含敏感数据,这些临时数据用过之后就忘掉了。如果要保护敏感数据,必须把这些敏感数据梳理清楚。


第二个问题,该企业有交互式教据分析、教据探查类的教据业务,没有办法预先设定好哪个教据工程师访问哪个表,没有办法预先设定权限,希望有一种动态控制数据授权的方式,一直没有找到很好的解决方案。


第三个问题,监管合规要求,数据分析师使用 BI 工具、业务人员使用营销、风控等业务应用时,前端界面展示客户敏感信息时必须要做脱敏/遮蔽处理。同时,不同部门的业务人员也不能越权访问客户敏感信息,这些都是合规要求。不同的 BI 工具、数据分析应用往往采用不同的方式实现动态脱敏、行权限这些能力,策略模型也无法统一,管理运维这些策略工作量非常大。甚至,有的 BI 工具或应用没有这样的能力,需要采用数据视图的方式维护行权限,同样产生了巨大的运维工作量。

第二个案例是开发运维侧的数据安全管控场景。

这个场景里边,最大的问题就是数据库特权账号共享。很多企业的研发、运维、甚至外包驻场人员都有数据库特权账户,并且由于数据库数量太多,无法在每一个数据库中为每一个人设定特权账号与权限,于是大家往往共享数据库的特权账号,一旦发生问题之后,无法追溯到具体的人。

第二个问题是特权账户权限过大,此外,可能在运维过程中接触到客户个人敏感信息,存在合规和安全上的风险。原点的方案采用数据库认证代理的方式,把数据库特权账号回收到 uDSP 平台,给研发运维人员提供一套虚拟账号密码,用于数据库的运维。不再对外暴露数据库真实账号口令,甚至 IP 地址都不需要暴露。杜绝了数据库特权账号的共享,管控和审计粒度到个人,降低数据泄露风险。同时,提供了数据的自助授权、敏感数据目录、个人敏感数据动态脱敏、危险指令实时拦截等能力。

第三个案例是免改造业务应用动态脱敏场景。

这是典型的合规要求,保险机构业务人员使用后管业务系统办理业务的时候,业务系统界面上展示客户个人信息,需要采取技术手段脱敏/遮蔽。这件事情业务系统过去没有做,现在要满足合规要求,往往需要改造业务应用,而且随着业务系统的升级改造,或者合规要求发生变化,还要再次进行业务系统改造,对于开发部门来说是很大的负担。此外,还有业务系统是第三方购买的。没有办法做改造,这都是问题。

原点安全的产品提供了一个老业务应用免改造,新业务应用免定制的业务应用动态脱敏方案,帮助保险机构低成本、高效率满足监管合规要求。此外,正是因为 uDSP 产品的分布式架构,使用了计算资源隔离的部署模式,很好地保障了该客户的业务连续性。

最后一个案例,银行和保险机构生态合作场景的数据委托处理检测。

我们关注到国家金融监管总局今年 6 月发布的《关于加强第三方合作中网络和数据安全管理的通知》,其中特别提到了数据委托处理的场景。保险机构生态合作的很多业务场景下,需要采购第三方科技服务,这就不可避免把一些数据(包含客户个人信息)转移到第三方服务商的 IT 环境中,监管要求数据服务外包,但是个人信息保护的责任不能外包,仍然是保险机构自己的责任。如何监控第三方服务商对这些“飞地”数据的使用情况和个人信息保护手段,是一个难题。

利用原点 uDSP 产品,我们能够提供委托数据处理监测方案,只需要在第三方服务商的 IT 环境中部署轻量级的 DAC,就能够一体化管理第三方服务商的“飞地”数据,监测个人敏感信息的使用和处理。同时,uDSP 产品提供多租户能力,可以为每一个第三方服务商建立单独的租户环境,隔离数据安全管理责任,真正实现服务外包,责任没有外包。


一体化数据安全平台,让数据安全化繁为简!


最后,我想强调一下“一体化”的威力。

如果以上四个场景企业都有管理需求,使用一体化产品就完全不需要在每个应用场景下单独建设管理平面,只需要建设一套管理平面,共享数据安全基础设施,在需要管理哪个应用场景的时候,把轻量级的策略控制器 (DAC)部署到对应场景就可以解决问题。能够实现数据安全策略和日志分析的一体化管理,系统扩容也非常容易,成本大大降低。

如果以上四个场景的数据安全管理工作是由不同部门负责管理的,还可以利用 uDSP 产品的多租户环境,为不同部门建立不同的租户环境,自己管理需要管理的数据源、安全策略和审计日志,分割数据安全管理责任。

可见,一体化数据安全平台产品,能够极大简化数据安全管理运营的工作,让数据安全管理化繁为简,低成本、高效率满足保险机构敦据安全管理和合规需求。

我的分享到此结束,谢谢大家!